Web service ORIAS - Conditions Générales d'Utilisation

1.1. Accès au Web service

L'accès au Web service est réservé aux personnes physiques ou morales ayant obtenu une autorisation d'accès par le porteur du Service. Chaque Utilisateur doit disposer de ses propres identifiants et s'engage à ne pas les partager avec des tiers.

1.2. Utilisation conforme

Les Utilisateurs s'engagent à utiliser le Web service conformément à sa destination et aux lois en vigueur. Toute utilisation frauduleuse ou détournée du Web service est interdite.

1.3. Habilitations des Utilisateurs

Les Utilisateurs s'engagent à respecter les accès qui leur sont attribués, à ne pas céder leurs identifiants d'accès nominatifs, à ne pas tenter de contourner les restrictions d'accès, et à signaler toute tentative d'accès non autorisé.

1.4. Suppression des comptes inactifs

Les comptes utilisateurs du Web service qui demeurent inactifs seront automatiquement supprimés. L'inactivité est définie comme l'absence de toute connexion ou utilisation des Services proposés par le Web service durant cette période.

1.5. Finalités du Service

Le Web service a pour finalité :

• Pour les intermédiaires en assurance, banque et finance, de leur permettre d'effectuer toutes les démarches nécessaires à l'inscription obligatoire sur le registre unique de l'ORIAS pour leurs activités professionnelles ;
• Pour les personnes y ayant intérêt, d'accéder au flux d'informations relatif au registre unique de l'ORIAS.

2.1. Responsabilité de L'ORIAS

L'ORIAS met en œuvre tous les moyens raisonnables et nécessaires pour assurer le bon fonctionnement du Web service. Toutefois, elle ne saurait être tenue responsable des interruptions de Service, des erreurs de Résultats, des pertes de Données, et plus généralement de tout dommage direct ou indirect résultant de l'utilisation du Web service.

En cas d'interruption ou de dysfonctionnement, l'ORIAS s'engage à mettre en œuvre tous les moyens raisonnables pour rétablir le Service dans les meilleurs délais.

L'ORIAS ne garantit par l'exactitude absolue des Résultats, mais s'engage à corriger rapidement toute erreur signalée. A ce titre, si un Utilisateur identifie une information qui lui semble inexacte ou contient une erreur typographique, il est dans l'obligation de le signaler à l'ORIAS.

2.2. Responsabilité des Utilisateurs

Les Utilisateurs sont seuls responsables de l'utilisation qu'ils font du Web service et des Données qu'ils y introduisent. Ils s'engagent à un usage de bonne foi des Données du Service, dans la limite des finalités définies à l'article 1.5, et conformément à la réglementation applicable.

Chaque Utilisateur doit mettre en place toutes les mesures techniques et organisationnelles pour assurer la sécurité de son accès aux Services conformément aux lignes directrices de l'Agence Nationale pour la Sécurité des Systèmes d'information (ANSSI).

2.3. Indemnisation

L'Utilisateur s'engage à indemniser l'ORIAS pour tous les préjudices résultants directement ou indirectement d'une violation des présentes CGU.

3.1. Propriété intellectuelle

L'Utilisateur dispose d'un droit d'usage personnel, non exclusif, non transférable et strictement limité à ses besoins professionnels dans le cadre de l'utilisation du Web service conformément à sa finalité, pour la durée de son accès autorisé au Web service. Ce droit d'usage n'emporte aucun transfert de propriété intellectuelle.

L'ORIAS est propriétaire du Web service et de l'ensemble des éléments qui le composent, y compris, sans s'y limiter, la base de données mise à disposition des Utilisateurs. La base de données, bien qu'elle contienne des informations publiques, fait l'objet d'une protection au titre des articles L341-1 et suivants du Code de la propriété intellectuelle. En effet, la collecte, la structuration, et la mise à disposition des informations publiques au sein de la base de données constituent un investissement substantiel protégé par le droit sui generis des producteurs de bases de données.

A ce titre, les Utilisateurs s'interdisent :

• De reproduire, représenter, diffuser, extraire, réutiliser, par quelque moyen que ce soit, tout ou partie de la base de données ou des informations qu'elle contient à des fins autres celles prévues par le Web service, et notamment à des fins commerciales, lucratives, promotionnelles ou de prospection.
• De créer des bases de données dérivées à partir des informations accessibles via le Web service.
• D'utiliser des outils automatisés, tels que des robots, crawlers ou scrapers, pour interroger ou collecter tout ou partie des données accessibles via le Web service

Toute violation des droits de propriété intellectuelle de l'ORIAS sur le Web service ou la base de données pourra faire l'objet de poursuites civiles et/ou pénales, conformément aux dispositions du Code de la propriété intellectuelle et du Code pénal.

3.2. Usage restreint des données

Les Données collectées par la Plateforme sont utilisées exclusivement pour les finalités du Service, ainsi que pour les finalités décidées en conformité avec la réglementation et les décisions des instances représentatives des entreprises d'assurance. Toute utilisation à d'autres fins est strictement interdite sans l'accord préalable de l'ORIAS.

3.3. Contenus et Données introduits par les Utilisateurs

L'Utilisateur garantit disposer des droits nécessaires à l'utilisation, au traitement et au partage éventuel, via le Web service, des Données qu'il saisit et/ou télécharge.

En utilisant le Web service, l'Utilisateur autorise l'ORIAS à exploiter ces Données uniquement aux fins d'exécution du Service, de maintenance, de traçabilité, d'amélioration continue et de sécurité, sans transmission à des tiers non autorisés.

L'Utilisateur s'engage à ne pas introduire de contenus ou Données contraires à la législation en vigueur ou aux droits de tiers, ni susceptibles d'endommager ou d'interrompre le bon fonctionnement du Web service.

3.4. Droit d'analyse statistique

L'ORIAS se réserve le droit d'exploiter, à des fins exclusivement statistiques ou d'amélioration de ses Services, des Données agrégées et anonymisées issues de l'utilisation de la Plateforme, dans le respect du Règlement Général sur la Protection des Données (RGPD) et sans possibilité d'identification des Utilisateurs ou de leurs clients.

Les Utilisateurs s'engagent à respecter la stricte confidentialité des Données issues du Web service et à ne pas les divulguer à des tiers non autorisés. Toutefois, cette obligation ne s'applique pas aux Données :

• Déjà accessibles au public avant ou après leur divulgation, sans violation des présentes CGU ;
• Légitimement obtenues d'un tiers non soumis à une obligation de confidentialité ;
• Dont la divulgation est requise par une obligation légale ou réglementaire, ou sur demande d'une autorité compétente ;
• Dont la diffusion a été expressément autorisée par l'ORIAS ;
• Qui doivent être partagées dans le strict cadre de l'activité professionnelle de l'Utilisateur et en conformité avec les finalités du Service.

L'obligation de confidentialité est souscrite pour la durée du présent accord ainsi que pour une durée de cinq (5) ans à compter de son expiration.

5.1. Niveau de Service

L'ORIAS s'engage à mettre en œuvre tous les moyens raisonnables et nécessaires pour assurer la disponibilité du Web service.

L'accès au Web service pourra notamment être suspendu ou limité afin de procéder à des mises à jour, des modifications de contenu ou toute autre action jugée nécessaire à son bon fonctionnement.

5.2. Continuité du Service

Des plans de continuité et de reprise d'activité sont en place pour garantir la pérennité du Service en cas de sinistre majeur. En cas d'interruption imprévue, l'ORIAS mettra tout en œuvre pour rétablir le Service dans les plus brefs délais.

5.3. Sécurité du Service

L'ORIAS met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données et limiter la diffusion de contenus malveillants (virus, chevaux de Troie, ransomware, scripts d'exploitation, etc.).

L'Utilisateur est invité à utiliser des outils de sécurité (antivirus, sauvegarde) et à signaler toute suspicion de compromission.

6.1 Base légale et finalité du traitement

6.1.1. Inscription au registre unique des intermédiaires en assurance, banque et finance

Le traitement a pour finalité l'établissement, la tenue et la mise à jour permanente du registre des intermédiaires en assurance, banque et finance. Les utilisateurs disposent de fonctionnalités qui permettent de procéder à leur inscription, à des modifications le cas échéant et au renouvellement de leur inscription au registre unique des intermédiaires en assurance, banque et finance.

Par conséquent, ces finalités sont explicites, déterminées et légitimes conformément aux dispositions de l'article 5.1.b du RGPD.

La base légale du traitement est celle prévue à l'article 6.1.c) du RGPD, à savoir que le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis.

6.1.2. Interrogation du Web service

Le traitement a pour finalité la consultation d'informations relatives au registre unique de l'ORIAS par les personnes y ayant intérêt.

Par conséquent, ces finalités sont explicites, déterminées et légitimes conformément aux dispositions de l'article 5.1.b du RGPD.

La base légale du traitement est celle prévue à l'article 6.1.c) du RGPD, à savoir que le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis.

6.2. Responsable de traitement

En conformité avec le Règlement Général sur la Protection des Données (RGPD), l'ORIAS agit en tant que Responsable de traitement pour les Données personnelles collectées et traitées via la Web service, dans le cadre des traitements mentionnés en 6.1.1. et 6.1.2. À ce titre, elle détermine les finalités et les moyens de ces traitements.

6.3 .Mesures techniques et organisationnelles

Conformément à l'article 32 du RGPD, l'ORIAS met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des Données à caractère personnel conforme aux exigences des autorités de contrôle compétentes.

6.4. Sous-traitants

Dans le cadre des traitements définis aux articles 6.1.1 et 6.1.2., DOCAPOSTE agit en qualité de sous-traitant au sens de l'article 28 du RGPD, en tant qu'éditeur de l'application et de l'API pour le compte du responsable de traitement.

A ce titre, DOCAPOSTE s'engage à :

• traiter les Données uniquement pour les finalités convenues et selon les instructions documentées du responsable de traitement ;
• mettre en œuvre les mesures de sécurité, de confidentialité et de traçabilité nécessaires à la protection des Données ;
• garantir que les personnes autorisées à traiter les Données soient soumises à une obligation de confidentialité ;
• ne pas faire appel à un autre sous-traitant sans autorisation préalable écrite du responsable de traitement (ou selon les modalités contractuelles prévues) ;
• notifier dans les meilleurs délais toute violation de Données personnelles.

Les droits des Utilisateurs concernés (accès, rectification, suppression, etc.) devront être exercés auprès du responsable de traitement, qui est seul habilité à y répondre.

Dans le cadre des traitements définis aux articles 6.1.1 et 6.1.2., BNP Mercanet agit en qualité de sous-traitant au sens de l'article 28 du RGPD, en tant qu'éditeur de l'outil de paiement en ligne.

A ce titre, BNP Mercanet s'engage à :

• traiter les Données uniquement pour les finalités convenues et selon les instructions documentées du responsable de traitement ;
• mettre en œuvre les mesures de sécurité, de confidentialité et de traçabilité nécessaires à la protection des Données ;
• garantir que les personnes autorisées à traiter les Données soient soumises à une obligation de confidentialité ;
• ne pas faire appel à un autre sous-traitant sans autorisation préalable écrite du responsable de traitement (ou selon les modalités contractuelles prévues) ;
• notifier dans les meilleurs délais toute violation de Données personnelles.

Les droits des Utilisateurs concernés (accès, rectification, suppression, etc.) devront être exercés auprès du responsable de traitement, qui est seul habilité à y répondre.

6.5. Droits des Utilisateurs

Les Utilisateurs disposent d'un droit d'accès, de rectification, de suppression et de portabilité de leurs Données personnelles. Ils ont également le droit de s'opposer ou de demander la limitation du traitement de leurs Données. Ces droits peuvent être exercés en contactant l'ORIAS à l'adresse dpd@gpsa.fr

6.6. Conservation des Données

Les données personnelles traitées dans le cadre du Web service sont supprimées cinq (5) ans après la radiation des intermédiaires inscrits au registre de l'ORIAS.

Par ailleurs, en matière d'interrogation du Web service, la durée de rétention des traces applicatives est d'une (1) semaine sur machine, six (6) mois sur bande, et les logs binaires de base de données sont conservés une (1) journée sur machine.

6.7. Conformité au Règlement Européen DORA

L'ORIAS s'engage à se conformer au Règlement DORA (Digital Operational Resilience Act) qui vise à renforcer la résilience opérationnelle des entités financières face aux risques numériques. À ce titre, l'ORIAS met en œuvre des mesures adéquates pour garantir la continuité et la sécurité des Services numériques fournis, y compris la gestion des cybermenaces, la résilience des systèmes informatiques, et la protection des Données contre les incidents de sécurité.

Les Utilisateurs s'engagent à respecter les pratiques de sécurité recommandées par le Web service pour contribuer à la résilience opérationnelle, notamment en signalant toute vulnérabilité ou incident de sécurité identifié.

7.1. Sous-traitance des Services

L'ORIAS se réserve le droit de sous-traiter tout ou partie des Services fournis via le Web service à des tiers, sous réserve que ces sous-traitants respectent les mêmes obligations de Service, de sécurité, et de confidentialité que celles stipulées dans les présentes CGU. L'ORIAS demeure responsable envers les Utilisateurs de l'exécution correcte des obligations sous-traitées.

7.2. Engagements des sous-traitants

Les sous-traitants s'engagent à respecter toutes les lois applicables en matière de protection des Données, de sécurité et de confidentialité, et à mettre en œuvre des mesures de sécurité appropriées pour protéger les Données traitées.

En cas de violation grave des présentes CGU, l'ORIAS se réserve le droit de suspendre l'accès au Service sans préavis, jusqu'à ce que la violation cesse.

Une violation est considérée comme grave si elle :

• Entraîne un risque significatif pour la sécurité ou l'intégrité du Web service, telles que des tentatives de piratage, d'introduction de logiciels malveillants, ou d'accès non autorisé à des données sensibles ;
• Cause un préjudice substantiel aux droits ou aux intérêts de l'ORIAS ou des autres Utilisateurs, comme la diffusion de contenus illégaux, nuisibles, ou diffamatoires ;
• Engendre une perturbation majeure du fonctionnement normal du Web service, affectant la capacité de l'ORIAS à fournir ses Services aux autres Utilisateurs.

Les stipulations des présentes Conditions Générales d'Utilisation qui, par leur nature ou leur rédaction, doivent survivre à la résiliation ou à l'expiration du présent accord, notamment celles relatives à la propriété intellectuelle, à la confidentialité, à la responsabilité, et au règlement des litiges, resteront en vigueur pour la durée nécessaire à l'exécution de leur objet.

L'ORIAS se réserve le droit de modifier les présentes CGU. Toute modification sera notifiée aux Utilisateurs par voie électronique.

Les présentes CGU sont régies par le droit français. Tout litige relatif à l'interprétation ou à l'exécution des présentes sera soumis à la compétence exclusive des tribunaux du ressort de la Cour d'appel de Paris.