Dernière mise à jour : 10 juillet 2025
1.1 Champ d'application. Le présent document établit les conditions générales d'utilisation (ci-après, les "Conditions") de la plateforme en ligne dénommée "Tuduu" (ci-après, la "Plateforme"), développée et fournie par Drilldown S.r.l., dont le siège social est situé au Viale Isonzo 8, 20135 Milan (MI), Italie, N° TVA/C.F. 12392590969 (ci-après "Drilldown"). Les présentes Conditions s'appliquent à tous les Utilisateurs Professionnels qui s'inscrivent sur la Plateforme et utilisent ses services. Par Utilisateurs Professionnels, on entend, à titre d'exemple : les professionnels de la nutrition (ex. nutritionnistes, diététiciens, diététiciens-nutritionnistes) qui utilisent les sections "Recettes" et "Nutrition" ; les créateurs de contenu et fournisseurs de contenu (qui utilisent principalement la section "Recettes") ; et les opérateurs e-commerce (qui utilisent les sections "Shop" et "Recettes").
1.2 Acceptation. L'accès, l'inscription et toute utilisation de la Plateforme par l'Utilisateur supposent la lecture intégrale et l'acceptation expresse des présentes Conditions, ainsi que de tout document qui y est lié (comme la Politique de Confidentialité et l'Accord sur le traitement des données, le cas échéant). En l'absence d'acceptation, l'utilisation de la Plateforme n'est pas autorisée. L'Utilisateur déclare avoir pris connaissance des Conditions et s'engage à les respecter en tout temps.
1.3 Exigences de l'Utilisateur. La Plateforme est destinée aux Utilisateurs Professionnels majeurs et juridiquement capables. En s'inscrivant, l'Utilisateur garantit avoir au moins 18 ans (ou l'âge légal de la majorité dans son pays) et, s'il agit pour le compte d'une société ou d'une entité, disposer des pouvoirs de représentation nécessaires. Drilldown se réserve le droit de demander des informations ou documents supplémentaires pour vérifier le statut professionnel de l'Utilisateur (par exemple, inscription à un ordre professionnel pour les nutritionnistes, si requis par la législation en vigueur).
2.1 Procédure d'inscription. L'inscription à la Plateforme peut se faire (i) via le formulaire d'inscription en ligne disponible sur le site web de la Plateforme, dans lequel l'Utilisateur fournira les données requises, ou (ii) par invitation directe envoyée par Drilldown (par exemple, dans le cadre de collaborations, programmes pilotes ou affiliations). Dans les deux cas, à la fin de l'inscription, un compte personnel (ci-après, "Compte") sera créé pour l'Utilisateur.
2.2 Données fournies et identifiants. L'Utilisateur s'engage à fournir lors de l'inscription des informations exactes, complètes et véridiques (par exemple : nom, prénom, adresse e-mail, données professionnelles, etc.) et à les maintenir à jour. Les identifiants d'accès au Compte (nom d'utilisateur et mot de passe) sont personnels et non transférables. L'Utilisateur doit garder ses identifiants strictement confidentiels et ne pas les partager avec des tiers. En cas de perte, vol ou suspicion d'utilisation non autorisée du Compte, l'Utilisateur doit immédiatement informer Drilldown, qui pourra prendre les mesures nécessaires (ex. suspension temporaire du Compte).
2.3 Unicité du Compte. Chaque Utilisateur peut créer un seul Compte, sauf autorisation écrite contraire de Drilldown pour des besoins spécifiques (par exemple, comptes séparés pour différents collaborateurs d'une même organisation). Drilldown se réserve le droit de supprimer ou fusionner les comptes en double relatifs au même Utilisateur.
2.4 Gestion et suspension du Compte. L'Utilisateur est responsable de toutes les activités effectuées via son Compte. Drilldown se réserve le droit de refuser, suspendre ou supprimer une inscription ou un Compte, à tout moment et sans préavis, s'il estime qu'il y a violation des présentes Conditions, usage abusif de la Plateforme, ou pour des raisons de sécurité. En cas de suppression du Compte par Drilldown pour violation des Conditions, l'Utilisateur n'aura droit à aucun remboursement des éventuels paiements effectués pour des périodes de service non utilisées, sauf disposition légale contraire.
3.1 Section "Recettes". La Plateforme met à disposition une section "Recettes" où les Utilisateurs peuvent créer, télécharger et gérer des recettes culinaires. Cette section est accessible à tous les Utilisateurs Professionnels inscrits, notamment : (i) les professionnels de la nutrition, qui peuvent créer des recettes à inclure dans les plans alimentaires pour leurs clients ou pour les partager avec d'autres utilisateurs ; (ii) les créateurs et fournisseurs de contenu, qui peuvent publier des recettes originales, avec textes, ingrédients, instructions et images, les rendant disponibles sur la Plateforme ; (iii) les opérateurs e-commerce, qui peuvent associer les produits de leur boutique en ligne comme ingrédients des recettes, faisant de ces recettes un outil de promotion et de vente des produits alimentaires. La section Recettes permet d'appliquer des filtres nutritionnels et de préférences alimentaires (ex. recettes végétariennes, véganes, sans gluten, etc.) pour faciliter la recherche de plats adaptés à des besoins spécifiques. Les recettes téléchargées sont traitées par la Plateforme via des algorithmes qui analysent les ingrédients et calculent automatiquement les valeurs nutritionnelles (par exemple calories, macronutriments, etc.) par portion, ainsi que la compatibilité avec certains régimes alimentaires selon les ingrédients indiqués.
3.2 Section "Shop". La section "Shop" est dédiée aux Utilisateurs Professionnels qui sont opérateurs e-commerce et/ou retail, notamment dans le secteur alimentaire ou nutritionnel. Dans cette section, l'Utilisateur peut intégrer son catalogue de produits alimentaires ou ingrédients avec la Plateforme Tuduu. En particulier, l'opérateur e-commerce peut lier les produits de sa boutique en ligne aux recettes présentes sur Tuduu : cela permet, par exemple, qu'un ingrédient listé dans une recette corresponde à un produit achetable sur la boutique de l'opérateur. Les utilisateurs finaux de la Plateforme (ex. visiteurs ou clients de l'opérateur) pourront ainsi ajouter ces ingrédients/produits directement au panier d'achat en un clic, créant une expérience de "recette achetable". La Plateforme offre également des fonctionnalités SEO (Search Engine Optimization) automatiques pour les recettes intégrées avec la boutique, afin d'en augmenter la visibilité en ligne. Pour les produits associés à la Boutique, la Plateforme peut aussi appliquer des algorithmes d'analyse nutritionnelle et de catégorisation : par exemple, en identifiant les caractéristiques nutritionnelles ou la présence/absence d'allergènes et en générant automatiquement des filtres (ex. "sans lactose", "bio", etc.) qui aident les utilisateurs à trouver des produits adaptés à leurs besoins diététiques.
3.3 Section "Nutrition". La section "Nutrition" s'adresse principalement aux professionnels de la nutrition (nutritionnistes, diététiciens, diététiciens-nutritionnistes ou autres figures habilitées). Dans cette zone de la Plateforme, le professionnel peut gérer des informations et plans nutritionnels pour ses clients/patients. Les fonctionnalités de la section Nutrition incluent des outils pour créer et personnaliser des plans alimentaires, régimes ou rapports nutritionnels. Le professionnel peut utiliser les recettes (propres ou disponibles sur la Plateforme) dans les plans nutritionnels, avec la possibilité de modifier les portions et de voir les impacts nutritionnels en temps réel grâce aux algorithmes de calcul nutritionnel intégrés. De plus, la section Nutrition permet de générer des documents PDF (ex. fiches diététiques ou rapports à remettre au client) et d'utiliser une application mobile dédiée : cette application mobile permet au client final de visualiser son plan nutritionnel, les recettes recommandées et d'autres informations partagées par le professionnel, directement sur son smartphone. Cela favorise un suivi continu et une interaction plus directe entre le professionnel et le client via la Plateforme.
3.4 Algorithmes d'analyse nutritionnelle. Dans toutes les sections décrites ci-dessus, la Plateforme Tuduu utilise des algorithmes avancés pour l'analyse nutritionnelle des recettes et produits. Ces algorithmes traitent les données fournies par les Utilisateurs (ingrédients des recettes, informations nutritionnelles des produits, portions, etc.) et produisent automatiquement des résultats tels que : le calcul des valeurs nutritionnelles (ex. énergie, macronutriments, micronutriments), indications sur les allergènes ou substances spécifiques présentes, et suggestions sur la compatibilité des recettes/produits avec certains régimes particuliers (par exemple, si une recette est adaptée à un régime végan ou sans gluten). Les algorithmes visent à fournir des informations utiles et précises ; toutefois, ils fonctionnent sur la base des données disponibles et de règles générales, sans intervention humaine directe. Par conséquent, les résultats générés peuvent ne pas être toujours parfaitement exacts ou adaptés à chaque circonstance. Il est de la responsabilité de l'Utilisateur (en particulier du professionnel de la nutrition) d'examiner et de vérifier l'exactitude des informations nutritionnelles et des suggestions fournies par les algorithmes avant de les utiliser ou de les communiquer à ses clients. Les modalités selon lesquelles les Utilisateurs doivent gérer d'éventuelles erreurs ou incohérences sont décrites dans les sections suivantes des présentes Conditions.
4.1 Utilisation conforme et licite. L'Utilisateur s'engage à utiliser la Plateforme et les services associés conformément aux présentes Conditions, aux éventuelles instructions fournies par Drilldown, et dans le respect des lois et règlements applicables. Il est interdit à l'Utilisateur d'utiliser la Plateforme à des fins illégales ou non autorisées. En particulier, l'Utilisateur ne doit pas : (i) utiliser la Plateforme de manière à violer les droits de tiers ou les lois (ex. propriété intellectuelle, protection des données personnelles, concurrence loyale, etc.) ; (ii) introduire des contenus ou matériaux nuisibles, offensants, diffamatoires, obscènes ou autrement inappropriés ; (iii) tenter d'accéder sans autorisation aux fonctionnalités de la Plateforme, aux comptes d'autrui ou aux systèmes informatiques de Drilldown, ni compromettre la sécurité ou l'intégrité de la Plateforme (ex. par introduction de virus, malware ou autres activités perturbatrices).
4.2 Vérification des résultats algorithmiques. Comme décrit au paragraphe 3.4, la Plateforme génère automatiquement des informations nutritionnelles et des suggestions via des algorithmes. L'Utilisateur reconnaît que ces informations sont indicatives et doivent toujours être évaluées de manière critique. Il est de l'obligation de l'Utilisateur, en particulier s'il est professionnel de la nutrition, de contrôler l'exactitude et la cohérence des résultats algorithmiques (ex. valeurs nutritionnelles calculées pour une recette, étiquettes nutritionnelles ou diététiques attribuées à un produit) avant de les utiliser à des fins professionnelles ou de les partager avec ses clients ou le public. Si l'Utilisateur constate des erreurs, incohérences ou anomalies dans les données générées par la Plateforme, il s'engage à les signaler rapidement à Drilldown via les outils d'assistance ou de contact mis à disposition. L'Utilisateur est conscient que le non-respect de cette obligation de vérification peut entraîner la diffusion d'informations inexactes, dont il sera lui-même responsable.
4.3 Contenus de l'Utilisateur – Licences et garanties. Tous les contenus téléchargés, publiés ou autrement insérés par l'Utilisateur sur la Plateforme (y compris, à titre d'exemple : textes, recettes, ingrédients, photos, vidéos, marques, logos, descriptions de produits) doivent être légalement disponibles pour l'Utilisateur. L'Utilisateur garantit détenir les droits nécessaires (de propriété intellectuelle et/ou d'utilisation) sur ces contenus, ou avoir obtenu les autorisations appropriées des titulaires des droits, de sorte que l'utilisation des contenus sur la Plateforme et par Drilldown conformément aux présentes Conditions ne viole pas les droits de tiers. De plus, en téléchargeant des contenus sur la Plateforme, l'Utilisateur accorde à Drilldown un droit et une licence non exclusifs, sous-licenciables et gratuits d'utiliser, reproduire, modifier, publier, traduire, distribuer, afficher et exécuter ces contenus exclusivement en relation avec la fourniture des services de la Plateforme et ses activités promotionnelles. Cette licence cessera dès que l'Utilisateur supprimera les contenus de son Compte ou de la Plateforme, sauf si la conservation est requise par la loi ou pour la protection des droits. L'Utilisateur garantit également que les contenus fournis sont exacts, véridiques (ex. les informations nutritionnelles ou les ingrédients d'une recette correspondent à la réalité) et ne contreviennent pas aux lois ou règlements (ex. ne contiennent pas d'affirmations trompeuses ou interdites dans le domaine alimentaire). L'Utilisateur assume l'entière responsabilité des contenus qu'il insère sur la Plateforme, dégageant et indemnisant Drilldown de toute réclamation de tiers découlant de ces contenus (voir aussi la Clause d'Indemnisation au par. 9.4). Drilldown se réserve le droit de supprimer ou masquer tout contenu de l'Utilisateur qu'il juge, à sa seule discrétion, en violation des présentes Conditions ou des droits de tiers, ou inapproprié.
4.4 Obligations spécifiques pour les Opérateurs e-commerce. L'Utilisateur qui utilise la section Shop en tant qu'opérateur e-commerce est seul responsable des produits qu'il rend disponibles et des transactions commerciales éventuellement conclues via la Plateforme. Cela inclut, à titre d'exemple mais non exhaustif : la conformité des produits alimentaires aux réglementations en vigueur (ex. sécurité alimentaire, étiquetage, indications nutritionnelles et sanitaires autorisées) ; la véracité et la complétude des descriptions des produits (ingrédients, allergènes, caractéristiques nutritionnelles, prix, etc.) ; la gestion des commandes effectuées par les utilisateurs finaux, leur expédition, livraison, facturation, ainsi que le service après-vente, retours et remboursements conformément à la loi applicable (ex. Code de la Consommation, si applicable au client final). Drilldown fournit uniquement l'infrastructure technologique de la Plateforme pour faciliter la rencontre entre l'opérateur e-commerce et les utilisateurs finaux acheteurs : Drilldown, sauf intervention de partenaires tiers, n'est pas partie contractante des ventes de produits entre l'Utilisateur opérateur e-commerce et les clients finaux, ni n'assume d'obligations de garantie sur les produits vendus par ces Utilisateurs. L'opérateur e-commerce indemnisera pleinement Drilldown de toute responsabilité ou coût résultant de réclamations, contestations, dommages ou violations liés aux produits qu'il propose ou aux transactions commerciales effectuées via la Plateforme.
4.5 Respect des normes professionnelles. Si l'Utilisateur est un professionnel soumis à des règles déontologiques ou exigences légales spécifiques (ex. un nutritionniste inscrit à un Ordre professionnel), il doit utiliser la Plateforme conformément aux obligations découlant de son statut professionnel. Par exemple, le professionnel de la nutrition doit s'assurer que l'utilisation des outils de la Plateforme (comme l'élaboration de régimes ou conseils nutritionnels) respecte les lignes directrices et réglementations applicables à sa profession. Rien dans les présentes Conditions ne dégage l'Utilisateur du respect de ces obligations professionnelles.
5.1 Services payants et plans SaaS. L'accès à certaines fonctionnalités ou sections de la Plateforme (ex. utilisation avancée de la section Recettes pour e-commerce, ou outils avancés de la section Nutrition) peut être soumis à la souscription d'un plan d'abonnement SaaS (Software-as-a-Service) payant. Drilldown peut proposer différents plans avec divers niveaux de service (ex. : plans avec un nombre maximal de recettes gérables, fonctionnalités supplémentaires comme recettes "achetables", suppression du watermark Tuduu, support prioritaire, etc.), comme décrits sur la Plateforme ou dans la documentation commerciale de Drilldown. Certains plans peuvent prévoir une période d'essai gratuite initiale, à l'issue de laquelle l'abonnement deviendra payant sauf annulation en temps utile par l'Utilisateur.
5.2 Tarifs et modalités de paiement. Les prix des différents forfaits d'abonnement (ci-après "Tarifs") sont indiqués sur la Plateforme ou communiqués par Drilldown à l'Utilisateur au moment de la souscription. Les Tarifs sont généralement exprimés hors TVA et autres taxes applicables, qui seront ajoutées si dues selon la législation fiscale en vigueur. Le paiement des Tarifs s'effectue via des systèmes de paiement électronique externes, tels que Stripe à titre d'exemple. Lors de la souscription, l'Utilisateur peut être invité à saisir les données d'une carte de crédit ou autre moyen de paiement supporté, et l'Utilisateur autorise Drilldown (ou le fournisseur tiers Stripe) à débiter automatiquement le Tarifs dû selon la périodicité prévue par le plan choisi (ex. mensuelle ou annuelle). Toutes les transactions sont soumises aux termes et conditions du fournisseur de paiement Stripe ; Drilldown ne stocke pas les détails complets des cartes de crédit de l'Utilisateur, qui sont gérés en toute sécurité par Stripe.
5.3 Modifications de prix. Drilldown se réserve le droit de modifier le prix des plans d'abonnement à tout moment. Toute modification de prix prendra effet au plus tôt à la période de facturation suivant la communication à l'Utilisateur. Drilldown informera l'Utilisateur de manière appropriée (ex. par e-mail ou notification sur la Plateforme) concernant les changements de prix avec un préavis raisonnable. Si l'Utilisateur ne souhaite pas accepter le nouveau prix, il pourra résilier l'abonnement avant l'entrée en vigueur de la modification ; la poursuite de l'utilisation du service après l'entrée en vigueur de la modification constituera une acceptation du nouveau prix.
5.4 Durée de l'abonnement et annulation. Sauf indication contraire, les abonnements sont à renouvellement automatique : à l'expiration de chaque période (mensuelle, annuelle, etc.), l'abonnement se renouvelle automatiquement pour une période supplémentaire de même durée, sauf annulation par l'Utilisateur ou résiliation par Drilldown dans les délais indiqués ci-dessous. L'Utilisateur peut résilier l'abonnement à tout moment via la fonctionnalité dédiée sur la Plateforme (ex. dans les paramètres du Compte) ou en contactant le support de Drilldown pour demander l'annulation. L'annulation prendra effet à la fin de la période d'abonnement déjà payée : jusqu'à cette date, l'Utilisateur conservera l'accès aux fonctionnalités payantes, et aucun remboursement ne sera prévu pour les périodes non utilisées. En cas de non-paiement du Tarifs (ex. carte de crédit invalide ou fonds insuffisants) ou de violation des présentes Conditions par l'Utilisateur, Drilldown pourra suspendre ou résilier l'abonnement ; dans ce cas, l'Utilisateur reste tenu au paiement des montants dus jusqu'à la date de cessation, sans préjudice du droit de Drilldown à des dommages-intérêts supplémentaires si la résiliation est due à un manquement de l'Utilisateur.
Si Drilldown et l'Utilisateur ont conclu un accord écrit spécifique prévoyant des termes et conditions particuliers pour l'utilisation de la Plateforme (ex. contrat de service personnalisé, convention d'entreprise ou partenariat), ou la publication de contenus (recettes et produits) sur des canaux externes tels que la marketplace Tuduu.it ou autres canaux partagés, les dispositions de cet accord particulier s'appliqueront en complément des présentes Conditions. En cas de conflit entre les clauses du contrat personnalisé et les présentes Conditions générales, les clauses du contrat personnalisé prévaudront, dans la mesure des aspects en conflit. Il est entendu que pour tout ce qui n'est pas expressément régi dans l'accord spécifique, les présentes Conditions Générales s'appliqueront.
7.1 Plateforme et contenus de Drilldown. La Plateforme (y compris le logiciel, le code source, le design, l'interface utilisateur, les bases de données, les marques "Tuduu" et "Drilldown", les logos, les noms de domaine, et tous les autres contenus et matériaux présents sur le site et l'application à l'exception des Contenus de l'Utilisateur tels que définis ci-dessus) est la propriété exclusive de Drilldown ou de ses éventuels concédants. Ces éléments sont protégés par les lois sur le droit d'auteur, les marques, les brevets, le design industriel et/ou autres réglementations protégeant la propriété intellectuelle. L'Utilisateur s'engage à ne pas copier, modifier, distribuer, vendre ou créer des œuvres dérivées de toute partie de la Plateforme ou de ses contenus propriétaires, sauf autorisation expresse de Drilldown ou disposition légale. L'accès à la Plateforme ne transfère en aucun cas à l'Utilisateur des droits de propriété intellectuelle sur le logiciel ou autres éléments appartenant à Drilldown, mais seulement une licence d'utilisation limitée, révocable et non exclusive, destinée à l'utilisation de la Plateforme conformément aux présentes Conditions.
7.2 Contenus de l'Utilisateur. L'Utilisateur conserve la pleine propriété des droits sur ses propres contenus qu'il télécharge sur la Plateforme (comme défini au paragraphe 4.3). Toutefois, conformément à la clause 4.3, l'Utilisateur accorde à Drilldown une licence d'utilisation de ces contenus pour les finalités et avec les limitations décrites. L'Utilisateur reconnaît que ces contenus publiés sur la Plateforme peuvent être visibles par d'autres utilisateurs ou, dans le cas de recettes ou informations rendues publiques, également par des visiteurs non inscrits, et autorise Drilldown à effectuer les activités de publication, partage ou indexation nécessaires pour donner visibilité à ces contenus dans les termes prévus par les fonctionnalités de la Plateforme.
7.3 Retours et suggestions. Si l'Utilisateur fournit à Drilldown des commentaires, suggestions ou idées relatives à la Plateforme ou aux services (ex. signalement de nouvelles fonctionnalités ou améliorations), ces contributions ne seront pas considérées comme confidentielles. Drilldown sera libre d'utiliser ces retours à toute fin, sans que cela confère à l'Utilisateur un droit à une quelconque compensation ou reconnaissance, et sans transfert de droits à l'Utilisateur sur d'éventuelles modifications ou améliorations mises en œuvre.
8.1 Traitement des données personnelles. Drilldown traite les données personnelles fournies par l'Utilisateur ou autrement collectées lors de l'utilisation de la Plateforme conformément au Règlement UE 2016/679 ("RGPD") et à la législation italienne applicable en matière de confidentialité. Les informations sur les modalités et finalités du traitement des données personnelles sont détaillées dans la Politique de Confidentialité fournie à l'Utilisateur et disponible sur le site de la Plateforme. En acceptant les présentes Conditions, l'Utilisateur déclare avoir pris connaissance de cette politique.
8.2 Données de tiers saisies par l'Utilisateur. Si l'Utilisateur (par exemple un professionnel de la nutrition) saisit sur la Plateforme des données personnelles de tiers, telles que des informations sur ses clients ou patients (ex. nom, contacts, données relatives à la santé ou au régime alimentaire), il garantit avoir acquis ces données légalement et, si nécessaire, avoir obtenu le consentement éclairé des personnes concernées pour l'utilisation de ces données au sein de la Plateforme. Concernant ces traitements, l'Utilisateur est qualifié de Responsable du traitement et Drilldown agit en tant que Sous-traitant conformément à l'article 28 du RGPD, limité aux activités de conservation et de traitement nécessaires à la fourniture des services de la Plateforme. À cet égard, un accord spécifique sur le traitement des données (Data Processing Agreement) pourra être établi, détaillant les obligations respectives en matière de protection des données personnelles ; cet accord, le cas échéant, fait partie intégrante des présentes Conditions.
8.3 Données d'utilisation et données agrégées. Drilldown est autorisé à collecter et traiter des données relatives à l'utilisation de la Plateforme par les Utilisateurs (ex. fonctionnalités utilisées, nombre de recettes créées, paramètres de recherche, statistiques de navigation, retours fournis, etc.) afin d'améliorer le service et garantir le bon fonctionnement de la Plateforme. Ces données d'utilisation, une fois collectées, peuvent être anonymisées et agrégées, de manière à ne plus permettre l'identification directe ou indirecte des Utilisateurs ou des personnes physiques. L'Utilisateur prend acte et accepte expressément que Drilldown, dans le respect de la législation en vigueur, puisse utiliser ces données anonymes et agrégées à des fins d'analyse statistique, de recherche et développement, ainsi qu'à des fins commerciales et de monétisation. Cela peut inclure, par exemple, la publication de rapports ou d'insights sur les tendances nutritionnelles tirées des données globales des utilisateurs, ou le partage de données statistiques avec des tiers intéressés (ex. partenaires commerciaux) sous forme strictement anonyme. En aucun cas ces activités ne conduiront à la communication à des tiers de données personnelles identifiantes de l'Utilisateur sans son consentement ou sans autre base légale valide prévue par la loi.
9.1 Fonctionnalités de la Plateforme - "telles quelles". La Plateforme Tuduu et tous ses services et fonctionnalités sont fournis à l'Utilisateur selon la formule "telles quelles" et "selon disponibilité" ("as is" et "as available"). Cela signifie que, bien que Drilldown s'engage à maintenir la Plateforme opérationnelle et à jour, aucune garantie spécifique n'est donnée quant à l'absence d'erreurs ou d'interruptions. En particulier, Drilldown ne garantit pas que : (i) la Plateforme réponde pleinement aux besoins spécifiques de l'Utilisateur ; (ii) les résultats obtenus via l'utilisation de la Plateforme (y compris les analyses nutritionnelles algorithmiques) soient toujours précis, exacts ou fiables ; (iii) le fonctionnement de la Plateforme soit exempt d'interruptions, retards, dysfonctionnements ou erreurs ; (iv) les éventuels défauts ou bugs du logiciel soient corrigés immédiatement. L'Utilisateur accepte que l'utilisation de la Plateforme se fasse à ses propres risques.
9.2 Limitation de responsabilité de Drilldown. Dans la mesure maximale permise par la loi applicable, Drilldown ne sera pas responsable des dommages indirects, accessoires, consécutifs, spéciaux ou punitifs subis par l'Utilisateur ou des tiers en lien avec l'utilisation de la Plateforme ou l'impossibilité de l'utiliser. Sont en tout cas exclus de l'indemnisation, dans les limites ci-dessus, les dommages tels que : perte de profit, manque à gagner ou économies manquées, perte d'opportunités commerciales, perte de données, interruption d'activité ou réclamations de tiers envers l'Utilisateur. Si Drilldown était tenue responsable pour quelque raison que ce soit dans le cadre de la relation contractuelle avec l'Utilisateur, la responsabilité totale de Drilldown ne pourra excéder le montant des paiements que l'Utilisateur a versés à Drilldown au cours des 12 mois précédant l'événement ayant généré la responsabilité (ou, si l'utilisation de la Plateforme est gratuite, un montant maximal de 100 euros). Cette limitation de responsabilité s'applique dans la mesure maximale permise par la loi, et rien dans les présentes Conditions ne limite la responsabilité de Drilldown en cas de dol ou faute grave, ou autres cas où la loi n'admet pas de limitation.
9.3 Aucune consultation médicale ou diagnostic. L'Utilisateur reconnaît que la Plateforme et les fonctionnalités fournies ne constituent pas un dispositif médical et ne constituent en aucun cas une offre de consultation médicale, diagnostic ou traitement personnalisé. Les informations nutritionnelles, données et suggestions générées via Tuduu ont uniquement un but informatif et de support professionnel, et ne remplacent en aucun cas l'avis médical ou l'évaluation d'un professionnel de santé habilité. Toute décision concernant la santé, le régime ou le traitement d'un individu doit être prise par un professionnel compétent sur la base d'une évaluation directe du cas spécifique. Si l'Utilisateur est un professionnel de la nutrition, il reste pleinement responsable des conseils fournis à ses clients/patients : l'utilisation de la Plateforme ne le dégage pas de son devoir d'évaluation personnelle et du respect des meilleures pratiques professionnelles. Si l'Utilisateur n'est pas un professionnel de santé, il doit toujours consulter des médecins ou spécialistes qualifiés pour diagnostics ou conseils thérapeutiques. Drilldown ne garantit aucun résultat en termes de santé ou condition physique résultant de l'utilisation de la Plateforme, ni n'assume de responsabilité pour les conséquences d'une confiance exclusive aux informations obtenues via la Plateforme.
9.4 Indemnisation de l'Utilisateur. L'Utilisateur s'engage à indemniser et à tenir indemne Drilldown, ainsi que ses représentants, employés et collaborateurs, de toute perte, dommage, responsabilité, coût ou dépense (y compris frais juridiques raisonnables) résultant de toute réclamation ou demande de tiers causée par ou liée à : (i) contenus fournis par l'Utilisateur sur la Plateforme, violant les droits de tiers ou la loi ; (ii) violation par l'Utilisateur des présentes Conditions ou obligations légales dans l'utilisation de la Plateforme ; (iii) négligence, imprudence ou dol de l'Utilisateur dans l'utilisation de la Plateforme ; (iv) produits vendus ou commercialisés par l'Utilisateur via la Plateforme (en cas d'opérateur e-commerce), y compris les contestations sur la qualité, conformité ou sécurité de ces produits. Drilldown notifiera rapidement à l'Utilisateur toute réclamation éventuelle et collaborera raisonnablement à la défense, étant entendu que Drilldown pourra gérer sa défense légale de manière autonome.
10.1 Durée du contrat. Le présent accord contractuel entre l'Utilisateur et Drilldown entre en vigueur au moment de l'acceptation des Conditions par l'Utilisateur (inscription et/ou première utilisation de la Plateforme) et reste valable pendant toute la durée d'utilisation de la Plateforme par l'Utilisateur. Le compte et l'abonnement éventuel de l'Utilisateur sont à durée indéterminée avec renouvellements périodiques automatiques comme décrit ci-dessus, sauf cessation selon les dispositions suivantes.
10.2 Résiliation par l'Utilisateur. L'Utilisateur peut résilier à tout moment la relation contractuelle en demandant la suppression de son Compte et en cessant d'utiliser la Plateforme. La suppression du Compte peut être effectuée via la fonction dédiée sur la Plateforme (si disponible) ou en contactant Drilldown par écrit. En cas de résiliation volontaire, l'Utilisateur n'aura droit à aucun remboursement des paiements déjà effectués pour des services non pleinement utilisés, sauf disposition au par. 5.4 pour les abonnements en cours. La fermeture du Compte entraîne l'inaccessibilité future aux données et contenus insérés par l'Utilisateur sur la Plateforme, sous réserve des obligations de conservation des données pour respect des lois ou protection des droits comme indiqué dans la Politique de Confidentialité.
10.3 Suspension ou résiliation par Drilldown. Drilldown se réserve le droit de suspendre temporairement l'accès de l'Utilisateur à la Plateforme ou de résilier le présent contrat avec effet immédiat (désactivation du Compte), dans les cas suivants : (i) lorsque cela est nécessaire pour garantir la sécurité de la Plateforme ou des données (ex. violation ou menace à la sécurité informatique) ; (ii) en cas de violation grave ou répétée par l'Utilisateur des présentes Conditions (ex. usage illicite de la Plateforme, non-paiement des tarifs dus, divulgation non autorisée de données confidentielles, etc.) ; (iii) si requis par une décision d'une Autorité ou par une loi ; (iv) en cas de cessation d'activité de Drilldown relative à la Plateforme ou d'impossibilité survenue de fournir les services. Sauf interdiction légale ou décision (ex. ordre d'une autorité de blocage immédiat), Drilldown fournira à l'Utilisateur une notification écrite de la suspension ou résiliation, indiquant les motifs, avec un préavis raisonnable lorsque possible. En cas de résiliation non imputable à l'Utilisateur (ex. hypothèse (iv) ci-dessus), Drilldown, le cas échéant, remboursera à l'Utilisateur la partie du tarif déjà payée relative à la période d'abonnement non utilisée après la date d'effet de la résiliation.
10.4 Effets de la cessation. À la suite de la cessation du contrat, pour quelque cause que ce soit, l'Utilisateur doit immédiatement cesser d'utiliser la Plateforme. Toutes les clauses des présentes Conditions qui, par leur nature, sont destinées à survivre à la cessation (telles que, à titre d'exemple : obligations de paiement acquises, exclusions de garantie, limitations de responsabilité, indemnités, dispositions relatives à la propriété intellectuelle et au traitement des données) continueront à avoir pleine vigueur. La cessation de l'effet des Conditions ne porte pas préjudice aux droits ou recours légaux acquis par les parties jusqu'à ce moment.
Drilldown se réserve le droit de mettre à jour ou modifier à tout moment les présentes Conditions, par exemple pour les adapter à des changements législatifs, introduction de nouvelles fonctionnalités ou services, ou pour d'autres besoins organisationnels. En cas de modification substantielle des Conditions, Drilldown en informera l'Utilisateur avec un préavis adéquat, par publication d'un avis sur le site de la Plateforme et/ou par envoi d'une communication à l'adresse e-mail enregistrée de l'Utilisateur. Les modifications prendront effet à la date indiquée dans la communication (ou, à défaut d'indication, 15 jours après la communication). Si l'Utilisateur ne souhaite pas accepter les modifications, il pourra résilier le contrat avant la date d'entrée en vigueur ; à défaut de résiliation dans ce délai, les nouvelles Conditions seront considérées comme acceptées et s'appliqueront à l'Utilisateur à compter de la date d'entrée en vigueur indiquée.
Les présentes Conditions et toutes les relations contractuelles qui en découlent sont régies par le droit italien. Tout litige entre Drilldown et l'Utilisateur relatif à l'interprétation, validité, exécution ou résiliation des présentes Conditions, ou lié à l'utilisation de la Plateforme, sera soumis à la compétence exclusive du Tribunal de Milan, sous réserve des juridictions impératives prévues par la loi applicable.
13.1 Intégralité de l'accord. Les présentes Conditions (ainsi que les documents mentionnés ou annexés, tels que la Politique de Confidentialité et, le cas échéant, l'Accord sur le traitement des données) constituent l'intégralité de l'accord entre l'Utilisateur et Drilldown concernant l'utilisation de la Plateforme par l'Utilisateur, et remplacent tout accord antérieur, oral ou écrit, entre les parties sur le même objet. La possibilité de conclure des contrats ad hoc conformément à l'article 6 ci-dessus reste réservée.
13.2 Invalidité partielle. Si une disposition des présentes Conditions était jugée nulle, invalide ou inefficace par une autorité compétente (ex. un tribunal), elle sera appliquée dans la mesure maximale permise et cela n'affectera pas la validité et l'efficacité des autres dispositions, qui resteront pleinement valides et contraignantes.
13.3 Non-renonciation. Le fait pour Drilldown de ne pas exercer ou de retarder l'exercice d'un droit ou d'une faculté prévue en sa faveur par les présentes Conditions ne constitue en aucun cas une renonciation à faire valoir ce droit ou cette faculté, qui pourra être exercé ultérieurement dans les limites permises par la loi.
13.4 Cession du contrat. L'Utilisateur ne peut céder ou transférer à des tiers le présent contrat (c'est-à-dire son Compte et les droits/obligations découlant des Conditions) sans le consentement écrit préalable de Drilldown. Drilldown, après notification à l'Utilisateur, pourra céder le présent contrat dans le cadre de transferts d'entreprise, opérations extraordinaires ou à des sociétés contrôlantes, contrôlées ou affiliées, sans préjudice des droits de l'Utilisateur en vertu des présentes Conditions.
13.5 Langue et versions. Les présentes Conditions Générales d'Utilisation sont rédigées en langue italienne. Toute traduction dans d'autres langues ou versions locales est fournie uniquement pour faciliter la consultation ; en cas de divergence ou de doute d'interprétation, le texte en italien prévaudra.
13.6 Contacts. Pour toute communication relative aux présentes Conditions ou à l'utilisation de la Plateforme, l'Utilisateur peut contacter Drilldown aux coordonnées indiquées sur le site (ex. adresse e-mail de support fournie). Drilldown pourra contacter l'Utilisateur aux coordonnées (e-mail, adresse) fournies lors de l'inscription.
Parties : Le présent Accord sur le traitement des données est conclu entre :
Responsable du traitement (ci-après "Responsable") : la société fournissant le module nutrition (ex. plateforme logicielle/CRM), qui traite les données personnelles pour le compte du Responsable.
Responsable du traitement (ci-après "Responsable") : la société fournissant le module nutrition (ex. plateforme logicielle/CRM), qui traite les données personnelles pour le compte du Responsable.
1.1 Objet
Conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD), le présent accord régit le traitement des données personnelles que le Responsable effectue pour le compte du Responsable dans le cadre du module nutrition du service fourni au Responsable. En particulier, le Responsable traitera les données saisies par le Responsable dans le CRM (nom, prénom, contacts, données nutritionnelles des patients, etc.) exclusivement pour fournir les fonctionnalités du module nutrition et conformément aux instructions du Responsable (voir Section 6). Le traitement des données personnelles se fera selon les opérations autorisées par l'article 4(2) RGPD, telles que la collecte, l'enregistrement, l'organisation, la conservation, la consultation, l'utilisation, la modification, la suppression, etc., nécessaires à la fourniture du service.
1.2 Durée
La durée du présent accord coïncide avec celle de la relation contractuelle entre le Responsable et le Responsable relative à l'utilisation du module nutrition. L'accord reste en vigueur tant que le Responsable traite des données personnelles pour le compte du Responsable. En cas de cessation du service principal (ex. suppression du compte ou fin du contrat de service), les dispositions relatives à la restitution/suppression des données de la Section 10 s'appliqueront. Le Responsable peut résilier immédiatement le présent accord en cas de violation grave par le Responsable des règles de protection des données ou des obligations ici prévues. Le droit de chaque partie de demander réparation pour tout dommage résultant de la violation de l'accord reste réservé.
Le Responsable fournit au Responsable une plateforme logicielle (module nutrition) en mode Software as a Service pour la gestion de l'activité nutritionnelle des patients. La finalité du traitement est de permettre au Responsable d'archiver et de traiter des informations sur ses patients afin d'offrir des conseils nutritionnels personnalisés, d'élaborer des plans alimentaires, de suivre l'évolution du poids et d'autres paramètres de santé, ainsi que de gérer les communications avec les patients et les rendez-vous associés. Ces fonctionnalités relèvent des pratiques médicales/nutritionnelles gérées par le logiciel, de manière similaire aux services numériques de gestion de dossiers médicaux et plans de soins.
Concrètement, la nature du traitement comprend toutes les opérations nécessaires à la fourniture du service du module nutrition, y compris la collecte, l'organisation, la consultation, la modification, la sauvegarde, l'extraction, la communication au Responsable lui-même, la suppression ou destruction des données saisies dans le système, selon les instructions du Responsable. Le Responsable n'utilisera pas les données à des fins propres autres que celles convenues, ni ne les communiquera à des tiers sauf sur instruction du Responsable ou obligation légale (comme détaillé ci-après).
Dans le cadre du module nutrition, le Responsable traitera pour le compte du Responsable les types suivants de données personnelles relatives aux patients du Responsable :
Données d'identification et de contact : nom, prénom, adresse e-mail, date et lieu de naissance, numéros de téléphone et adresses éventuelles (ex. pour contacter le patient).
Données nutritionnelles/sanitaires : informations sur l'état de santé et les habitudes alimentaires du patient, par exemple préférences ou restrictions nutritionnelles (régimes particuliers, allergies alimentaires, choix végétariens/végans, etc.), données de suivi du poids et paramètres anthropométriques ou de santé similaires, ainsi que notes éventuelles sur le mode de vie pertinentes pour la nutrition. Ces informations sont des données personnelles relatives à la santé au sens de l'article 4(15) RGPD et/ou peuvent révéler indirectement des convictions religieuses ou philosophiques (ex. choix alimentaires), constituant des catégories particulières de données au sens de l'article 9 RGPD. Par conséquent, le Responsable et le Responsable s'engagent à adopter les précautions et mesures de sécurité nécessaires prévues par la réglementation pour protéger ces données sensibles.
Les catégories de personnes concernées dont les données sont traitées en exécution du présent accord sont : les patients (clients) du Responsable, personnes physiques recevant des conseils nutritionnels ou autres services du Responsable et dont les données personnelles sont saisies dans le module nutrition.
Le Responsable s'engage à :
Licéité et transparence : Garantir que les données personnelles des patients confiées au Responsable sont collectées et traitées licitement (ex. en obtenant, si nécessaire, le consentement éclairé du patient ou une autre base juridique valide selon l'article 6 RGPD) et que les personnes concernées ont été informées adéquatement des finalités et modalités du traitement, conformément aux articles 13 et 14 RGPD. Le Responsable reste responsable envers les personnes concernées du respect des obligations légales relatives à ces données.
Instructions documentées : Fournir au Responsable des instructions documentées, claires et à jour sur le traitement des données (ex. via cet accord et éventuelles politiques ou directives opérationnelles). Toute instruction supplémentaire ou modification des instructions initiales devra être communiquée par écrit (y compris par e-mail PEC ou système de ticket électronique) et conservée comme référence. Le Responsable traitera les données uniquement selon les instructions reçues. Si, selon le Responsable, une instruction du Responsable viole la réglementation sur la confidentialité, il en informera immédiatement le Responsable (voir aussi Section 6).
Surveillance et audit : Vérifier, avant le début et régulièrement, que le Responsable fournit des garanties suffisantes en termes de mesures techniques et organisationnelles adéquates pour la protection des données confiées, et respecte les dispositions du présent accord. Le Responsable a le droit d'effectuer ou de faire effectuer des audits périodiques (ex. annuels) et inspections, avec un préavis raisonnable, sur les activités du Responsable relatives aux données confiées, pour contrôler le respect des règles de protection des données et des instructions convenues. Le Responsable s'engage à coopérer en fournissant des informations ou un accès raisonnable aux infrastructures, dans les limites convenues (voir Sections 6 et 8 pour détails sur audits et sous-traitants).
Signalement d'irrégularités : Informer rapidement le Responsable s'il détecte des erreurs, incohérences ou violations dans les modalités de traitement effectuées par le Responsable pouvant entraîner une non-conformité au présent accord ou aux règles de confidentialité en vigueur. Les parties coopéreront pour remédier rapidement à toute irrégularité constatée.
Confidentialité des informations : Traiter comme strictement confidentielles toutes les informations relatives aux mesures de sécurité, systèmes et secrets commerciaux du Responsable dont il prend connaissance dans le cadre de la relation contractuelle. Cette obligation de confidentialité reste valable même après la cessation du présent accord.
Gestion des demandes des personnes concernées : Le Responsable reste responsable de répondre aux demandes d'exercice des droits présentées par ses patients (accès, rectification, suppression, opposition, portabilité, etc. – Chapitre III RGPD). Si le Responsable reçoit directement des communications ou demandes d'une personne concernée relatives aux données objet du présent accord, il doit les transmettre immédiatement au Responsable sans y donner suite de manière autonome, sauf autorisation spécifique. Le Responsable fournira au Responsable les instructions nécessaires pour satisfaire ces demandes, en tenant compte que le Responsable assistera le Responsable dans la mesure prévue par la loi (voir Section 6).
Le Sous-traitant s'engage à respecter toutes les obligations prévues par l'article 28 RGPD. En particulier, sans préjudice des obligations détaillées ailleurs dans le présent accord, le Sous-traitant doit :
Traiter uniquement sur instructions : traiter les données personnelles uniquement sur instruction documentée du Responsable. Cela vaut aussi pour tout transfert de données vers des pays tiers ou organisations internationales : ces opérations ne sont pas autorisées sans instruction/autorisation préalable du Responsable (voir aussi Section 9), sauf si une loi de l'Union ou d'un État membre impose un traitement spécifique ; dans ce cas, le Sous-traitant informera le Responsable de cette obligation juridique avant le traitement, sauf si la loi interdit cette communication pour des raisons d'intérêt public important.
Confidentialité du personnel : garantir que les personnes autorisées à traiter les données personnelles (employés ou collaborateurs) ont reçu des instructions adéquates sur le respect de la réglementation sur la confidentialité et se sont engagées contractuellement à la confidentialité (ou sont soumises à une obligation légale appropriée). Le Sous-traitant veillera à ce que toute personne agissant sous son autorité et ayant accès aux données personnelles du Responsable ne les traite que sur instruction du Responsable. Cette obligation de confidentialité demeure après la cessation du présent accord.
Sécurité des données : adopter et maintenir des mesures techniques et organisationnelles appropriées conformément à l'article 32 RGPD pour garantir un niveau de sécurité adapté aux risques des traitements confiés. Ces mesures comprennent notamment la pseudonymisation et le chiffrement des données personnelles (lorsque approprié), les systèmes de contrôle d'accès et d'authentification, la capacité à assurer la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement, ainsi que la capacité à restaurer rapidement l'accès aux données en cas d'incidents physiques ou techniques. Le Sous-traitant adoptera des procédures pour tester, vérifier et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles mises en œuvre (voir aussi Section 7 pour plus de détails sur les mesures de sécurité).
Limitations d'usage : ne pas utiliser les données personnelles fournies par le Responsable à des fins propres et ne pas faire de copies ou duplicatas des données sauf si nécessaire pour la fourniture du service et toujours avec le consentement/instruction du Responsable. Le Sous-traitant garantit de tenir les données traitées pour le Responsable séparées logiquement ou physiquement de celles d'autres clients ou de ses propres bases de données, afin d'éviter toute confusion.
Sous-traitants : ne pas confier à des sous-traitants l'exécution d'activités spécifiques de traitement pour le compte du Responsable sans autorisation préalable écrite de ce dernier. En cas d'autorisation d'utilisation de sous-traitants (voir Section 8 pour détails), le Sous-traitant devra imposer à ces tiers les mêmes obligations en matière de protection des données personnelles prévues par le présent accord, et restera pleinement responsable envers le Responsable du respect par le sous-traitant de ses obligations.
Assistance au Responsable : en tenant compte de la nature du traitement et des informations disponibles, assister le Responsable dans le respect de ses obligations en matière de protection des données. En particulier, le Sous-traitant fournira un support adéquat pour que le Responsable puisse satisfaire les demandes d'exercice des droits des personnes concernées (droit d'accès, rectification, suppression, opposition, portabilité, etc.), par exemple en mettant à disposition des fonctionnalités du logiciel permettant au Responsable d'extraire, rectifier ou supprimer les données des patients sur demande. De plus, le Sous-traitant assistera le Responsable dans le respect des obligations de sécurité des données et, le cas échéant, de notification des violations de données personnelles aux autorités de contrôle ou aux personnes concernées, conformément aux articles 32-34 RGPD (ex. en fournissant rapidement au Responsable les informations relatives à une violation de données pour lui permettre de notifier dans les 72 heures, voir aussi point suivant). De même, le Sous-traitant coopérera avec le Responsable en cas d'évaluation d'impact sur la protection des données (DPIA) ou de consultations préalables avec l'autorité de contrôle selon les articles 35-36 RGPD, en fournissant les informations pertinentes.
Notification des violations : informer immédiatement le Responsable en cas de violations de sécurité ou incidents (ex. accès non autorisés, perte, destruction ou divulgation accidentelle de données personnelles) concernant les données traitées pour le compte du Responsable. Cette communication devra inclure toutes les informations utiles dont le Sous-traitant a connaissance pour permettre au Responsable d'évaluer la gravité de l'événement et de respecter les obligations de notification auprès de l'autorité de protection des données et/ou des personnes concernées selon les articles 33 et 34 RGPD. Le Sous-traitant s'engage à soutenir le Responsable dans l'analyse et la gestion de l'incident ainsi que dans la préparation des notifications ou communications, selon les instructions du Responsable.
Preuve de conformité et audit : mettre à disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations prévues dans le présent accord. À la demande du Responsable, le Sous-traitant fournira une documentation attestant des mesures de sécurité mises en œuvre (ex. certifications, rapports d'audit internes/externes, attestations de conformité) et facilitera les inspections ou vérifications par le Responsable ou un tiers mandaté. Les modalités d'audit (temps, étendue, mesures de sécurité pour protéger les données d'autres clients, etc.) seront convenues entre les parties en respectant leurs besoins respectifs.
Signalement d'instructions conflictuelles : si le Sous-traitant estime qu'une instruction donnée par le Responsable viole le RGPD ou d'autres lois sur la protection des données, il devra en informer rapidement le Responsable avant d'exécuter cette instruction, pouvant suspendre son application jusqu'à confirmation ou modification par le Responsable (comme autorisé par l'article 28(3) RGPD).
Le Sous-traitant déclare avoir adopté des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques des traitements effectués, conformément à l'article 32 RGPD. La sélection de ces mesures a été effectuée en tenant compte de l'état de l'art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les droits et libertés des personnes physiques. En particulier, le Sous-traitant met en œuvre des mesures telles que :
Contrôle des accès : accès aux données personnelles autorisé uniquement au personnel habilité pour les finalités strictement nécessaires ; adoption de systèmes d'authentification sécurisée pour utilisateurs et administrateurs (ex. mots de passe robustes, authentification à deux facteurs).
Chiffrement et pseudonymisation : utilisation de protocoles de cryptage pour protéger les données personnelles lors de la transmission (ex. HTTPS/TLS) et, lorsque possible, chiffrement des données au repos sur les serveurs ou dans les sauvegardes. Pseudonymisation éventuelle des données identifiantes des patients dans les analyses agrégées, de manière à ne pas pouvoir les attribuer à des personnes physiques spécifiques sans informations supplémentaires.
Intégrité et disponibilité : systèmes de sauvegarde réguliers des données et procédures de restauration pour assurer la disponibilité et l'accès aux données personnelles rapidement en cas d'incidents physiques ou techniques. Utilisation de mesures anti-malware, pare-feu et surveillance pour prévenir les accès non autorisés ou la perte de données.
Tests et surveillance : vérification périodique de l'efficacité des mesures de sécurité adoptées, via audits internes, tests de vulnérabilité, surveillance des journaux de sécurité et, le cas échéant, correction rapide des éventuels points faibles identifiés.
Les mesures de sécurité adoptées par le Sous-traitant sont décrites plus en détail dans une documentation technique spécifique (ex. annexe sur les Mesures Techniques et Organisationnelles), qui peut être fournie au Responsable sur demande et fait partie intégrante du présent accord. Le Sous-traitant garantit de maintenir ces mesures à jour pour les adapter à l'évolution des risques et des meilleures pratiques de sécurité, en notifiant au Responsable tout changement substantiel pouvant impacter la protection des données confiées.
Le Sous-traitant pourra faire appel à d'autres entités en tant que sous-traitants (sous-fournisseurs) uniquement avec l'autorisation du Responsable. L'autorisation peut être spécifique à un sous-traitant unique, ou générale pour des catégories de sous-traitants (ex. fournisseurs d'hébergement, services e-mail, etc.) connus au moment de la conclusion du contrat : dans ce dernier cas, le Sous-traitant informera néanmoins le Responsable de toute prévision d'ajout ou de remplacement de ces sous-traitants, lui donnant la possibilité de s'opposer à ces changements avant que le sous-traitant ne commence le traitement des données.
Les sous-traitants autorisés seront liés par écrit par le Sous-traitant par un contrat imposant au moins les mêmes obligations en matière de protection des données personnelles prévues dans le présent accord, incluant notamment des garanties adéquates de sécurité et de confidentialité. Le Sous-traitant reste pleinement responsable envers le Responsable du respect par les sous-traitants de leurs obligations ; en cas de violation par un sous-traitant, le Sous-traitant répondra directement envers le Responsable pour tout manquement.
Le traitement des données personnelles objet du présent accord se fera exclusivement dans des infrastructures (serveurs, centres de données) situées sur le territoire de l'Union Européenne ou de l'Espace Économique Européen. Aucun transfert de données personnelles vers des pays tiers (hors EEE) n'est prévu par le Sous-traitant, sauf si nécessaire pour l'utilisation de sous-traitants autorisés par le Responsable selon la Section 8. En tout cas, tout transfert de données vers un pays tiers ou une organisation internationale par le Sous-traitant (ou ses sous-traitants) ne pourra avoir lieu que conformément aux dispositions du Chapitre V du RGPD. En particulier, une autorisation préalable du Responsable devra être obtenue et les conditions prévues aux articles 44 et suivants du RGPD devront être respectées, par exemple sur la base d'une décision d'adéquation de la Commission Européenne ou via l'adoption de clauses contractuelles types approuvées par la Commission, de règles d'entreprise contraignantes ou d'autres garanties appropriées. Le Sous-traitant informera le Responsable des modalités et bases juridiques du transfert proposé afin que le Responsable puisse évaluer et accorder (ou refuser) l'autorisation.
À la cessation, pour quelque cause que ce soit, de la relation de service entre les parties relative au module nutrition (ex. en cas de résiliation ou expiration du contrat principal, ou de suspension définitive du service par le Sous-traitant), le Sous-traitant cessera tout traitement ultérieur des données personnelles effectué pour le compte du Responsable. Au choix du Responsable, communiqué par écrit au moment de la cessation du contrat ou dans un délai convenu, le Sous-traitant procédera à la restitution de toutes les données personnelles traitées pour le compte du Responsable (ex. via exportation dans un format interopérable) ou à la suppression définitive de toutes ces données de ses systèmes. En tout cas, le Sous-traitant supprimera toute copie existante des données (y compris les copies de sauvegarde) sauf dans la mesure où la conservation des données est requise par la législation de l'Union ou des États membres applicable au Sous-traitant (dans ce cas, le Sous-traitant communiquera au Responsable les données et la réglementation imposant la conservation, en les traitant uniquement pour cette finalité de conservation légale). La suppression effectuée sur demande sera attestée par écrit par le Sous-traitant sur demande.
Les obligations de confidentialité assumées par le Sous-traitant et le personnel autorisé pendant la durée du présent accord restent en vigueur même après sa cessation. Le Sous-traitant garantit également que, en cas de cessation, les sous-traitants éventuels nommés seront liés aux mêmes obligations de restitution/suppression des données personnelles du Responsable.
