Conditions générales d’utilisation « Plateforme Wealth » (version gratuite)

Version du 4 octobre 2024

Préambule

Les présentes conditions générales d’utilisation de la « Plateforme Wealth » (les « CGU ») sont conclues entre la société HARVEST, SAS au capital de 1.893.852 €, inscrite au RCS de Paris, sous le n°352 042 345 et dont le siège social est situé 5 rue de la Baume, 75008 Paris (« HARVEST ») et tout client de l’application « O2S » mise à disposition par HARVEST au titre d’un contrat en cours d’exécution, et autorisé par HARVEST à utiliser l’outil « Plateforme Wealth » (le « Client »).

En complément des termes définis dans les présentes CGU, les termes et expressions avec une majuscule ont le sens qui leur est donné dans le contrat portant sur la mise à disposition de l’Application « O2S » conclu entre HARVEST et le Client (le « Contrat »).

Le Client pourra utiliser gratuitement l’outil « Plateforme Wealth » proposé temporairement par HARVEST, en tant que fonctionnalité de l’Application « O2S » (« l’Outil »).

En tant que fonctionnalité accessoire de l’application « O2S », les dispositions du Contrat s’appliquent dans le cadre de l’utilisation de l’Outil (notamment mais non-limitativement : les dispositions relatives à la propriété intellectuelle, à la résolution des litiges, à la responsabilité, etc.).

L’objet des présentes CGU est de fixer les droits, obligations et responsabilités du Client, de son administrateur et des Utilisateurs par rapport à leur utilisation de l’Outil, en complément du Contrat.

L’utilisation de l’Outil vaut acceptation automatique et expresse des présentes CGU par le Client ce que ce dernier reconnait expressément. Les présentes CGU sont accessibles et consultables à tout moment au sein de la Documentation.

HARVEST se réserve le droit, à tout moment, de manière discrétionnaire et sans indemnité de (i) modifier les présentes CGU et/ou l’Outil en tant que tel, (ii) suspendre et/ou mettre un terme à l’accès à l’Outil.

1. Accès à l’Outil

HARVEST met à disposition de l’Utilisateur les informations techniques relatives aux modalités de connexion à l’Outil.

L’accès à l’Outil par l’Utilisateur est soumis à l’autorisation expresse des Producteurs. Les « Producteurs » désignent les sociétés mettant à la disposition du Client des produits financiers que le Client peut distribuer auprès de ses Clients Finaux.  

2. Description des services

En complément de l’accès à l’Outil, HARVEST assure l’accès aux services suivants (les « Services ») :

2.1 Echanges avec les Producteurs : l’Outil permet à l’utilisateur de collecter les Données du Client Final avec pour objectif de souscrire ou réaliser des actions sur des produits financiers entre le Client Final et l’Utilisateur. A la demande de l’Utilisateur, l’Outil permet de transmettre au Producteur les Données au travers d’API, soit grâce à des fichiers déposés dans l’environnement du Producteur de façon sécurisé.

2.2 Signature électronique : cette fonctionnalité permet à l’Utilisateur de faire signer électroniquement des documents à ses Clients Finaux et de les archiver dans un coffre-fort électronique sécurisé, dans les conditions et limites fixées par chaque Producteur.

2.3 Sauvegardes : les serveurs et les Données du Client sont sauvegardés et archivés selon les conditions et limites fixées par chaque Producteur.  

3. Droits et restrictions d’usage

HARVEST accorde au Client un droit d’utilisation temporaire sur l’Outil, dans les conditions et limites décrites dans le Contrat, et ce pour la durée des CGU.

4. Suspension

HARVEST peut suspendre ou limiter l’accès à l’Outil si son utilisation contrevient aux termes des présentes ou est susceptible d’entraîner un préjudice à HARVEST ou à un tiers, et ce avec ou sans notification préalable.

Le Client reconnaît que HARVEST dispose d’outils lui permettant de vérifier l’utilisation conforme de l’Outil. Le Client s’engage à coopérer avec HARVEST et à fournir à première demande et à ses frais toute assistance et information nécessaires à HARVEST pour vérifier l’usage réalisé par les utilisateurs de l’Outil.

5. Durée et résiliation

5.1 Les CGU prennent effet à compter de l’acceptation des CGU par le Client, matérialisée par le fait de continuer la navigation sur l’Outil, et resteront en vigueur jusqu’à ce que l’accès à l’Outil soit coupé.

Au terme des CGU, si le Client souhaite continuer à bénéficier de l’Outil, il devra conclure un contrat précisant les droits, obligations et les conditions, notamment financières, liées à la mise à disposition de la « Plateforme Wealth ».   

5.2 En cas de non-respect par le Client des présentes CGU, HARVEST pourra couper immédiatement l’accès à l’Outil et résilier les présentes CGU.

Par ailleurs, en cas de résiliation du Contrat, pour quelque cause ce que soit, les présentes CGU seront automatiquement résiliées sans que de plus amples formalités ne soient nécessaires.

5.3 Au terme des présentes CGU, pour quelque raison que ce soit, HARVEST désactivera l’accès à l’Outil. Le Client pourra récupérer les Données conformément aux modalités, notamment financières, convenues avec chaque Producteur.

Les dispositions qui par leur nature ont vocation à survivre après l’expiration ou la résiliation des présentes CGU, pour quelque cause ce que soit, resteront en vigueur après ladite expiration ou résiliation.

6. Données personnelles

6.1 L’exécution des présentes CGU peut impliquer le traitement et/ou l’accès par HARVEST des/aux données personnelles relevant de la responsabilité du Client. Dans ce cas, le client est alors considéré comme le responsable du traitement des données personnelles (le « Responsable du traitement ») et HARVEST comme le sous-traitant du traitement desdites données (le « Sous-traitant »). Les obligations respectives de HARVEST et du client sont celles prévues au Contrat O2S.

Le Sous-traitant est autorisé à traiter pour le compte du Responsable du traitement les données personnelles nécessaires pour fournir le(s) Service(s) décrit(s) dans l’Annexe 1 des présentes CGU.

6.2 A défaut de dispositions relatives aux Données Personnelles dans le Contrat, l’annexe 2 est applicable au Contrat et aux CGU.  

7. Sous-traitants

L’Outil est géré par la société QUANTALYS (RCS n°907 647 879), sous-traitant de HARVEST.

La fourniture de tout ou partie des Services est sous-traitée par HARVEST et QUANTALYS, ce que le Client accepte. HARVEST et QUANTALYS seront libres, pendant toute la durée des CGU de changer de sous-traitants.

8. Responsabilité

Le Client est responsable du respect des présentes CGU par son administrateur et les Utilisateurs.

A toute fin utile, il est rappelé que le Client et HARVEST sont responsables dans les conditions et limites fixées par l’article » Responsabilité » du Contrat.

Annexes

Annexe 1 – Description du traitement de Données Personnelles lié à l’Outil

 Nature des opérations réalisées sur les Données à caractère personnelFinalité(s) du Traitement des données personnellesTypes de Données à caractère personnel traitéesCatégories de Personnes concernéesDurée du TraitementLieu du traitement
Traitement n°1L’enregistrement, l’effacement, le stockage, la transmissionRéaliser les actes de gestion sur des comptes existants, souscrire de nouveaux contratsDonnées d’identification, données de contact, caractéristiques personnelles et habitude de vie, données relatives à la vie professionnelle, les informations d’ordre économique, financier, données judiciaires (l’existence d’une mise sous tutelle/curatelle). Clients FinauxDurée du Contrat ou jusqu’à la suppression des Données par le Responsable de traitementUE

Annexe 2 – Données personnelles

Les dispositions ci-après sont applicables aux CGU et au Contrat dans l’hypothèse où ledit Contrat ne comporte pas de clauses relatives à la protection des Données personnelles.

Il appartient au Client d’obtenir l’ensemble des autorisations administratives et réglementaires nécessaires à l’utilisation du Logiciel et donc au traitement automatisé de Données à caractère personnel.

Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après le « RGPD ») ainsi que la législation française applicable en la matière. Tous deux seront ci-après désignés la « Législation ».

L’exécution du Contrat peut impliquer le traitement et/ou l’accès par HARVEST des/aux données personnelles relevant de la responsabilité du Client. Dans ce cadre le Client est considéré comme le responsable de traitement des Données à caractère personnel (ci-après le « Responsable de traitement ») et HARVEST comme le sous-traitant du traitement des dites données (ci-après le « Sous-traitant »).

Conformément à l’article 28 du RGPD, les dispositions du présent article ont donc pour objet de définir les conditions dans lesquelles le Sous-traitant s’engage à effectuer pour le compte du Responsable de traitement les opérations de traitement de Données à caractère personnel. En cas de modification concernant les traitements, le Sous-traitant tiendra à la disposition du Responsable de traitement les éléments et informations nécessaires.

1. Description des traitements faisant l’objet de la sous-traitance liés aux fonctionnalités d’O2S autre que l’Outil.

Le Sous-traitant est autorisé à traiter pour le compte du Responsable de traitement les données à caractère personnel nécessaires pour fournir le ou les service(s) suivant(s) :

  • Agrégation :
    • la nature des opérations réalisées sur les données à caractère personnel est : agréger des données financières (comptes titres et assimilés, contrats d’assurance et assimilés) issues de multiples fournisseurs ;
    • la durée du traitement : durée du Contrat.
    • la finalité du traitement est : avoir une vision consolidée du portefeuille du Client Final (le client du Client d’Harvest) ;
    • les catégories de données à caractère personnel traitées sont : les données d’identification, des informations d’ordre économique, financier
    • les catégories de personnes concernées sont : les Clients Finaux.
  • Gestion de la relation client :
    • la nature des opérations réalisées sur les données à caractère personnel est : la collecte, le stockage, 
    • la durée du traitement : durée du Contrat ;
    • la finalité du traitement est : de suivre et organiser l’activité commerciale ;
    • les catégories de données à caractère personnel traitées sont : les données d’identification, les caractéristiques personnelles et habitudes de vie, les situations professionnelles, des informations d’ordre économique, financier et de santé ;
    • les catégories de personnes concernées sont : les Clients Finaux.
  • Simulations et conseil :
    • la nature des opérations réalisées sur les données à caractère personnel est : enregistrement, stockage
    • la durée du traitement : durée du Contrat ;
    • la finalité du traitement est : conseiller les Clients Finaux sur la gestion de leur patrimoine et leurs portefeuilles financiers ;
    • les catégories de données à caractère personnel traitées sont les informations d’ordre économique, financier ;
    • les catégories de personnes concernées sont : les Clients Finaux.
  • Assistance
    • la nature des opérations réalisées sur les données à caractère personnel est : l’accès ;
    • la durée du traitement : le temps nécessaire à l’opération d’assistance ;
    • la finalité du traitement est : assistance technique et à l’utilisation du Logiciel ;
    • les catégories de données à caractère personnel traitées sont : les données d’identification, les caractéristiques personnelles et habitudes de vie, les situations professionnelles, des informations d’ordre économique, financier et de santé ;
    • les catégories de personnes concernées sont : les Clients Finaux.
  • Signature électronique :
    • la nature des opérations réalisées sur les données à caractère personnel est : stockage, transmission, suivi de l’état de la signature (signée, annulée…).
    • la durée du traitement : la durée légale de conservation pour preuve ;
    • la finalité du traitement est : la signature dématérialisée de documents par le Client Final et la conservation de ces documents ;
    • les catégories de données à caractère personnel traitées sont : les données d’identifications, les données intégrées au document signé électroniquement ;
    • les catégories de personnes concernées sont : les Clients Finaux et les tiers intéressés par le document signé électroniquement.
    • En cas de modifications des traitements dont le Sous-traitant a ou pourrait avoir la charge, ce dernier tiendra à la disposition du Responsable de traitement tous les documents nécessaires (comme la description des traitements par exemple) et relevant légalement de la responsabilité du Sous-traitant afin de permettre au Responsable de traitement de respecter ses propres obligations au titre du RGPD.

2. Obligations du Sous-traitant vis-à-vis du Responsable de traitement

Le Sous-traitant s’engage à :

  • traiter les Données à caractère personnel uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance ;
  • traiter les Données à caractère personnel conformément aux instructions documentées du Responsable de traitement. Si le Sous-traitant considère qu’une instruction constitue une violation de la Législation, il en informe immédiatement le Responsable de traitement. En outre, si le Sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale en vertu de la Législation, il doit informer le Responsable de traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;
  • garantir la confidentialité des Données à caractère personnel traitées dans le cadre du Contrat ;
  • veiller à ce que les personnes autorisées à traiter les Données à caractère personnel en vertu du Contrat :
  • s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
  • reçoivent la formation nécessaire en matière de protection des Données à caractère personnel
  • prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des Données à caractère personnel dès la conception et de protection des données par défaut ;
  • aider le Responsable de traitement à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits (information, effacement …etc.) et à communiquer au Responsable de traitement toute demande de divulgation des données ou d’accès à celles-ci, qui lui aurait été faite directement. Dans ce cadre le Sous-traitant s’engage à respecter des délais compatibles avec les obligations du Responsable de traitement au titre de la Législation ;
  • notifier au Responsable de traitement toute violation de Données à caractère personnel dans un délai permettant au Responsable de traitement de respecter ses obligations en la matière ;
  • tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable de traitement ;
  • mettre en œuvre les mesures de sécurité adaptées aux risques liés au(x) traitement(s) effectué(s) par le Sous-traitant.

Le Sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le Sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le Responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du Sous-traitant ultérieur et les dates du contrat de sous-traitance. Le Responsable de traitement dispose d’un délai maximum de 5 jours ouvrés à compter de la date de réception de cette information pour présenter ses objections.

Le Sous-traitant ultérieur est tenu de respecter les obligations du Contrat pour le compte et selon les instructions du Responsable de traitement. Il appartient au Sous-traitant initial de s’assurer que le Sous-traitant ultérieur présente les mêmes garanties quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-traitant initial demeure pleinement responsable devant le Responsable de traitement de l’exécution par le Sous-traitant ultérieur de ses obligations.

Au terme du Contrat, le Sous-traitant s’engage à détruire toutes les Données à caractère personnel ou à les renvoyer au Responsable de traitement.

3. Obligations du Responsable de traitement vis-à-vis du Sous-traitant

Le Responsable de traitement s’engage à :

  • fournir au Sous-traitant les éléments suivants : l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données, les catégories de personnes concernées ;
  • documenter par écrit toute instruction concernant le traitement des Données à caractère personnel par le Sous-traitant ;
  • fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des Données. A ce titre, le Responsable de traitement garantit le Sous-traitant contre tout recours.

4. Audit

Conformément au RGPD, le Responsable de traitement pourra faire procéder une fois par an, à ses frais, à un audit. Cet audit portera sur le respect par le Sous-traitant du RGPD. Le Responsable de traitement devra privilégier l’audit sur pièce plutôt que l’audit sur place.

Le Responsable de traitement devra aviser le Sous-traitant par écrit de son intention de faire procéder à un audit, moyennant le respect d’un préavis de soixante (60) jours minimum. Pour ce faire, le Responsable de traitement enverra une lettre en recommandé avec accusé de réception au DPO du Sous-traitant (dont l’identité et les coordonnées figurent à l’adresse : www.harvest.fr/mentions-legales/) en indiquant obligatoirement les éléments suivants :

  • la portée de l’audit comprenant la liste détaillée de la documentation et/ou des composants techniques concernés ;
  • le calendrier de l’audit, la durée maximale de l’audit ne devant en aucun cas excéder 5 jours ouvrés ;
  • la méthodologie de l’audit ;
  • les autres documents demandés à condition que ceux-ci soient strictement nécessaires à la réalisation de l’audit.

Sur la base de ces éléments, le Sous-traitant indiquera les taux et les frais applicables aux ressources qui seront affectées à la vérification. Le Sous-traitant émettra alors un devis qui devra être validé par le Responsable de traitement avant toute opération d’audit.

Cet audit pourra, au choix du Responsable de traitement, être effectué par les soins d’une structure d’audit interne du Responsable de traitement, ou par un cabinet extérieur si celui-ci est soumis au secret professionnel.

En tout état de cause, le Responsable de traitement devra informer le Sous-traitant de l’identité de la structure d’audit retenue lorsqu’il s’agit d’un cabinet extérieur.

Le Sous-traitant pourra opposer un refus d’audit, en le notifiant au Responsable de traitement dans les dix (10) jours ouvrés suivant la réception de l’information préalable fournie par ce dernier lorsque l’audit sera effectué par un cabinet extérieur au Responsable de traitement.

Dans ce cas, après concertation avec le Sous-traitant, le Responsable de traitement notifiera à ce dernier le nom d’un nouveau cabinet d’audit.

Dans le cadre de cet audit, le Sous-traitant s’engage à favoriser l’accès des auditeurs à ses sites, à coopérer pleinement avec eux et à leur fournir toutes les informations nécessaires, étant entendu que les informations recueillies ne pourront être utilisées à d’autres fins.

Le Sous-traitant sera en droit de refuser tout audit sur place si l’accès au(x) site(s) est impossible au moment désigné par le Responsable de traitement.

Le Responsable de traitement s’engage à respecter les politiques et procédures de sécurité en vigueur chez le Sous-traitant au moment de l’audit. Dans ce cadre, il est strictement interdit au Responsable de traitement de tenter de casser ou de contourner les systèmes de sécurité du Sous-traitant ou de tenter d’accéder à tout environnement (installation, matériel, programmes ou données) dépassant la portée de ce que le Sous-traitant a jugé suffisant pour effectuer l’audit. De la même manière, le Responsable de traitement s’interdit de corrompre l’environnement testé, de réduire les performances du système ou de créer une quelconque interférence.

Il est également précisé que toute collecte de donnée sera subordonnée à l’autorisation préalable du Sous-traitant.

A l’issue de l’audit le Responsable de traitement transmettra un rapport d’audit préliminaire au Sous-traitant. Le Sous-traitant pourra soumettre toute réserve lui semblant opportune. Dans ce cas les Parties se rencontreront afin de discuter des points de désaccord et valider le rapport d’audit final.

Au cas où le rapport d’audit final ferait apparaitre un non-respect des obligations du Sous-traitant visées au Contrat, ce dernier s’engage à mettre en œuvre à ses frais les mesures correctives nécessaires.