Contrat d'abonnement et conditions d'utilisation du logiciel en tant que service

Conforme au droit international anglais-portugais.

Les partis

son Contrat d'abonnement au logiciel en tant que service (le “ Contrat ”) est conclu entre :

Fournisseur: BIMWorkplace, Lda., une société privée à responsabilité limitée constituée en vertu des lois du Portugal, NIF 516313096, dont le siège social est situé Rua Luís Barroso, Nº 590, 4ºA, 4760-153 Vila Nova de Famalicão, Portugal (“ Fournisseur ”) ; et

Client: L’entité qui accepte le présent Contrat ou qui signe un Bon de commande (“ Client ”).

Le présent accord est soumis aux conditions suivantes : Règlement général sur la protection des données (UE) 2016/679 (“ RGPD ”) et, le cas échéant, la loi brésilienne n° 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), conformément aux principes de transparence, de finalité et de sécurité établis par la législation brésilienne.

Définitions

” Identifiants d’accès ” désigne tout nom d’utilisateur, numéro d’identification, mot de passe, licence ou clé de sécurité, jeton de sécurité, numéro d’identification personnel (NIP) ou autre code de sécurité, méthode, technologie ou dispositif utilisé, seul ou en combinaison, pour vérifier l’identité d’une personne et son autorisation d’accéder aux Services hébergés et de les utiliser.

” Action ” désigne toute réclamation, action, cause d’action, demande, poursuite, arbitrage, enquête, audit, avis de violation, procédure, litige, citation, assignation, assignation à comparaître ou enquête de toute nature, civile, pénale, administrative, d’enquête, réglementaire ou autre, que ce soit en droit, en équité ou autrement.

” Affilié ” d’une Personne désigne toute autre Personne qui, directement ou indirectement, par l’intermédiaire d’un ou plusieurs intermédiaires, contrôle, est contrôlée par, ou est sous contrôle commun avec, la première Personne.

” Utilisateur autorisé ” désigne chacune des personnes autorisées à utiliser les Services hébergés et les autres termes et conditions du présent Contrat.

” Disponible ” signifie que les Services hébergés sont accessibles et utilisables par le Client via Internet.

”BIMWorkplace est une plateforme collaborative web qui optimise les flux de travail de coordination des équipes. Elle centralise toutes les informations de coordination, de la conception à la construction. Accédez à vos données en un clic, où que vous soyez, depuis une tablette ou un ordinateur. Des graphiques et des tableaux vous permettent de comprendre vos données et d'analyser vos performances grâce à des indicateurs précis.

” Contrôle ” (et les termes “ Contrôlé par ” et “ sous contrôle commun avec ”) désigne la possession, directement ou indirectement, du pouvoir de diriger ou de faire diriger la gestion et les politiques d’une personne, que ce soit par la propriété de titres donnant droit de vote, par contrat ou autrement.

”Le terme ” client » a le sens qui lui est attribué dans le préambule.

” Données client ” désigne les informations, données et autres contenus, sous quelque forme ou support que ce soit, collectés, téléchargés ou autrement reçus, directement ou indirectement du Client par ou via les Services hébergés.

” Systèmes du Client ” désigne l’infrastructure informatique du Client, y compris les ordinateurs, les logiciels, le matériel, les bases de données, les systèmes électroniques (y compris les systèmes de gestion de bases de données), les réseaux et la connectivité Internet, qu’ils soient exploités directement par le Client ou par l’intermédiaire de services tiers.

” Documentation ” désigne tous les manuels, instructions ou autres documents ou matériels que le Fournisseur fournit ou met à la disposition du Client sous quelque forme ou support que ce soit et qui décrivent la fonctionnalité, les composants, les caractéristiques ou les exigences des Services ou des Matériels du Fournisseur, y compris tout aspect de l'installation, de la configuration, de l'intégration, du fonctionnement, de l'utilisation, du support ou de la maintenance de ceux-ci.

” Autorité gouvernementale ” désigne tout gouvernement fédéral, provincial, territorial, municipal ou étranger ou toute subdivision politique de celui-ci, ou tout organisme ou instrument de ce gouvernement ou de cette subdivision politique, ou toute organisation autoréglementée ou autre autorité de réglementation non gouvernementale ou quasi gouvernementale (dans la mesure où les règles, règlements ou ordonnances de cette organisation ou autorité ont force de loi), ou tout arbitre, tribunal ou cour compétent.

” Ordre gouvernemental ” désigne tout ordre, bref, jugement, injonction, décret, stipulation, sentence ou décision rendu par ou avec toute autorité gouvernementale.

” Code malveillant ” désigne tout logiciel, matériel ou autre technologie, dispositif ou moyen, y compris tout virus, cheval de Troie, ver, porte dérobée, logiciel malveillant ou autre code informatique malveillant, dont le but ou l’effet est de : permettre un accès non autorisé à, ou détruire, perturber, désactiver, altérer ou autrement nuire ou entraver de quelque manière que ce soit : un ordinateur, un logiciel, un micrologiciel, un matériel, un système ou un réseau ; ou toute application ou fonction de ce qui précède ou la sécurité, l’intégrité, la confidentialité ou l’utilisation de toute donnée traitée par celui-ci ; ou empêcher le Client d’accéder ou d’utiliser les Services hébergés ou les Systèmes du Fournisseur conformément au présent Contrat. Les Dispositifs de désactivation du Fournisseur ne sont pas considérés comme du Code malveillant.

” Droits de propriété intellectuelle ” désigne tous les droits enregistrés et non enregistrés accordés, demandés ou existant actuellement ou ultérieurement en vertu ou en relation avec tout brevet, droit d'auteur, marque de commerce, secret commercial, protection de base de données ou autres lois sur les droits de propriété intellectuelle, ainsi que tous les droits ou formes de protection similaires ou équivalents dans n'importe quelle partie du monde.

” Loi ” désigne toute loi, ordonnance, règlement, règle, code, constitution, traité, common law, décret gouvernemental ou autre exigence ou règle de droit de toute autorité gouvernementale.

” Pertes ” désigne toutes les pertes, dommages, responsabilités, carences, réclamations, actions, jugements, règlements, intérêts, indemnités, pénalités, amendes, coûts ou dépenses de toute nature, y compris les honoraires d’avocat, les débours et les frais, ainsi que les coûts liés à l’exercice de tout droit à indemnisation en vertu des présentes et les coûts liés aux poursuites contre les assureurs.

”Le terme ” Partie “ (et le terme ” Parties ») désigne soit le Client, soit le Fournisseur, soit les deux.

” Utilisation autorisée ” désigne toute utilisation des Services par le Client à son seul profit, dans le cadre de ses opérations commerciales internes ou à des fins licites.

” Personne ” désigne un individu, une société, une société de personnes, une société à responsabilité illimitée, une autorité gouvernementale, une organisation non constituée en société, une fiducie, une association ou toute autre entité.

” Informations personnelles ” désigne toute information qui, individuellement ou combinée à d’autres, permet d’identifier ou d’identifier une personne en particulier, ou qui permet d’identifier, de contacter ou de localiser une personne en particulier.

” Traiter ” signifie entreprendre toute action ou effectuer toute opération ou ensemble d’opérations que les Services hébergés sont capables d’effectuer sur des données, des informations ou tout autre contenu, y compris collecter, recevoir, saisir, télécharger, enregistrer, reproduire, stocker, organiser, compiler, combiner, consigner, cataloguer, établir des références croisées, gérer, maintenir, copier, adapter, modifier, traduire ou créer d’autres œuvres dérivées ou améliorations, traiter, extraire, afficher, consulter, utiliser, exécuter, afficher, diffuser, transmettre, soumettre, publier, transférer, divulguer ou autrement fournir ou mettre à disposition, ou bloquer, effacer ou détruire, et “ Traitement ” et “ Traité ” ont des significations corrélatives.

”Le terme ” fournisseur » a le sens qui lui est attribué dans le préambule.

” Dispositif de désactivation du fournisseur ” désigne tout logiciel, matériel ou autre technologie, dispositif ou moyen (y compris toute porte dérobée, bombe à retardement, délai d'expiration, dispositif de blocage, routine logicielle ou autre dispositif de désactivation) utilisé par le Fournisseur ou son représentant pour désactiver automatiquement l'accès ou l'utilisation des Services hébergés par le Client au fil du temps ou sous le contrôle positif du Fournisseur ou de son représentant.

” Matériel du fournisseur ” désigne le logiciel de service, la documentation et les systèmes du fournisseur, ainsi que toutes autres informations, données, documents, matériels, œuvres et autres contenus, dispositifs, méthodes, processus, matériels, logiciels et autres technologies et inventions, y compris tous les livrables, descriptions techniques ou fonctionnelles, exigences, plans ou rapports, qui sont fournis ou utilisés par le fournisseur ou tout sous-traitant dans le cadre des services ou qui comprennent ou se rapportent autrement aux services ou aux systèmes du fournisseur.

” Personnel du fournisseur ” désigne toutes les personnes participant à l’exécution des Services en tant qu’employés, agents ou entrepreneurs indépendants du Fournisseur ou de tout Sous-traitant.

” Systèmes du fournisseur ” désigne l’infrastructure informatique utilisée par ou pour le compte du fournisseur dans le cadre de la réalisation des services hébergés, y compris tous les ordinateurs, logiciels, matériels, bases de données, systèmes électroniques (y compris les systèmes de gestion de bases de données) et réseaux, qu’ils soient exploités directement par le fournisseur ou par l’intermédiaire de services tiers.

” Partie destinataire ” désigne une partie qui reçoit ou acquiert des informations confidentielles directement ou indirectement en vertu du présent accord.

” Représentants ” désigne, en ce qui concerne une partie, cette partie, ses sociétés affiliées et leurs employés, dirigeants, administrateurs, consultants, agents, entrepreneurs indépendants, sous-traitants et conseillers juridiques respectifs.

” Logiciel de service ” désigne l’application ou les applications logicielles du Fournisseur et tout logiciel tiers ou autre auquel le Fournisseur donne accès à distance et qu’il permet d’utiliser dans le cadre des Services hébergés, ainsi que toutes les nouvelles versions, mises à jour, révisions, améliorations et modifications de ce qui précède.

” Territoire ” signifie le monde.

” Documents tiers ” désigne les documents et informations, sous quelque forme ou support que ce soit, y compris les logiciels, documents, données, contenus, spécifications, produits, équipements ou composants des Services ou s’y rapportant, qui ne sont pas la propriété du Fournisseur.

Comptes individuels

Chaque utilisateur doit disposer d'un compte individuel associé à une adresse électronique unique. Les comptes utilisateurs et les identifiants d'accès sont personnels, non transférables et ne peuvent être partagés ni réutilisés.
BIMWorkplace se réserve le droit de vérifier l'utilisation des comptes et de suspendre ou de résilier l'accès en cas d'utilisation abusive ou de partage d'identifiants, sans remboursement des frais déjà payés.

Services

Le fournisseur doit rendre les services disponibles 24h/24 et 7j/7. Engagement de disponibilité mensuelle de 99,9%, sous réserve de la maintenance programmée et des cas de force majeure.
L'hébergement, l'exploitation, la maintenance et les mises à jour restent sous le contrôle du fournisseur.
Le client conserve le contrôle de ses systèmes et de ses utilisateurs autorisés.

Emplacement des données : Les données client seront hébergées par défaut au sein de l'Espace économique européen (EEE). Les transferts hors de l'EEE seront soumis à des garanties légales valides (par exemple, les clauses contractuelles types) conformément à la réglementation en vigueur. Accord de traitement des données (Annexe C).

Sous-processeurs : Le fournisseur peut faire appel à des sous-traitants agréés et demeure entièrement responsable de leurs actions.

Abonnement et frais

La durée de l'abonnement commence à la date d'entrée en vigueur du bon de souscription.

Conditions de paiement. Tous les frais d'abonnement sont payables à l'avance et immédiatement après l'émission de la facture. L’accès aux Services et l’activation des licences sont conditionnés au paiement intégral. Aucune licence ni aucun accès ne sera accordé tant que le paiement n’aura pas été confirmé.

Les frais sont facturés en EUR (ou BRL si expressément convenu), plus TVA/ISS applicable.

Les frais hors périmètre (par exemple, les frais de déplacement, les services sur site) seront facturés séparément.

Le fournisseur peut ajuster les frais lors du renouvellement. préavis écrit de 30 jours.

Responsabilités du client

Conservez des identifiants d'accès sécurisés.

S'assurer que les utilisateurs autorisés respectent le présent accord.

Empêcher la soumission de données interdites.

Maintenir les sauvegardes des données critiques des clients.

Signalez au fournisseur tout accès non autorisé ou incident de sécurité.

Sécurité et protection des données

Le Espace de travail BIM traite les données personnelles des utilisateurs conformément à la Règlement général sur la protection des données (RGPD – UE 2016/679) et, le cas échéant, avec le Loi générale brésilienne sur la protection des données (Lei nº 13.709/2018 – LGPD).

Hébergement de données : Les données client sont hébergées sur des serveurs situés à Virginie, États-Unis, les transferts internationaux étant soumis à la Clauses contractuelles types (CCT) de la Commission européenne et des garanties équivalentes en vertu du RGPD et de la LGPD.

Mesures de sécurité :
Le fournisseur applique des mesures de sécurité techniques et organisationnelles conformes aux normes du secteur, notamment :

Chiffrement en transit (TLS 1.2+) et au repos (AES-256) ;
Contrôles d'accès et authentification basés sur les rôles ;
Sauvegardes régulières avec RPO/RTO définis ;
Gestion et surveillance des vulnérabilités ;
Plans de continuité des activités et de reprise après sinistre.

Notification de violation de données :
Le fournisseur doit informer le client sans délai indu et dans un délai de 72 heures et de prendre connaissance d'une violation de données, en fournissant tous les détails requis par la loi.

A Accord de traitement des données (Annexe C) conforme à RGPD et LGPD, y compris la liste des SCC et des sous-traitants, fait partie intégrante du présent Accord.

Propriété intellectuelle

Tous les droits de propriété intellectuelle relatifs aux Services restent la propriété du Fournisseur.

Tous les droits relatifs aux données client restent la propriété du client.

Le client accorde au fournisseur une licence limitée pour traiter les données du client uniquement à des fins de prestation et d'amélioration des services.

Commentaires : Le client accorde au fournisseur une licence gratuite d’utilisation de ses commentaires afin d’améliorer les services.

Utilisation acceptable

Le client ne doit pas :

Téléverser des logiciels malveillants, du contenu illégal ou contrefaisant.
Utilisez les Services pour l'analyse concurrentielle ou la création de produits concurrents.
Perturber ou interférer avec les systèmes des fournisseurs.
(Formulaires détaillés de politique d'utilisation acceptable) Annexe A.)

Assistance et SLA

Disponibilité: 99,9% temps de disponibilité mensuel.

Maintenance planifiée : Préavis de ≥72h.

Crédits de service : défini dans l'annexe B.

Soutien:

Horaires : horaires d'ouverture Portugal/Brésil.
Priorité P1 : réponse sous 4 h.
Priorité P2 : sous 1 jour ouvrable.
Priorité P3 : sous 3 jours ouvrables.
Canaux : courriel, portail de billetterie.

Durée et résiliation

Chacune des parties peut résilier le contrat en cas de manquement grave non corrigé après un préavis de 30 jours.

Le fournisseur peut suspendre les services en cas de non-paiement après un préavis de 10 jours, en cas de risques de sécurité ou en cas d'obligation légale.

À la fin du processus :

Tout accès est immédiatement interrompu.
Exportation des données. Le client peut exporter ses données dans des formats standard (CSV/JSON, fichiers de projet natifs). uniquement pendant la durée de l'abonnement. Aucune exportation ne sera disponible après la résiliation ou l'expiration du contrat.
Le fournisseur supprimera définitivement les données client de la production et des sauvegardes après la résiliation, sous réserve des obligations légales de conservation.

Dispositions restantes : Confidentialité, Propriété intellectuelle, Responsabilité, Protection des données, Droit applicable.

Garanties

Chaque Partie garantit avoir le pouvoir de conclure le présent Accord.

Le prestataire garantit que les services seront exécutés avec compétence et soin raisonnables.

Le client garantit ses droits sur ses données et leur utilisation légale.

Fonctionnalités bêta : Fourni “ tel quel ”, sans SLA ni garanties.

Indemnité

Indemnisation du fournisseur de propriété intellectuelle : Le fournisseur indemnise le client contre les réclamations de tiers pour violation de propriété intellectuelle, avec des recours (acquisition des droits, remplacement ou résiliation avec remboursement).

Indemnisation du client : Le client indemnisera le fournisseur contre toute réclamation relative aux données du client, à leur utilisation abusive ou à une violation de la loi.

Limitation de responsabilité

Aucune des parties n'est responsable des dommages indirects ou consécutifs.

Responsabilité globale plafonnée à frais payés au cours des 12 mois précédant la réclamation.

Exclusions (sans plafond) : faute intentionnelle, négligence grave, violations de la confidentialité, violations de la protection des données, indemnisation de la propriété intellectuelle, décès ou blessure corporelle.

Force majeure

Aucune des parties n'est responsable des retards causés par des événements indépendants de sa volonté (catastrophes naturelles, grèves, guerre, pannes, actions gouvernementales).

Amendements

Les modifications défavorables importantes ne s'appliquent qu'au renouvellement, avec préavis de 30 jours. Le client peut choisir de ne pas renouveler son contrat sans pénalité.

Droit applicable et juridiction

Le présent accord est régi par et interprété conformément aux lois applicables. lois du Portugal.
La compétence exclusive appartient à Tribunaux de Braga, Portugal.

Pour les clients situés au Brésil, Espace de travail BIM assure le respect des principes de Lei Geral de Proteção de Dados Pessoais (LGPD – Loi n° 13.709/2018), sans préjudice de la juridiction portugaise applicable au présent Accord.

Divers

Entrepreneurs indépendants ; aucun partenariat ni agence.
Le client ne peut céder ses droits sans consentement.
Les clauses invalides n'affectent pas le reste du texte.
Les notifications doivent être faites par écrit (par coursier, en main propre ou par courriel confirmé).
Le présent Accord et ses annexes constituent l'intégralité de l'accord.

Annexes

Annexe A – Politique d’utilisation acceptable
Annexe B – Accord de niveau de service (SLA et assistance)
Annexe C – Accord de traitement des données (RGPD/LGPD, clauses contractuelles types, sous-traitants)
Annexe D – Politique de sécurité
Annexe E – Procédure d’exportation de données et avis OSS

Annexe A – Politique d’utilisation acceptable (PUA)

Cette politique d'utilisation acceptable (la “"Politique"”) définit les règles régissant l'utilisation des Services par le Client et les Utilisateurs autorisés. Les termes en majuscules ont la signification qui leur est attribuée dans le Contrat.

1. Principes généraux

Les Services ne peuvent être utilisés qu'à des fins licites et conformément au Contrat.
Le client est responsable de toute utilisation des Services par ses utilisateurs autorisés.

2. Comportements interdits

Le client et les utilisateurs autorisés ne doivent pas :

Utilisation illégale

Utiliser les Services pour enfreindre la loi applicable, notamment les lois sur la protection des données, le contrôle des exportations, la propriété intellectuelle ou la concurrence.

Sécurité et intégrité

Introduire des logiciels malveillants, des virus, des chevaux de Troie, des vers ou tout autre code nuisible.
Toute tentative de sondage, d'analyse ou de test des vulnérabilités des Services sans consentement écrit préalable est interdite.
Interférer avec ou perturber les systèmes ou réseaux du fournisseur connectés aux Services.

Utilisation abusive des données

Téléverser ou traiter Données interdites (y compris les catégories particulières de données personnelles au sens du RGPD sans base légale, les données d'enfants sans consentement valable ou toute donnée interdite par la loi applicable).
Collecter ou extraire des données des Services sans autorisation.

Abus de services

Contourner les dispositifs de sécurité, les restrictions de licence ou les obligations de paiement.
Copier, modifier, encadrer ou reproduire les Services sans autorisation écrite préalable.
Utiliser les Services pour fournir des services à des tiers concurrents du Fournisseur.

Contenu illégal ou nuisible

Téléverser ou transmettre un contenu diffamatoire, obscène, discriminatoire, offensant, menaçant ou autrement illégal.

3. Application

Le fournisseur peut contrôler le respect de la présente politique.
Le fournisseur peut suspendre ou interrompre l'accès aux Services immédiatement si le Client ou les Utilisateurs autorisés enfreignent la présente Politique, sans préjudice des autres droits prévus par le Contrat.

4. Signalement des infractions

Toute violation présumée de cette politique doit être signalée à [info@bimworkplace.com].

5. Changements

Le fournisseur peut mettre à jour la présente politique de temps à autre afin de tenir compte des changements juridiques, techniques ou commerciaux. La version la plus récente sera mise à la disposition du client.

Annexe B – Accord de niveau de service (SLA et assistance)

Le présent accord de niveau de service (“ SLA ”) fait partie intégrante du contrat conclu entre le fournisseur et le client. Les termes en majuscules ont la signification qui leur est attribuée dans le contrat.

1. Disponibilité du service

Engagement: Le fournisseur mettra les services à disposition 99,9% de chaque mois civil.
Exclusions : Disponibilité exclue :
Maintenance programmée (avec un préavis d'au moins 72 heures) ;
Maintenance d'urgence (n'excédant pas 2 heures par mois) ;
Temps d'arrêt dû à un cas de force majeure, à des défaillances des systèmes clients ou à des problèmes de connectivité de tiers ;
Suspension conformément à l'accord.

2. Crédits de service

Si la disponibilité mensuelle est inférieure à l'engagement, le client peut demander les crédits suivants sur ses factures futures :

Temps de disponibilité mensuel	Crédit (% de frais mensuels)
≥ 99,0% et < 99,9%	5%
≥ 98,0% et < 99,0%	10%
< 98,0%	20%

Les demandes de crédit doivent être formulées par écrit dans les 30 jours suivant le mois concerné.
Les crédits appartiennent au client. seul et unique recours pour indisponibilité.

3. Services de soutien

Le fournisseur assurera l'assistance clientèle par e-mail et via un système de tickets pendant les heures ouvrables (fuseaux horaires du Portugal et du Brésil).

3.1 Heures d'assistance

Du lundi au vendredi, de 9h00 à 18h00 heure locale (jours fériés exclus).

3.2 Niveaux de gravité et délais de réponse

Priorité	Description	Temps de réponse cible	Résolution cible (meilleurs efforts)
P1 – Critique	Service indisponible ou fonctionnalité majeure inutilisable, affectant tous les utilisateurs	4 heures	Solution de contournement ou correction sous 24 heures ouvrables
P2 – Haut	Dégradation importante affectant plusieurs utilisateurs	1 jour ouvrable	Réparation sous 3 jours ouvrables
P3 – Normal	Problèmes mineurs ou limitations de fonctionnalité	3 jours ouvrables	Correction prévue dans la prochaine mise à jour.
P4 – Faible	Questions générales, questions pratiques, demandes d'amélioration	5 jours ouvrables	Conformément à la feuille de route

4. Responsabilités du client

Fournissez des descriptions précises des incidents et les journaux/captures d'écran nécessaires.
Désigner un personnel qualifié comme interlocuteur principal.
Maintenir à jour les systèmes clients et les environnements pris en charge.

5. Exclusions

Ce SLA ne couvre pas :

Problèmes causés par les systèmes clients, les intégrations tierces ou une mauvaise utilisation des services ;
Fonctionnalités bêta ou d'essai explicitement identifiées comme non destinées à la production ;
Problèmes de performance dus à une congestion du réseau Internet indépendante de la volonté du fournisseur.

6. Changements

Le fournisseur peut modifier le présent SLA de temps à autre afin de tenir compte des améliorations ou des mises à jour juridiques et techniques. La version la plus récente sera mise à la disposition du client.

Annexe C – Accord de traitement des données (ATD)

Le présent accord de traitement des données (“ DPA ”) fait partie intégrante du contrat conclu entre le fournisseur et le client. Les termes en majuscules ont la signification qui leur est attribuée dans le contrat.

1. Rôles des parties

Client est le Responsable du traitement des données (ou “ Responsable du traitement ” au sens du RGPD / “ Responsable du traitement ” au sens de la LGPD).
Fournisseur est le Processeur de données (ou “ opérateur ” au sens de la LGPD) lors du traitement des données personnelles du client.

2. Étendue du traitement

Le fournisseur doit :

Traiter les données personnelles du client uniquement sur instructions documentées du client, y compris les transferts de données personnelles vers des pays tiers ;
Traitement effectué uniquement dans le but de fournir et d'améliorer les Services ;
Ne pas conserver les données personnelles plus longtemps que nécessaire pour fournir les services, sauf si la loi l'exige.

3. Sécurité

Le fournisseur doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, notamment :

Chiffrement en transit et au repos ;
Contrôles d'accès avec authentification et permissions basées sur les rôles ;
Sauvegardes régulières et procédures de continuité des activités ;
Gestion des vulnérabilités et surveillance de la sécurité.

4. Sous-processeurs

Le fournisseur peut faire appel à des sous-traitants pour l'hébergement, le support et les services annexes.
Le fournisseur tiendra à jour une liste des sous-traitants.
Le client peut s'abonner aux mises à jour. Toute objection doit être formulée dans un délai de 15 jours.

5. Transferts internationaux de données

Les données client sont stockées et traitées sur des serveurs situés en Virginie, aux États-Unis. Ces transferts hors de l'Espace économique européen sont régis par les clauses contractuelles types (CCT) de la Commission européenne et par des garanties techniques et organisationnelles appropriées. Pour les clients brésiliens, ces transferts sont conformes aux dispositions de la LGPD relatives aux transferts internationaux de données à caractère personnel. Le fournisseur tient à jour la liste des sous-traitants impliqués dans ces transferts et la met à la disposition du client sur demande.

Si des données personnelles sont transférées en dehors de l'EEE, du Royaume-Uni ou du Brésil, le fournisseur doit garantir des garanties adéquates, telles que :

Clauses contractuelles types de l'UE (CCT) ;
Accord de transfert de technologie de l'information (ATTI) ou avenant du Royaume-Uni ;
Clauses contractuelles ou décisions d'adéquation approuvées par le LGPD.
Sur demande, le fournisseur fournira des copies des garanties de transfert.

6. Assistance

Le fournisseur assistera le client dans :

Répondre aux demandes des personnes concernées ;
Réaliser des analyses d'impact relatives à la protection des données ;
Respect des obligations en matière de sécurité, de notification des violations et de conformité.

7. Notification de violation

Le fournisseur doit informer le client sans délai indu et dans un délai de 72 heures de prendre connaissance d'une violation de données personnelles.
La notification devra inclure des détails sur la violation, les données concernées et les mesures prises.

8. Droits d'audit

Le client peut auditer la conformité du fournisseur une fois par an (ou plus si la loi l'exige) avec un préavis de 30 jours, sous réserve de confidentialité.
Le fournisseur peut fournir des certifications tierces (par exemple, ISO 27001, SOC 2) pour satisfaire aux demandes d'audit.

9. Retour ou suppression des données

À la résiliation du Contrat, le Prestataire supprimera ou restituera toutes les Données Personnelles du Client (selon le choix du Client), sauf si leur conservation est requise par la loi.

10. Responsabilité

La responsabilité découlant du présent accord de protection des données est soumise aux règles énoncées dans l'accord.

11. Acceptation

En terminant le processus d'inscription et en cliquant sur “ J'accepte ”, Client confirme son acceptation du présent Accord (y compris ses annexes) et reconnaît qu'il est juridiquement contraignant à compter de la date d'acceptation.

Fournisseur: BIMWorkplace, Lda., NIF 516313096
Rua Luís Barroso, Nº 590, 4ºA, 4760-153 Vila Nova de Famalicão, Portugal

Client: L'entité ou la personne identifiée lors du processus d'inscription.

Annexe 1 – Clauses contractuelles types (Décision 2021/914 de la Commission européenne)

Les clauses contractuelles types (CCT) suivantes s’appliquent aux transferts internationaux de données personnelles de clients vers des pays tiers situés en dehors de l’Espace économique européen, conformément au règlement (UE) 2016/679 (RGPD). Ces CCT sont intégrées intégralement aux présentes, telles qu’adoptées par la Commission européenne le 4 juin 2021 (décision 2021/914).

Module applicable : Module 2 (Contrôleur vers Processeur). Les annexes I, II et III des SCC sont complétées comme suit :

Annexe I – Liste des parties

Exportateur de données : Client, tel qu’identifié dans le contrat d’abonnement.
Importateur de données : BIMWorkplace, Lda., NIF 516313096, Rua Luís Barroso, Nº 590, 4ºA, 4760-153 Vila Nova de Famalicão, Portugal.

Annexe II – Mesures techniques et organisationnelles

Les mesures comprennent : le chiffrement en transit et au repos, les contrôles d’accès, les sauvegardes, la gestion des vulnérabilités, les procédures de réponse aux incidents et la journalisation des audits.

Annexe III – Liste des sous-traitants

Les sous-traitants suivants sont actuellement autorisés par l'importateur de données (BIMWorkplace, Lda.) à traiter les données personnelles des clients dans le cadre des Services :

Microsoft Azure – Fournisseur d’hébergement et d’infrastructure (stockage, calcul, réseau).
Emplacement: Virginie, États-Unis.
Mesures de protection : Clauses contractuelles types (décision 2021/914 de la Commission européenne) ; chiffrement en transit et au repos ; conformité au RGPD et à la LGPD.

Aucun autre sous-processeur n'est engagé pour le moment.

Annexe D – Politique de sécurité et procédure d’exportation des données

1. Politique de sécurité

1.1. Principes généraux
Le fournisseur applique des mesures techniques et organisationnelles conformes aux normes de l'industrie pour protéger les données client contre toute destruction, perte, altération, divulgation ou accès non autorisé, accidentel ou illégal.

1.2. Chiffrement des données

Toutes les données en transit sont chiffrées à l'aide du protocole TLS 1.2 ou supérieur.
Toutes les données au repos sont chiffrées à l'aide d'AES-256 ou d'un équivalent.

1.3. Contrôle d'accès

L'accès est contrôlé par un système de rôles ; seul le personnel autorisé du fournisseur peut accéder aux systèmes selon le principe du besoin d'en connaître.
L'authentification multifacteurs est requise pour l'accès administrateur.

1.4. Sauvegarde et continuité

Des sauvegardes quotidiennes sont effectuées et stockées dans des installations géographiquement redondantes.
Le fournisseur teste régulièrement les procédures de restauration afin de garantir la continuité des activités.

1.5. Gestion des vulnérabilités

Le fournisseur maintient un programme de correction, de surveillance et d'atténuation des vulnérabilités.
Des audits de sécurité et des tests d'intrusion peuvent être réalisés périodiquement.

1.6. Gestion des incidents

Les incidents de sécurité sont consignés et font l'objet d'une enquête rapide.
Le fournisseur informera le client de toute violation de données sans délai indu et en tout état de cause dans un délai de soixante-douze (72) heures, conformément aux exigences du RGPD et du LGPD.

2. Procédure d'exportation des données

2.1. Droits d'exportation

Le client peut exporter ses données pendant la durée de son abonnement en cours en utilisant les fonctionnalités d'exportation standard fournies par le service.
Aucune exportation n'est possible après la résiliation du présent accord.

2.2. Formats d'exportation

Le fournisseur prend en charge l'exportation aux formats standard du secteur (par exemple, IFC, CSV, XLSX, PDF ou autres formats ouverts généralement acceptés).
L'exportation est limitée aux données client ; les données système, les journaux ou les documents propriétaires du fournisseur sont exclus.

2.3. Processus d'exportation

L'exportation des données doit être initiée par l'administrateur du compte client via l'interface du service.
Le fournisseur peut imposer des limitations techniques raisonnables afin de garantir la stabilité et la sécurité du service.

2.4. Suppression après résiliation

Suite à la résiliation du contrat et à l'expiration de toute période de conservation applicable requise par la loi, toutes les données client seront supprimées de manière irréversible des systèmes du fournisseur, sauf lorsque la conservation est imposée par la loi applicable.

Fournisseur: BIMWorkplace, Lda., NIF 516313096
Rua Luís Barroso, Nº 590, 4ºA, 4760-153 Vila Nova de Famalicão, Portugal

Annexe E – Avis et commentaires relatifs à la licence OSS

1. Avis relatifs aux logiciels libres (OSS)

1.1. Composants OSS
Le Service peut inclure ou interagir avec des composants sous licences open source. Ces composants sont fournis selon leurs conditions de licence respectives, lesquelles peuvent accorder au Client des droits supplémentaires au-delà du présent Contrat.

1.2. Aucune restriction sur les droits relatifs aux logiciels libres
Aucune disposition du présent Contrat ne saurait limiter ou restreindre les droits du Client en vertu des licences open source applicables. Des copies des licences open source et des mentions de source sont disponibles sur demande.

1.3. Responsabilité du fournisseur
Le fournisseur demeure seul responsable de s'assurer que l'inclusion de composants OSS ne soumet pas les données du client ou les logiciels propriétaires du fournisseur aux obligations de “ copyleft ” des logiciels libres.

2. Licence de rétroaction

2.1. Commentaires volontaires
Le client peut, à sa discrétion, fournir des suggestions, des idées ou des commentaires concernant le Service (“ Commentaires ”).

2.2. Octroi de licence
En fournissant des commentaires, le Client accorde au Fournisseur une licence mondiale, gratuite, irrévocable et perpétuelle pour utiliser, modifier et intégrer ces commentaires au Service ou à d'autres produits, sans obligation d'attribution ni de compensation.

2.3. Confidentialité
Les commentaires ne constituent pas des informations confidentielles du client, sauf accord contraire exprès et écrit.