2022 06 29 - Conditions Type Applicables Freelance - TotalEnergies - Malt

CONDITIONS APPLICABLES AUX MISSIONS POUR TOTALENERGIES GLOBAL
PROCUREMENT
ENTRE
Malt Community, société anonyme au capital de 126 697.89 €, immatriculée au Registre du

Commerce et des Sociétés de Paris sous le n° 791 354 871, dont le siège social est situé 241 rue Saint
Denis - 75002 Paris, représentée par M. Alexandre FRETTI agissant en qualité de Directeur Général
Délégué,
Ci-après « Malt »,
ET
Toute personne physique ou morale souhaitant proposer ses services en tant que Freelance au
CLIENT,
Ci-après le « Freelance »,
PREAMBULE
Malt exploite le site www.malt.fr dédié à la mise en relation de freelances et de clients (ci-après le
« la Marketplace »), dont l’utilisation est régie par les conditions générales d’utilisation et de vente
Malt (ci-après les « Conditions Générales ») disponibles en ligne.
TOTALENERGIES GLOBAL PROCUREMENT, dont le siège social est 2 Place Jean Millier, 92400
Courbevoie, France, enregistré sous le numéro 539 072 819 au registre du commerce et des sociétés
de Nanterre, ainsi que ses sociétés affiliées, c’est-à-dire, toute entité qui contrôle TOTALENERGIES
GLOBAL PROCUREMENT ou qui est contrôlée par TOTALENERGIES GLOBAL PROCUREMENT (ci-après
le « Client ») a souhaité faire appel au Freelance inscrit sur la Marketplace pour son expertise afin de
lui confier une mission (ci-après la « Mission ») telle que définie au devis ci-annexé (ci-après le «
Devis »). Le Devis correspond à l’offre du Freelance, rédigée sur la base des besoins exprimés par le
Client, étant précisé que le Freelance est lié par son offre pour la durée indiquée au sein dudit Devis.
Lorsque le Client confirme les termes du Devis, il accepte ainsi la description des Missions, la
décomposition du prix et le calendrier de réalisation, les livrables attendus, ainsi que tout autre
élément indiqué au Devis.
A cette fin, le Client a fait appel à Malt pour qu’elle prenne en charge la gestion contractuelle et
administrative avec le Freelance.
1
C’est dans ces conditions que le présent contrat est signé (ci-après le « Contrat »). Le présent Contrat
sera applicable à toutes les Missions réalisées pour le compte du Client.
En conséquence, les Parties se sont accordées pour définir les modalités de collaboration entre elles.
IL A ETE CONVENU CE QUI SUIT :
1. Objet
Les présentes Conditions ont pour objet de définir les conditions dans lesquelles le Freelance réalise
la Mission définie au Devis.
2. Ensemble contractuel et priorités
Le Contrat est un ensemble contractuel composé des documents suivants, cités dans l’ordre
décroissant de prévalence :
- Le présent Contrat ;
- Le Devis (Annexe 1) ;
- L’accord de protection des données personnelles (Annexe 2) ;
- Les déclarations relatives à la réglementation financière (Annexe 3) ;
- Les principes essentiels applicables aux fournisseurs du client (Annexe 4) ;
- Les règles du Client applicables en matière d’hygiène, de sécurité et de politique

environnementale (Annexe 5) ;
- Les exigences du Client en matière de sécurité des systèmes d’information (Annexe 6).
- La liste du matériel fourni par le Client au Freelance, afin de réaliser la Mission (Annexe 7) ;
- Conditions financières et pénalités de retard applicables (Annexe 8).
3. Durée de la Mission
Le Contrat débute à la date à laquelle le Devis est accepté en ligne, sauf prévision contraire dans le
Devis, et ce, pour la durée prévue par le Devis et ce, jusqu’à ce que les obligations prévues soient
exécutées.
La durée de la Mission, la date de démarrage et, le cas échéant, la date de fin de celle-ci sont fixées
au Devis ci-annexé.
A l’issue de la durée de la Mission, le Contrat ne pourra être étendu ou renouvelé que par accord
exprès des Parties. Par exception, la signature d’un nouveau Devis ou d’un Devis complémentaire
proroge le Contrat, dans les conditions prévues par ledit Devis (Annexe 1).
Le Freelance sera tenu responsable de tout retard dans l’exécution des prestations objets de la
Mission, conformément à l’article 13 du Contrat.
2
4. Compte rendu d’activité et procédure de validation
Afin de permettre au Client de contrôler la conformité des livrables prévus au Devis, le Freelance
remplit un compte-rendu d’activité (ci-après le « CRA ») sur le Site,
- A la fin de sa Mission pour les Missions, dont la durée est inférieure à un (1) mois ;
- Mensuellement, au plus tard, le dernier jour de chaque mois, pour les Missions en régie dont
la durée est supérieure à un (1) mois.
Le CRA sera revu par Malt, qui le transmettra ensuite au Client.
Les Missions réalisées feront l’objet, dans un délai de quinze (15) jours à compter de la transmission
du CRA par le Freelance à Malt via la Marketplace :
- De l’expression de réserves par le Client, auquel cas, le Freelance adressera sans délai et au
plus tard sous 48 heures à compter de la réception des réserves une version révisée du CRA.
D’une validation par le Client sur la Marketplace (ci-après la « Validation »). La validation du CRA
confirme que la bonne réception des services sans réserve.
5. Prix de la Mission
Le prix de la Mission, de même que les modalités de règlement du montant dû au Freelance, sont
prévus au Devis ci-annexé.
Le Client procédera, conformément aux modalités susvisées, à la Validation soit du CRA de fin de
Mission (pour les Missions au forfait), soit des CRA mensuels (pour les Missions en régie), ce qui
donnera lieu à l’émission d’une facture.
Les conditions financières et pénalités applicables à la Mission sont prévues en Annexe 8.
La Validation implique le règlement des sommes dues au Freelance par Malt, dans un délai maximal
de quarante-cinq (45) jours à compter de la date d’émission de la facture.
6. Obligations des Parties
6.1. Obligations de Malt
Malt s’engage à :
- Effectuer le suivi administratif et financier de la Mission dès la sélection du Freelance, et ce

jusqu’à la fin de Mission, plus particulièrement en assistant, conformément à son rôle
d’intermédiaire, le Freelance et le Client aux fins de résoudre tout différend ou litige, qui
pourrait survenir au cours de l’exécution de la Mission ;
- Collaborer loyalement et activement avec le Freelance et en particulier à lui fournir ou lui

faciliter la consultation de tous les éléments ou documents qui lui seront nécessaires pour
l'exécution de la Mission, qui lui aurait été communiqués par le Client ;
3
- A respecter toute obligation relative à l’intermédiation fournie dans le cadre de sa relation
contractuelle avec le Freelance et le Client, à l’exclusion de toute obligation sociale, dans la
mesure où aucun lien de subordination existe entre Malt et le Freelance.
6.2. Obligations du Freelance
Le Freelance s’engage à :
- Disposer des compétences et des capacités pour mener la Mission à son terme (en ce
compris toute autorisation, agrément ou diplôme nécessaire) et qu’il exécutera les
prestations à réaliser à cette fin, avec toute la diligence et le professionnalisme requis, dans
les délais et lieux convenus avec le Client, conformément aux stipulations du Devis, ainsi
qu’aux règles de l’art et niveaux de services et indicateurs de qualité applicables, notamment
à son secteur d’activité, aux informations lui ayant été communiquées par le Client, et dans le
respect de la législation en vigueur ;
- À remplir ses obligations d’information, de conseil et de mise en garde, en préalable à toute

Mission, en informant et en conseillant le Client, sur toutes les caractéristiques des livrables
et/ou prestations prévus au Devis, de leurs évolutions, améliorations possibles et leurs
conséquences, ainsi que de toute difficulté dont il a connaissance pouvant nuire à l’exécution
de la Mission ;
- Si une difficulté survenait au cours de l’exécution de la Mission de nature à influencer les

conditions d’exécution de la Mission, alors le Freelance s’engage à proposer des solutions afin
de prévenir l’impact des difficultés ou risques identifiés, et ce, indépendamment, du niveau
d’expertise du Client ;
- À respecter les règles relatives à l’utilisation du matériel du Client, ainsi que les règles
applicables au sein des locaux du Client et notamment le règlement intérieur, les consignes
d’hygiène et de sécurité, la charte informatique, qui seraient susceptibles de lui être
communiqués ;
- Conserver toute information comptable et, plus généralement, toute information relative à la
Mission et nécessaire à la conduite par Malt, ou par le Client, d’un audit et/ou d’une
vérification des coûts engagés par le Freelance ; ce pendant toute la durée de la Mission et
pendant une période de deux (2) ans à compter de sa résiliation ou de son expiration ;
- Garantir que les déclarations souscrites en Annexe 3 soient sincères et véritables et à porter à
la connaissance de Malt et/ou du Client, sans délai et par écrit, toute information susceptible
de rendre inexacte ou erronée ladite déclaration ;
- Respecter la plus stricte confidentialité dans l’exécution des Missions, ainsi que de respecter
le caractère confidentiel des livrables et des instructions et décisions du Client ;
- Respecter les conditions et politiques internes du Client reproduites et annexées au Contrat,

à savoir : les principes essentiels applicables aux Freelances du Client (Annexe 4) ; les règles
du Client applicables en matière d’hygiène, de sécurité et de politique
environnementale (Annexe 5) ; la politique interne du Client en matière de données
personnelles (Annexe 6).
4
- Assurer la protection du système d’information du Client et, en particulier, respecter les
conditions du Client, applicables en matière de sécurité des systèmes d’information (IS
Ressources), telles qu’énumérées en Annexe 7.
- Tout manquement du Freelance aux engagements susvisés pourra donner lieu à des
pénalités, en application de l’Annexe 8.
7. Collaboration des Parties et suivi de la Mission
Les Parties s’engagent à collaborer au mieux de leurs possibilités afin de permettre la bonne
exécution de leurs obligations respectives.
Les Parties conviennent de faire régulièrement un point sur l’état d’avancement de la Mission, le cas
échéant en établissant un compte-rendu des prestations d’ores et déjà réalisées et de celles restant à
réaliser pour finaliser la Mission.
Les Parties pourront s’accorder sur les éventuels ajouts/modifications à apporter à la Mission, en
convenant si nécessaire d’un Devis complémentaire pour les prestations à facturer en sus.
8. Propriété intellectuelle et cession de droits
8.1. Cession de droit
Le Freelance cède à titre onéreux et exclusif à Malt, qui les cèdera à son tour au Client, l’ensemble
des droits d’auteur et de propriété intellectuelle dont il dispose sur les prestations et livrables réalisés
pour le Client.
La cession est consentie pour, pour le monde entier, et pour toute la durée légale des droits de
propriété intellectuelle.
Les droits cédés comprennent la totalité des droits patrimoniaux reconnus au Freelance, en ce inclus
notamment les droits de reproduction, représentation et d’adaptation, sur tout support, en tout
format et par tour procédé que ce soit.
Ladite cession est réalisée pour un prix forfaitaire et définitif inclus dans le prix des prestations,
correspondant à 5 % du prix total.
Le Freelance garantit qu’il détient tous les droits de propriété intellectuelle nécessaires à l’exécution
de la Mission.
Le Freelance étant susceptible d’utiliser pour les besoins de sa Mission des moyens objet de droit de
propriété intellectuelle, ci-après dénommés collectivement « Moyens », lui appartenant ou dont les
droits sont détenus par des tiers, si ces Moyens sont inclus dans les livrables ou sont indispensables
pour leur mise en œuvre, le Freelance s’engage à ce qu’une licence, sans frais supplémentaire, soit
concédée au Client. Le Freelance reconnait qu’il doit en informer préalablement et expressément le
Client avant la mise en œuvre des Moyens. A ce titre, la mise en œuvre de licences dites « Open
Source » et/ou l’utilisation de logiciels libres devront être convenus au préalable entre le Client et le
Freelance.
8.2. Code source
5
En cas d’intégration de logiciel dans le cadre de l’exécution de la Mission, le Freelance s'engage à
déposer le code source du livrable sur un support fiable et infalsifiable auprès d’une organisation
tierce officielle. Le Freelance s'engage à accorder au Client un droit d'accès au code source du
livrable, s’il ne pouvait plus en assurer l'assistance et la maintenance ou bien, en particulier, en cas de
lancement d’une procédure de redressement ou de mise en liquidation judiciaire à l’encontre du
Freelance.
En cas de livrables développés/réalisés pour le compte du Client, le Freelance remettra à Malt, qui
remettra à son tour au Client les codes sources correspondants, leur documentation, et cèdera au
Client à titre exclusif, au fur et à mesure de leur réalisation, tous ses droits de propriété littéraire et
artistique que ce soit sur les logiciels, les plans, les travaux de conception préparatoires et les
créations résultant de l'exécution du Contrat. Les droits cédés comprennent les droits de
reproduction, de représentation, d'adaptation, d'arrangement, de distribution, de commercialisation,
d'usage sous toutes formes, selon tous modes présents et à venir et sur tous supports et ce quels
qu'en soient l'usage et les destinations, la localisation géographique et la durée des droits de
propriété intellectuelle.
8.3. Garantie d’éviction
Le Freelance garantit à Malt, qui garantit à son tour au Client :
- La jouissance paisible de tout livrable et ;

- Qu’il détient tous les droits de propriété intellectuelle nécessaires à l’exécution de la Mission.
Dès que le Freelance et/ou le Client a connaissance de l’existence d’une réclamation d’un tiers porté
sur des droits de propriété intellectuelle, ils doivent s’en informer mutuellement et se concerter afin
d’envisager les suites à donner. Sous réserves des garanties assurantielles dont bénéficie le Freelance
par l’intermédiaire de Malt, le Freelance assurera la gestion de la réclamation et les moyens de
défense à ses seuls frais pour les dommages non compris dans la couverture d’assurance visée à
l’article X du présent Contrat.
Dans le cas où l'interdiction d'utilisation serait prononcée en conséquence d'une action en

contrefaçon, le Freelance s’engage au choix de Malt et à ses frais à (i) obtenir le droit de continuer à
utiliser des livrables litigieux réalisés pour le Client ou de (ii) modifier ou remplacer lesdits livrables
par tout équivalent ayant les mêmes spécifications que celles indiquées au Devis et ne faisant l’objet
d’une action en contrefaçon.
A défaut, le Freelance remboursera le Client du montant acquitté par ce dernier au titre de

l’exécution de la Mission.
Sous réserves des garanties assurantielles dont bénéficie le Freelance par l’intermédiaire de Malt, le
Freelance s’engage à relever indemne et garantir le Client de toute réclamation et à l’indemniser de
l’ensemble des frais et indemnités supportés par le Client dans le cadre d’une procédure amiable,
contentieuse ou en suite d’une décision de justice.
9. Protection des données personnelles
Les exigences relatives au respect de la réglementation en vigueur en matière de protection des

données à caractère personnel et notamment du Règlement (UE) 216/679 du Parlement européen et
du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD ») et de la loi
6
du Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée
(ci-après la « Loi Informatique et Libertés ») sont décrites en annexe 2 du présent Contrat.
Le Freelance s’engage en outre à respecter la politique interne du Client applicable en matière de

données personnelles, telles que reproduite en Annexe 6 du présent Contrat.
10. Audit
Le Freelance s’engage à permettre la réalisation par Malt, le Client ou toute personne mandatée par
ces derniers, de toute vérification technique de sécurité dans ses locaux et/ou à distance sur son
matériel, qui paraitrait utile pour s’assurer du respect des conditions d’exécution de la Mission ainsi
que de toute obligation à laquelle serait soumis le Freelance au titre du présent Contrat et de ses
annexes.
Le Freelance s’engage à coopérer de bonne foi et sans réserve avec les auditeurs dès lors qu’il sera
avisé de la réalisation d’un audit.
L’audit ne devra pas empêcher ni ralentir le Freelance dans l’exécution des Missions, à défaut de quoi,
les éventuelles conséquences liées à la réalisation de l’audit, sous réserve d’être dûment justifiées,
seront imputables à Malt ou au Client.
11. Pénalités – Retard dans l’exécution de la Mission – Continuité de la Mission
11.1 Retard dans l’exécution de la Mission
Le Freelance reconnaît que la réalisation des Missions, dans les délais convenus au Devis et/ou d’une
manière générale avec le Client est un élément clé des engagements souscrits et du présent Contrat.
En cas de retard dans le cadre de l’exécution des Missions, les pénalités prévues en Annexe 9 sont
applicables. L’application des pénalités est non-exclusive de tout dommages-intérêts ou préjudice
susceptible d’être sollicité en sus.
11.2 Continuité de la Mission
Le Freelance fera ses meilleurs efforts pour assurer la continuité de la Mission. En cas
d'indisponibilité, le Freelance en informera immédiatement Malt et le Client, et mettra tous les
moyens en œuvre afin de collaborer avec Malt à l’identification d’une solution alternative (par
exemple et sans que la liste soit limitative : communication de l’état d’avancement des dossiers,
information sur les compétences requises au cours de la période d’indisponibilité, formation des
freelances susceptibles d’agir en lieu en place), pour approbation par le Client afin de ménager les
conséquences sur l'exécution de la Mission de cette indisponibilité. En cas de désaccord du Client à
l'alternative proposée, le Contrat pourra être résilié sous réserve du respect du délai de préavis fixé
dans le Devis.
Il est expressément convenu qu’une telle période transitoire ne pourra donner lieu à aucune
facturation complémentaire du Freelance, dans les limites suivantes :
Durée totale de la Mission Période de transfert sans frais

Moins de 3 mois Deux jours
Entre 3 et 6 mois Une semaine
Plus de 6 mois Deux semaines
7
12. Fin de Mission anticipée
12.1. Résiliation pour convenance
Chaque Partie pourra mettre un terme anticipé à la Mission objet des présentes et résilier à tout
moment et de plein droit le présent Contrat sans formalité judiciaire, moyennant le respect d’un délai
de préavis de deux (2) jours pour chaque mois de Mission déjà réalisé.
Dans le cas où le Client mettrait un terme anticipé à la Mission sans faute du Freelance, Malt s’engage
à :
(a) payer le Freelance pour les prestations réalisées à son taux journalier, jusqu’au terme de la
Mission, dans la mesure où le Client aura procédé à la Validation desdites prestations ;
(b) à dédommager le Freelance de tous coûts raisonnablement et irrévocablement engagés pour

les besoins des prestations demandées par le Client mais non encore réalisées, sur
présentation des justificatifs y correspondant ;
(c) à payer au Freelance une différence de cinq pourcent (5%) entre (i) le prix que le Freelance
aurait dû percevoir en cas d’exécution complète de la Mission, et (ii) la somme des montants
déjà payés au Freelance en application des (a) et (b) ci-dessus.
Dans le cadre d’une Mission au forfait, les Parties s’engagent à trouver un accord pour un règlement
au prorata de l’avancée de la Mission.
Cette résiliation ne donnera lieu au paiement d’aucune autre indemnité.
12.2. Résiliation pour manquement du Freelance
Dans le cas où la Mission ne serait pas exécutée conformément aux stipulations du Devis, le Client le
notifiera à Malt, qui à son tour le notifiera au Freelance. A réception de la notification des exécutions
constatées, le Freelance disposera d’un délai de deux (2) jours pour proposer une solution
rectificative à Malt, qui transmettra cette proposition au Client. Dans l’hypothèse où aucune
rectification n’aurait été proposée, ou approuvée par le Client au terme de ce délai, le Contrat pourra
être résilié avec effet immédiat, sauf accord contraire des Parties.
Dans l’hypothèse où l’alternative est acceptée par le Client, une période de transfert sans frais
s’appliquera conformément à l’article 11.2.
13. Effets de la fin de la Mission
A la fin de la Mission, pour quelque cause que ce soit, le Freelance remettra au Client, sans délai ni
frais additionnel, l’ensemble des documents qui lui auront été remis par le Client dans le cadre de la
Mission ainsi que tous les livrables, rapports, études, correspondances et documents et tout élément
qui auraient pu être élaborés ou réunis par le Freelance au titre de l'exécution de la Mission.
Le Freelance s’engage à ne pas faire usage ou conserver de copies des documents susvisés et de
restituer toute copie en sa possession au Client à l’exception des situations dans lesquelles le
Freelance est tenu de conserver tout ou une partie desdits documents en application d’une
8
disposition légale ou réglementaire (en pareille situation, le Freelance en informera le Client sans
délai).
Le Freelance doit permettre la transmission des informations essentielles au transfert de la prise en

charge de la Mission par le Client, ou tout autre tiers, dans les meilleures conditions, dans les
conditions prévues par l’article 11.2.
14. Assurance et responsabilité
Conformément aux Conditions Générales Malt Community SA, le Freelance est bénéficiaire d'une
police d'assurance « responsabilité civile prestataire de service » souscrite par Malt pour son compte
garantissant, dans les conditions prévues, les conséquences pécuniaires du fait de sa responsabilité
civile professionnelle.
En tout état de cause, le Freelance reconnait qu’il engagera sa responsabilité pour tout dommage non
couvert par la politique d’assurance. En particulier, le Freelance accepte, en cas de réclamation ou
d’action du Client à l’encontre de Malt, d’indemniser Malt de toute somme versée par cette dernière
au Client en réparation de tous préjudices causés à ce dernier du fait d’une faute commise par le
Freelance dans l’exercice de la Mission.
15. Garantie
Le Freelance accepte, pour une durée de vingt-quatre (24) mois à compter de la Validation par le
Client, de garantir Malt de toute demande du Client qui résulterait d’un défaut imputable au
Freelance dans l’exercice des services objets de la Mission.
A ce titre, le Freelance s’engage, sur communication par Malt ou le Client de la mise en œuvre de la
garantie, à exécuter de nouveau, sans coût additionnel pour Malt ou le Client, les services pour
lesquels le Client sollicite la mise en œuvre de la garantie. Il est précisé que cette garantie a vocation
à s’appliquer à toutes les prestations effectuées dans le cadre des Missions, en ce compris, pour les
défauts, vices, ou non-conformités susceptibles d’avoir entachés l’exécution des Missions.
Les services de nouveau exécutés par le Freelance sur mise en œuvre de la garantie par le Client
donneront lieu à une nouvelle période de garantie, d’une durée de vingt-quatre (24) mois à compter
de leur validation par le Client.
En outre, le Freelance restera entièrement responsable envers le Client et/ou Malt de tous les défauts
ou de toutes les non-conformités affectant les prestations exécutées qui n'étaient pas apparents au
moment de la Validation, ce malgré toute inspection ou acceptation par le Client.
16. Confidentialité
Chaque Partie s’engage à conserver à toute information, de quelque nature que ce soit, dont elle
pourrait avoir connaissance dans le cadre de la réalisation de la Mission objet des présentes, un
caractère strictement confidentiel.
Cet engagement de confidentialité perdurera aussi longtemps que les informations concernées ne
seront pas devenues publiques, et survivra par conséquent après l’expiration ou la résiliation de la
Mission pour quelque motif que ce soit jusqu’à réception par le Freelance d’une autorisation écrite
du Client, le cas échéant transmise par Malt, de l’en délivrer.
9
Toute communication notamment sur le contenu de la collaboration entre le Freelance et le Client,
l’utilisation des marques du Client, se fera uniquement avec l’accord préalable et écrit du Client.
Le Freelance s’engage à retourner au Client toute information confidentielle en sa possession au

terme de la Mission.
Le Freelance reconnaît que la violation des présentes engage sa responsabilité, y compris sur le plan
pénal, et est susceptible de donner lieu à des dommages-intérêts.
17. Force Majeure
En cas de survenance d’un cas de force majeure tel que défini par la jurisprudence, les obligations des
Parties et du Client seront suspendues à compter de la réception d’une lettre recommandée avec
accusé réception informant l’autre Partie de la survenance d’un tel évènement.
Le Contrat reprendra ses effets lors de la disparition de la cause ayant entraîné la suspension.
Si l’événement à l’origine de la force majeure perdure plus de trente (30) jours à compter de la date
de réception de la lettre recommandée, les Parties se rencontreront pour décider s’il y lieu de
poursuivre le Contrat et dans quelles conditions.
A défaut d’accord entre les Parties, le Contrat sera résilié sans sommation ni formalité et sans
indemnité de part et d’autre.
18. Intuitu personae
Le Contrat est conclu intuitu personae, en conséquence le Freelance ne saurait en aucun cas
transmettre, céder ou sous-traiter à un tiers tout ou partie des obligations stipulées au présent
Contrat, sans autorisation préalable et écrite de Malt et/ou du Client.
En outre, le Freelance s’engage à exécuter la Mission personnellement et, sauf accord écrit et signé
du Client, à ne pas avoir recours à un sous-traitant ni à se faire substituer par un tiers pour la
réalisation de la Mission.
19. Modification
Toute modification relative au périmètre de la Mission ou aux conditions de son exécution

intervenant postérieurement à l’acceptation des présentes, devra faire l’objet d’un accord écrit entre
les Parties, donnant le cas échéant lieu à un Devis complémentaire.
20. Signature électronique
Si le présent Contrat est signé par voie de signature électronique, les Parties reconnaissent et
acceptent qu’il entrera en vigueur à la date de sa signature par la dernière des Parties signataires
Le cas échéant, les Parties conviennent expressément et irrévocablement que le présent Contrat,
signé électroniquement, vaut preuve de leur contenu, de l’identité des signataires et de leur
consentement.
Il est expressément convenu par les Parties que l’exigence d’une pluralité d’originaux de l’article 1375
du Code civil est satisfaite dans la mesure où le procédé de signature électronique permet à chaque
Partie de disposer d'un exemplaire sur support durable ou d'y avoir accès.
10
21. Langue
Le présent Contrat est rédigé en français et en anglais.
22. Droit applicable et juridiction compétente
Le droit français est seul applicable au présent Contrat.
Dans le cadre d’un litige relatif au présent Contrat et à l’exécution de la Mission, les Parties
conviennent de tenter de résoudre amiablement celui-ci en toute confidentialité.
Les Parties conviennent de soumettre tout différend relatif à la validité, l’interprétation ou l’exécution
du Contrat, à la compétence exclusive du Tribunal de commerce de Nanterre.
23.
11
ANNEXE 1 – DEVIS
Le Devis se compose du présent devis, ainsi que de tout autre devis subséquent, signé par les Parties
et nécessaire pour l’exécution de la relation contractuelle entre le Freelance et le Client.
12
ANNEXE 2 – ACCORD DE PROTECTION DES DONNEES A CARACTERE PERSONNEL
Préambule
Les termes commençant par une lettre majuscule, dans la présente annexe, ont la signification qui
leur est attribuée, soit dans le présent Contrat, soit dans le RGPD.
Le présent accord fixe les conditions dans lesquelles le sous-traitant qualifié (ci-après le « Freelance
») que Malt affecte à la réalisation de la Mission, est amené, en qualité de Sous-traitant au sens du
RGPD à traiter des Données Personnelles pour le compte et sur les instructions du Client,
Responsable de Traitement.
Pour toutes informations complémentaires dont il aurait besoin au titre de la protection des Données
Personnelles, le Freelance pourra contacter le DPO du Client, au sujet duquel le Freelance et le Client
se rapprocheront pour que le Freelance puisse avoir connaissance du moyen de communication le
plus efficace.
1. Traitement de Données à caractère personnel
Les Parties reconnaissent que le Freelance assure les Traitements listés en sous-annexe 1, sur
instructions du Client.
Les Parties reconnaissent qu’en raison du caractère évolutif des Traitements de Données à caractère
personnel réalisés dans le cadre des Missions, la sous-annexe 1 pourra faire l’objet de modifications
et les registres du Client et du Freelance pourront être modifiés tout au long de la relation
contractuelle.
2. Obligations respectives des Parties
Le Freelance reconnaît qu’il ne peut agir que sur instruction documentée du Client, y compris en ce
qui concerne les transferts de Données à caractère personnel.
De manière générale, le Freelance s’engage à coopérer et faire ses meilleurs efforts pour aider le
Responsable de Traitement à s’acquitter des obligations lui incombant aux termes du RGPD, en
particulier en matière de sécurité et de confidentialité des Données à caractère personnel.
Il est expressément rappelé que les Données à caractère personnel ainsi que leurs supports quels
qu’ils soient et notamment les supports informatiques et documents fournis par le Client au
Freelance restent la propriété pleine et entière du Client.
Malt s’assure que le Responsable de Traitement s’engage à fournir des instructions documentées au
Freelance pour réaliser les opérations de Traitement des Données à caractère personnel et
notamment à lui rappeler, le cas échéant, les règles applicables en matière de protection des
Données à caractère personnel.
3. Durée de conservation
Le Client et le Freelance devront définir ensemble la durée de conservation des Données à caractère
personnel traitées par le Freelance pour le compte du Client. Cette durée devra être justifiée par la
finalité du Traitement. En cas de doute, le Freelance se rapprochera du DPO du Client.
13
4. Sécurité
Le Freelance s'engage à prendre toutes précautions utiles afin de préserver la sécurité des Données à
caractère personnel du Client et notamment d'empêcher qu'elles ne soient déformées,
endommagées ou communiquées à des personnes non autorisées.
A ce titre, le Freelance s'engage à respecter les obligations suivantes :
- Ne prendre aucune copie des documents et supports d'informations qui lui sont confiés, à
l’exception de celles nécessaires à l’exécution de la Mission prévue aux CG Missions UP ;
- Ne pas utiliser les documents et informations traités à des fins autres que celles spécifiées
dans le présent document ainsi que dans les CG Missions UP ;
- Ne pas divulguer ces documents ou informations à d'autres personnes, qu'il s'agisse de

personnes privées ou publiques, physiques ou morales ;
- Prendre toutes mesures permettant d'éviter toute utilisation détournée ou frauduleuse des
fichiers informatiques en cours d'exécution des CG Missions UP ;
- Prendre toutes mesures de sécurité, notamment matérielle, pour assurer la conservation et

l’intégrité des documents et informations traités pendant la durée des CG Missions UP.
Les mesures de sécurité à mettre en œuvre par le Freelance dans le cadre de l’accès à et du
traitement des données du Client sont précisées dans la sous-annexe 3 relative à la sécurité.
5. Confidentialité
Le Freelance s’engage à conserver confidentiel l’ensemble des éléments du Client et plus

particulièrement les Données à caractère personnel.
A ce titre, le Freelance s’engage à ce que ces éléments :
- Soient protégés, conservés dans un lieu sûr et gardés strictement confidentiels et soient
traités avec les plus extrêmes précautions et protections, notamment par toutes mesures
permettant d’empêcher l’accès de personnes non autorisées ;
- Ne soient ni copiés, ni reproduits, ni dupliqués, totalement ou partiellement, pour ses

besoins propres, lorsque de telles copies, reproductions ou duplications n’ont pas été
autorisées par le Client.
6. Violation de Données à caractère personnel
En cas de Violation de Données à caractère personnel, le Freelance s’engage à mettre en œuvre les
mesures nécessaires de façon à remédier à ladite Violation. Avant la signature des présentes et le
démarrage d’une Mission, le Freelance s’engage à indiquer au Client quelles mesures sont
envisageables dans une telle hypothèse.
Par ailleurs, le Freelance s’engage à notifier au Client toute Violation de Données à caractère
personnel au plus tôt, et dans un délai de quarante-huit (48) heures au plus tard à compter de sa
survenance, par e-mail que le Client aura communiqué au Freelance en temps utile.
14
Cette notification doit contenir les informations suivantes :
- La nature de la Violation de Données à caractère personnel ;

- Les catégories et le nombre approximatif de personnes concernées par la Violation et les
catégories et le nombre approximatif d'enregistrements de Données à caractère personnel
concernés ;
- Le nom et les coordonnées du Délégué à la protection des données ou d'un autre point de
contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- Les conséquences probables de la Violation de Données à caractère personnel ;
- Les mesures prises pour remédier à la Violation de Données à caractère personnel et
atténuer les éventuelles conséquences négatives.
7. Exercice des droits
En tout état de cause, il appartient au Client de fournir aux personnes concernées par les opérations
de Traitement, au moment de la collecte des Données à caractère personnel et préalablement à tout
Traitement, toute information relative à leurs droits sur lesdits Traitements conformément au RGPD,
ce compris en communiquant les coordonnées nécessaires à l’exercice desdits droits.
Le Freelance s’engage à faciliter l’accès aux Données à caractère personnel et l’exercice des droits que
le Client doit assurer aux personnes concernées et notamment les droits d’information, de
rectification, d’effacement, de limitation, de portabilité et d’opposition.
8. Analyse d’impact
Le Freelance s’engage, le cas échéant, à aider le Client aux fins de réalisation d'une analyse d'impact
relative à la protection des Données à caractère personnel.
A ce titre, le Freelance fournit au Client toute l’information nécessaire qu’il lui demanderait aux fins
de contribuer à la réalisation de ladite analyse d’impact relative à la protection des Données à
caractère personnel.
9. Tenue de registre
Le Freelance tient à jour un registre de toutes les catégories d'activités de Traitement effectuées pour
le compte du Client qu’il pourra renseigner, le cas échéant, avec l’aide du Client (voir modèle en
sous-annexe 2).
Il reconnaît que ce registre contient, a minima, les informations suivantes :
- Le nom et les coordonnées du Freelance et du Client ;

- Le nom et les coordonnées du représentant du Client ;
- Le nom et les coordonnées du Délégué à la protection des Données à caractère personnel du
Client, le cas échéant ;
- Les catégories de de Données à caractère personnel traitées et de Traitements effectués pour
le compte du Client ;
- La durée de conservations des Données à caractère personnel traitées ;
- Le cas échéant, les transferts de Données à caractère personnel ainsi que l’identification du
pays de destination et, le cas échéant, les documents attestant de la légalité de ce transfert ;
15
- Une description générale des mesures de sécurité techniques mises en place aux fins
d’assurer la sécurité et la confidentialité des Données à caractère personnel traitées pour le
compte du Client.
10. Recours par le Freelance à la sous-traitance en matière de Données à Caractère personnel
Il est expressément stipulé que le Freelance s’interdit de solliciter un Sous-traitant, à l’exception du

recours à la sous-traitance dans le cadre de l’utilisation d’outils qui seraient indispensables à la
réalisation de la Mission. A ce titre, le Freelance privilégie les outils qui lui sont recommandés par le
Client aux fins de garantir la sécurité des Données à caractère personnel traitées dans le cadre de sa
Mission, conformément aux dispositions de l’Annexe 6. La liste des outils fournis par le Client est
renseignée au sein de l’Annexe 7.
En tout état de cause, le Freelance reconnait qu’il doit obtenir l’accord exprès et écrit du Client au
préalable à toute prestation de sous-traitance.
Il est expressément convenu entre les Parties que, conformément au RGPD, le Freelance restera
entièrement responsable vis-à-vis du Client pour les sous-traitants auxquels il a eu recours, et cela
même en ayant obtenu l’accord préalable du Client.
11. Transfert des données
Aucun transfert de Données à caractère personnel dans un pays hors de l’Union Européenne ne
pourra être effectué par le Freelance sans l’accord, préalable exprès et écrit du Client à l’exception
des cas où le Freelance est tenu d’y procéder en vertu du droit de l’Union européenne ou d’un
Etat-Membre de l’Union européenne auquel le Freelance serait soumis. Dans ce dernier cas, le
Freelance s’engage à informer le Client de cette obligation légale et ce impérativement avant tout
Traitement.
Le Freelance s’engage par ailleurs à signer tout document que le Client estimerait nécessaire pour la
validité du transfert et notamment les clauses contractuelles types éditées par la Commission
Européenne.
12. Coopération avec l’autorité de contrôle
Le Freelance s’engage à coopérer avec toute autorité de contrôle, à la demande de celle-ci, dans
l'exécution de ses Missions.
13. Sort des données à l’issue du Contrat
Au terme de la Mission, le Client informera le Freelance du sort qu’il souhaite que le Freelance
réserve aux Données à caractère personnel traitées par ses soins sur instructions du Client.
Ainsi, le Client indiquera au Freelance s’il souhaite que lesdites Données à caractère personnel soient
supprimées ou lui soient restituées.
Le Freelance s’engage à répondre dans un délai maximal de trente (30) jours.
En cas de suppression des Données à caractère personnel, le Freelance s’engage à adresser au Client
un certificat de destruction sur le modèle de celui qui lui sera fourni par le Client. Il s’engage par
ailleurs à supprimer toutes copies éventuelles desdites Données à caractère personnel, et garantit au
16
Client ne plus détenir aucune Donnée à caractère personnel, sous réserve de celles dont la
conservation serait indispensable au titre de ses obligations légales, en particulier sociales et fiscales.
14. Responsabilité
En cas de manquement du Freelance à l’une quelconque des obligations issues de la présente annexe
ou à toute autre obligation légale relative aux Traitements de Données à caractère personnel, le Client
disposera de la faculté de résilier le Contrat et de mettre un terme aux Missions en cours, de plein
droit et sans indemnité.
La responsabilité du Freelance pourra également être engagée sur la base des dispositions légales en
vigueur.
15. Durée
La présente annexe entre en vigueur à la date d’entrée en vigueur du Contrat et pour la durée de ce
dernier.
17
SOUS-ANNEXE 1 DE L’ANNEXE 2 – DESCRIPTION DU TRAITEMENT
1. LES ACTEURS
- Le responsable de traitement est le Client

- Le sous-traitant est le Freelance
2. DESCRIPTION GÉNÉRALE DU TRAITEMENT
Objet et nature du NB: Ne garder que ce qui est applicable et adapter la liste suivante : :
traitement Collecte, stockage, consultation, transfert, modification, extraction,
effacement,
Autre, préciser: …………
Durée du traitement Durée du traitement processing
Finalité du traitement A remplir
NB: Exemples : Gestion des ressources humaines, vidéosurveillance, enquête
de satisfaction
3. CATÉGORIES DE PERSONNES CONCERNÉES
Les catégories de personnes concernées par le traitement sont les suivantes :
NB: Ne garder que ce qui est applicable et adapter la liste suivante :
Salariés : potentiels / actuels / anciens ;

- Clients : potentiels / actuels / anciens ;
- Prospects : potentiels / actuels / anciens ;
- Collaborateurs occasionnels (stagiaires, intérimaires) : potentiels / actuels /
anciens ;
- Fournisseurs : potentiels / actuels / anciens ;
- Actionnaires : potentiels / actuels / anciens ;
- Commercial partners : potentiels / actuels / anciens ;
- Autre, précisez : ………………
4. TYPES DE DONNÉES PERSONNELLES
Le traitement concerne les types de données suivantes :
NB: Ne garder que ce qui est applicable et adapter la liste suivante :

Donnée relatives à Nom, prénom, date de naissance, lieu de naissance, adresse, numéro de
l’identité de la personne téléphone, adresse email, photographie,
concernée Autre, précisez : …….
Donnée relative à la Salaire, données bancaires, situation fiscale
situation financière de la Autre, précisez : …….
personne concernée
18
Donnée relative à la vie Situation familiale
privée de la personne Autre, précisez : …….
concernée
Donnée relative à la vie CV, formation, diplômes, CV, education, intitulé de poste
professionnelle de la Autre, précisez : …….
personne concernée
Mot de passe, Adressée IP,
Donnée de connexion
Autre, précisez : …….
Voyage, données GPS,
Donnée de géolocalisation
Données biométriques / Génétiques
Religion, opinions politiques ou philosophiques
Donnée sensible Orientation sexuelle, données de santé, origines raciales S
Casier judiciaire et informations relatives à de précédentes condamnations
Donnée relative aux Historique de commandes, numéros de commandes, factures, paiements,
relations contractuelles Autre, précisez: …………
5. SOUS-TRAITANTS ET TRANSFERTS AUTORISÉS À L’EXTÉRIEUR DE L’UNION EUROPÉENNE :
Les sous-traitants, en ce compris leurs filiales autorisées à accéder aux données personnelles dans le
cadre de l’exécution de la Mission sont les suivants :
NB: le tableau ci-dessous doit être rempli par le Freelance : une ligne par sous-traitant
Raison sociale Informations Nature des Pays Dans l’hypothèse d’un
du sous-traitant complémentaires: activités en lien d’implantation de transfert en dehors de
Adresse du siège avec le traitement l’équipe en charge l’Union européenne,
social, numéro des données du traitement des précisez l’instrument
d’immatriculation personnelles données mis en place pour se
au RCS, contact du personnelles conformer au RGPD
DPO (clauses contractuelles
etc…).
SOUS-ANNEXE 3 DE L’ANNEXE 2 – SÉCURITÉ DES DONNÉES TRAITÉES LORS DE LA MISSION
La présente sous-annexe relative à la sécurité liste les mesures de conformité minimum à mettre en
œuvre par le Freelance dans le cadre de sa Mission auprès du Client.
19
En tout état de cause, le Freelance devra se conformer à toute instruction du Client en matière de
sécurité des données traitées dans le cadre de sa Mission et, le cas échéant, utiliser exclusivement le
matériel mis à sa disposition par le Client pour la réalisation de sa Mission, ce dernier bénéficiant des
garanties minimum requises par le Client pour la réalisation de la Mission.
Le Freelance reconnaît qu’en raison du caractère évolutif des exigences en matière de sécurité des
systèmes d’information, lesdites mesures pourront faire l’objet de modifications et devront être
actualisées tout au long de la relation contractuelle.
Le Freelance s’engage en effet à respecter les principes fondamentaux de la sécurité des données et
notamment les prérequis suivants :
Sensibilisation
Le Freelance s’engage à se tenir informé des exigences minimales en matière de sécurité des
données, cybersécurité et plus généralement en matière de protection des données.
Par ailleurs, le Freelance s’engage à respecter strictement la confidentialité de toute donnée à

laquelle il aurait accès et sur laquelle il serait susceptible de travailler dans le cadre de sa Mission.
Identification et authentification
Le Freelance doit obligatoirement sécuriser l’ensemble des accès à son matériel et à ses outils par des
méthodes d’authentification forte et utilisera notamment un mot de passe complexe, d’une longueur
minimale et une authentification en deux étapes. A ce titre, le Freelance est invité à prendre
connaissance et à se conformer aux règles précisées par l’ANSSI en la matière.
Il devra notamment imposer, sur son matériel et les outils qu’il utilise dans le cadre de sa mission, la
modification du mot de passe après sa réinitialisation et la limitation du nombre de tentatives d’accès
à son compte.
Respect des habilitations attribuées par le Client pour la réalisation de la Mission
Le Freelance s’engage à respecter les habilitations qui lui seront attribuées par le Client dans le cadre
de la réalisation de la Mission. A ce titre, il s’interdit de transférer ou communiquer ses identifiants et
mots de passe qui lui sont strictement personnels.
Traçabilité des accès et gestion des incidents
Le Freelance s’engage à notifier le Client ainsi que Malt s’il subit un incident de sécurité afin que ces
derniers puissent prendre toute mesure nécessaire à la sécurisation des données concernées. Ainsi,
le Freelance devra informer le Client et Malt s’il subit un vol de matériel, de données, une intrusion,
un vol d’identifiant, une usurpation d’identité ou de compte…
A ce titre, le Freelance devra contacter le DPO ou le service sécurité du Client et devra adresser une
notification à Malt par le biais de l’adresse suivante : privacy-security@malt.com.
Sécurisation des postes de travail et des périphériques mobiles
Il doit obligatoirement installer sur son poste de travail :
20
- Installer, sans délai, les dernières mises à jour de sécurité ;
- Le verrouillage automatique de session ;
- Une solution anti-malware à jour ;
- Un dispositif anti-intrusion (pare-feu) ;
- Un système lui permettant de garantir l’intégrité des données (historisation) ;
- Un système de sauvegarde ;
- Un système de chiffrement des données notamment présentes sur le disque.
Dans la mesure du possible, réserver le poste de travail et les périphériques mobiles à l’activité
professionnelle et restreindre les usages qui pourraient résulter en une minimisation des mesures de
sécurité mises en œuvre afin de se conformer à la présente Annexe.
Sécurisation des flux réseau
Le Freelance s’engage à :
- Restreindre les flux réseaux au moyen d’un pare-feu ;
- Mettre en place un VPN pour encadrer les accès distants (ou dans le cas d’accès à un réseau
wifi non sécurisé), en l’absence d’une telle protection le Freelance s’interdit de se connecter à
un réseau wifi non sécurisé dans le contexte de sa Mission ;
- Sécuriser les flux WIFI par l’utilisation du protocole WPA2 ou WPA2-PSK.
Dans l’hypothèse où le Freelance administre son/ses propre(s) serveur(s)
Il s’engage à :
- Restreindre les accès aux outils et interfaces d’administration ;
- Réaliser des scans périodiques de vulnérabilité contre les menaces logicielles ;
- Installer les mises à jour ;
- Chiffrer les données stockées ;
- Installer un anti-virus et un pare-feu ;
- Réaliser des sauvegardes régulières et les stocker de manière sécurisée, à savoir, notamment,
dans un lieu distinct de celui où se trouvent le(s) serveur(s).
L’indisponibilité éventuelle du/des serveurs ne devra en aucun cas influencer la capacité du Freelance
à réaliser la Mission objet des présents CG Missions UP.
Sécurisation des échanges avec le Client et, le cas échéant avec tout organisme avec lequel le
Freelance serait amené à échanger dans le cadre de la Mission
21
Le Freelance s’engage à utiliser des moyens de communication chiffrés, en ce compris la messagerie
électronique, la messagerie instantanée, les outils de visioconférence, les pièces jointes lorsque le
courriel n’est pas lui-même chiffré.
Dans la mesure du possible, il devra chiffrer les données traitées pour le compte du Client et
notamment assurer la séparation des données traitées pour le compte de différents clients. Par
exemple, il conviendra d’isoler les différentes données sur le(s) poste(s) de travail et tout
périphérique mobile également utilisé dans le cadre de la Mission et s’assurer que les accès aux
données du Client soit strictement limités à son propre usage et au personnel du Client.
Développements informatiques
Le Freelance s’engage à anonymiser les données qui seraient importées dans les environnements
hors production et, en cas de demande du Client de réaliser des tests sur des données de production,
à informer le Client du fait que cette pratique n’est pas sécurisée et qu’il conviendrait, a minima, de
pseudonymiser ou anonymiser les données avant de les utiliser pour réaliser des tests.
Mesures techniques et organisationnelles mises en œuvre
1. MESURES D’ORDRE GÉNÉRAL
Les mesures techniques et organisationnelles mises en œuvre sont les suivantes (conformément à
l’annexe III de la décision d’exécution n°2021/915 de la Commission européenne)
NB: cochez “oui” ou “non” pour chaque ligne et précisez, le cas échéant, la mesure concernée.
☐ Oui ☐ Non
Mesures de minimisation du traitement
……………………………….……
☐ Oui ☐ Non
Anonymisation des données personnelles
………………………………….……
☐ Oui ☐ Non
Cryptage des données personnelles
……………………………….……
Méthodes employées pour garantir la confidentialité, ☐ Oui ☐ Non
l’intégrité, et la disponibilité des données personnelles ……………………………….……
(en particulier en cas de transmission et de stockage)
Si applicable : Mesures permettant la portabilité, la ☐ Oui ☐ Non
restitution des données personnelles au Client et leur ……………………………….……
suppression
☐ Oui ☐ Non
Mesures d’authentification des utilisateurs
……………………………….……
Mesures de sécurité physique des lieux de traitement ☐ Oui ☐ Non
des données personnelles ……………………………….……
☐ Oui ☐ Non
Mesures d’enregisrement des évènements de sécurité
……………………………….……
Certifications, couvertures assurantielles, et audit des ☐ Oui ☐ Non
mesures de sécurité informatique ……………………………….……
22
☐ Oui ☐ Non
Mesures de limitation de conservation des données
……………………………….……
Mesures de gouvernance et de cybersécurité des ☐ Oui ☐ Non
données et systèmes d’information ……………………………….……
☐ Oui ☐ Non
Mesures visant à assurer la continuité et la sécurité du
……………………………….……
traitement
Mesures visant à assurer la protection des documents ☐ Oui ☐ Non

papier ainsi que leur destruction ……………………………….……
☐ Oui ☐ Non
Autre catégorie de mesures :
……………………………….……
23
ANNEXE 3 – DECLARATIONS RELATIVES A LA REGLEMENTATION FINANCIERE
Je, soussigné(e), déclare et garantit, à tout moment et pendant toute la durée du Contrat, que le
contenu de la présente déclaration est sincère et véritable, et que toute fausse déclaration
m’exposerait à des sanctions pénales.
- S’agissant de la lutte contre la corruption et le trafic d’influence ;
(i) J’ai connaissance et m’engage à respecter les lois et réglementations relatives à la lutte
contre la corruption et au trafic d’influence applicables pour l’exécution du Contrat ;
(ii) Je n’ai commis aucun acte de corruption ou de trafic d'influence et met en place toute
mesure utile de nature à prévenir toute infraction de cette nature ;
(iii) Je ne suis frappé par aucune interdiction (ou ne suis traité comme tel) par un organisme
national ou international susceptible de m’empêcher de répondre à des appels d’offres,
de contracter ou de travailler avec cet organisme, en raison d'actes de Corruption ou de
trafic d’influence avérés ou supposés ;
(iv) J’ai pris connaissance de la politique anti-corruption du Client, et plus généralement du
Code de conduite relatif à la lutte contre la corruption et le trafic d’influence du Client,
accessible sur son site internet et m’engage à en respecter les termes ;
(v) Je ne suis pas liée et m’engage à ne pas interagir avec, tout Agent public, tout
gouvernement ou entité gouvernementale dans le cadre des services fournis au Client.
Aux fins des présentes, le terme « Agent public » inclut tous les élus, dignitaires,
candidats à une fonction publique, membres de familles royales, magistrats,
fonctionnaires ou employés, quel que soit leur grade, ou toute personne appartenant à
ou agissant au nom de : a) un gouvernement (étranger, national ou local) incluant tout
service, organisme, régulateur, ou l’une de leurs agences ou instances ; b) un service
gouvernemental ou une autorité publique (incluant notamment les autorités douanières
ou fiscales, les ambassades et tout organisme délivrant des permis) ; c) un service public
local ou régional d) une entreprise détenue ou contrôlée par l'État (incluant notamment
les entreprises détenues ou contrôlées par l'État, hôpitaux publics, universités, fonds
d’investissement souverains ou toute autre entité parrainée par l'État) ; e) un parti
politique ; ou f) une cour internationale ou une organisation publique internationale
(e.g., les Nations Unies).
- S’agissant de la lutte contre les conflits d’intérêts :
Je reconnais qu’une « Situation de Conflit d’Intérêt » s’entend de toute situation dans laquelle
Malt et moi-même, et/ou toute autre personne placée sous la direction de Malt directement ou
indirectement sont soumis, dans le cadre de leurs activités, à des intérêts multiples, contraires ou
différents (tel que : intérêts personnels, intérêts de l'employeur, intérêts d’un ou plusieurs Clients
tiers…) de celui du Client et dont la poursuite pourrait porter atteinte aux intérêts de ce dernier.
Je déclare et garantis, pendant toute la durée du Contrat, ne pas maintenir de relations

personnelles ou professionnelles qui contreviendraient à mes devoirs professionnels ou me
mettraient ou mettraient Malt en Situation de Conflits d’Intérêts vis-à-vis du Client.
Je m’engage à notifier sans délai au Client et à Malt tout conflit d’intérêts en lien avec ces
dernières.
- S’agissant des sanctions et embargos
24
Je reconnais que les termes « Personne Sanctionnée » et « Sanctions » auront la signification
suivante : « Personne Sanctionnée » désigne toute personne, dotée ou non de la personnalité
juridique : a) figurant sur toute liste de personnes désignées en application des Sanctions ; b)
située dans un pays ou un territoire soumis à des Sanctions étendues, ou constituée en vertu des
lois de tout pays ou territoire soumis à des Sanctions étendues ; c) détenue ou contrôlée
directement ou indirectement, tel que défini par la Sanction concernée, par une personne visée
aux points a) ou b) ci-dessus; ou d) qui fait, ou ferait durant l’exécution du Contrat, l’objet de
Sanctions. « Sanctions » désigne toutes sanctions économiques ou financières, embargos
commerciaux ou mesures similaires adoptés, administrés ou mis en œuvre par l'une des
organisations ou Etats suivants (ou par un de leur organisme) : a) les Nations Unies ; b) les
États-Unis d'Amérique ; c) l'Union européenne ou tout État membre actuel ou futur de celle-ci;
ou d) le Royaume-Uni.
Je déclare ne pas être une Personne Sanctionnée et/ou ne pas être en relation d’affaires avec une
Personne Sanctionnée.
Je m’engage à informer le Client de l’existence de toute réclamation, action, poursuite, procédure

ou enquête à mon encontre relative à des Sanctions.
25
ANNEXE 4 – PRINCIPES ESSENTIELS APPLICABLES AUX FOURNISSEURS DU CLIENT
Le Freelance est tenu de se conformer, et de s'assurer que ses propres fournisseurs et, en cas
d’acceptation par le Client, ses propres sous-traitants, se conforment aux lois applicables, ainsi qu'aux
principes équivalents à ceux énoncés dans la Déclaration universelle des droits de l'homme, les
Conventions de l'Organisation Internationale du Travail, les Principes Directeurs des Nations Unies
Relatifs aux Entreprises et aux Droits de l'Homme, le Pacte mondial des Nations unies, les Principes
volontaires sur la sécurité et les droits de l'homme et les Principes directeurs de l'OCDE à l'intention
des entreprises multinationales.
Des politiques et des procédures efficaces doivent être mises en œuvre, notamment en ce qui
concerne les principes énoncés ci-dessous :
● Respecter les droits de l'homme au travail
● Protection de la santé, de la sûreté et de la sécurité
● Préserver l'environnement
● Prévenir la corruption, les conflits d'intérêts et lutter contre la fraude
● Respecter le droit de la concurrence
● Promouvoir le développement économique et social
26
ANNEXE 5 – REGLES DU CLIENT APPLICABLES EN MATIERE D’HYGIENE, DE SECURITE ET DE
POLITIQUE ENVIRONNEMENTALE
1 Definitions
Commencement Date means the date when Supplier is requested to be ready to perform its
obligations under the Contract.
Environment: soil, subsoil, water, air, species and their habitats and interactions.
HSE: hygiene, safety and the environment.
HSE Event : an HSE Incident, a Near-Miss or an abnormal situation or action including those that
deviate from a standard, specification, procedure or rule.
HSE Incident : any sudden event on a given date which causes injury, illness or death, damage to
assets or property, loss of production, or harm to the Environment or to Customer or any of its
Affiliates’ corporate image.
HSE Management System means one of the components of the global management system of a
Party contributing to the management of the HSE risks involved in any of its activity related to the
Contract or the performance of its obligations under the Contract. It includes the organisational
structure, the planning activities, the responsibilities, practices, procedures, processes and resources
(i.e. property and equipment and Personnel) for establishing, implementing, reviewing and
maintaining the HSE policy and continuously improving the HSE performances.
Near-Miss : any event not constituting an HSE Incident but which, in slightly different circumstances,
might have generated identical consequences to those of an HSE Incident.
Resources means tools, devices or machinery necessary to perform Supplier’s obligations under the
Contract.
2 General
2.1 Customer places and requires Supplier to place
the highest importance and priority on HSE
matters at all levels of its organization during the
performance of the Contract.
2.2 In performing its obligations under the Contract,
Supplier shall at its own cost, and shall cause its
Subcontractors to, take all the appropriate
precautions and measures to (i) safeguard the
health of the people that may be affected by the
performance of the Contract, (ii) ensure high
safety levels in performing the Contract,
(iii) avoid or mitigate negative impacts on the
environment and (iv) protect Customer’s
property, equipment and personnel at the Site.
3 HSE Compliance
3.1 In performing its obligations under the Contract,
Supplier shall comply, and shall cause its
Subcontractors to comply, with:
(a) All Applicable Laws relating to HSE matters;
(b) The HSE standards that would be expected in accordance with Good Industry
Practice;
27
(c) Customer’s Golden Rules for safety at work;
(d) The rules, regulations and operating procedures prevailing on the Site with respect
to HSE matters and Site access conditions;
(e) Any process and procedures relating to simultaneous operations and work permits
on the Site;
(f) HSE plans, work authorizations and other associated permits (including hot work
permit, confined space entry permit, digging permit);
(g) Any specific requirements set out in this Schedule “Hygiene, Safety and the
Environment”.
3.2 Supplier shall take into account any additional
opportunities to reduce risks in terms of HSE.
4 Supplier’s Corporate HSE Policy and HSE Management System
4.1 Supplier shall maintain and implement a
corporate HSE policy consistent with Good
Industry Practice in HSE matters and with
Customer’s HSE policy.
4.2 Supplier shall maintain and implement a HSE
Management System consistent with its
Corporate HSE Policy and with Customer’s HSE
management system, including all relevant
procedures to ensure:
(a) prevention and mitigation of HSE risks;
(b) compliance with the provisions of Article 3 of this Schedule;
(c) monitoring, and reporting to Customer, of the implementation of the
requirements of this Schedule “Hygiene, Safety and the Environment”, and
monitoring progress against HSE objectives pre-established by Supplier;
(d) the qualification and the ability of Supplier’s Personnel to carry out the required
tasks and the correct maintenance and adaptedness of processes, tools, materials
and the equipment to the HSE risks associated with the performance of the
Contract.
4.3 Supplier shall give evidence of its Corporate HSE
Policy and HSE Management System and their
implementation upon request of Customer.
Where the HSE Management System has been
certified, information to be provided with
respect to such certification shall include level
and duration of certification. Any modification
relating to such certification shall be
communicated without delay to Customer.
4.4 Data on Supplier’s HSE performance at the Site
may be used freely by Customer for regular
internal and/or external reporting or publication.
5 HSE Plan
5.1 Before the Commencement Date, Supplier shall:
28
(a) perform a Site visit and survey to assess the HSE conditions;
(b) perform a HSE risk analysis, using adequate analysis methods, and covering all HSE
risks likely to result from the performance of the Contract. Such HSE risk analysis
shall fully take into account any information made available by Customer
concerning local specificities impacting HSE;
(c) on the basis of the above, establish a HSE Plan consistent with the provisions of
this Schedule, and setting out the HSE requirements (namely all the appropriate
precautions and measures to prevent and mitigate HSE risks) relevant to the
specificities of the Contract, taking into account all Supplier’s procedures
necessary for the proper performance of the Contract.
5.2 The HSE Plan shall be drawn up and
communicated to Customer before the
Commencement Date.
5.3 Any modification to the HSE Plan during the
course of the Contract shall be communicated to
Customer before starting the concerned work.
5.4 Supplier shall be responsible for performing its
obligations under the Contract in compliance
with the HSE Plan.
6 Supplier HSE Organisation
6.1 Supplier shall give evidence to Customer upon its
request that it has an organization and all the
necessary resources to adequately implement
Supplier HSE Plan.
6.2 Supplier shall ensure that Supplier’s Personnel
are aware of and committed to its Corporate HSE
Policy, its HSE Management System, the HSE Plan
and the task risk assessments required under
Article 7 of this Schedule.
6.3 Supplier shall appoint a HSE representative
responsible for (i) supervising and monitoring
the implementation of Supplier HSE Plan and the
HSE rules in force at the Site and
(ii) communicating with Customer. Supplier shall
inform Customer of the contact details of such
HSE representative.
6.4 Supplier shall be responsible for ensuring at its
own cost the safety of all personnel involved in
the performance of the Contract. This shall
include, inter alia, the providing of appropriate
personal protective equipment.
6.5 Supplier shall demonstrate to Customer upon its
request evidence of a safety information
handover system for shifts and crew change and
shall be responsible for its implementation.
29
6.6 Supplier shall set up a medical fitness control
policy and shall be responsible for its
implementation. Supplier shall, and shall cause
its Subcontractors to, perform all relevant and
timely assessments to ensure that Supplier’s
Personnel involved in the performance of its
obligations under the Contract are medically fit
for the job they are assigned to.
6.7 The medical fitness files of Supplier’s Personnel
must be available for presentation at all times to
all competent authorities in the course of the
performance of the Contract.
6.8 The language used in managing all HSE issues
shall be appropriate to ensure proper
communication among Supplier’s Personnel and
with Customer’s personnel.
7 Work permit process
7.1 Supplier undertakes to comply with the work
permit process applicable on the Site.
7.2 Within this framework, Supplier shall in
particular:
(a) Provide Supplier’s Personnel with initial training on the work permit process and
keep their skills maintained over time;
(b) Ensure that the hazards related to the tasks have been formally identified, and
that the associated risks have been analysed and assessed;
(c) Not start performing any of its obligations under the Contract without holding a
duly validated work permit wherever such permit is required;
(d) Promptly stop the intervention and inform Customer in the event of discrepancy
between the conditions set out in the work permit and the actual conditions of
the intervention.
8 Communication with Customer
8.1 Supplier shall set up and implement a HSE
monitoring and reporting system for Customer’s
benefit. Such system shall, inter alia, allow the
reporting to Customer of any HSE Event as
provided at Article 14 of this Schedule and of any
risk likely to modify the HSE risk analysis
provided at Article 5 of this Schedule.
8.2 Where relevant, prior to the commencement of
performance of the obligations under the
Contract, Customer and Supplier shall cooperate
in implementing HSE measures with the aim of
preventing HSE risks related to simultaneous
operations.
30
8.3 Supplier shall actively participate in any HSE
meetings organised by Customer at kick-off
and/or during the course of the Contract.
9 Hazardous substances and materials, waste
9.1 All procedures involving the handling, storage,
use or disposal of hazardous substances or
materials, as defined by the Applicable Laws, for
the performance of the Contract shall be
addressed in the HSE Plan.
9.2 Supplier shall also take into account any list of
hazardous substances and materials present on
the Site, made available by Customer, as well as
any assessment of the related HSE risks.
9.3 Customer reserves the right to deny Supplier the
right to use certain hazardous substances or
materials at the Site.
9.4 Supplier shall ensure that the safety data sheets
and any other hazard information corresponding
to any hazardous substances and materials used
in the performance of the Contract shall be at all
times available at Site to Customer.
9.5 Supplier shall set up an efficient waste
management system complying with the
Applicable Laws and with any specifications
provided by Customer.
10 Environment
10.1 Supplier shall identify and evaluate all potential
impacts on the Environment related to the
performance of the Contract and shall
implement all appropriate measures to prevent
and/or mitigate these impacts. These measures
shall be included in the HSE Plan.
11 Subcontractors
11.1 Supplier shall select its Subcontractors through
an appropriate HSE qualification process having
due regard to their HSE performance, their
ability to implement an HSE policy consistent
with Supplier’s Corporate HSE Policy.
11.2 Supplier shall cause its Subcontractors to
maintain and implement a HSE management
system that is compatible with that of Supplier.
11.3 Supplier shall ensure that its Subcontractors are
capable of complying with requirements
identical to those set out in this Schedule.
11.4 Supplier shall set up and implement a system
allowing it to monitor the HSE performance of its
31
Subcontractors as well as their compliance with
requirements identical to those set out by the
provisions of this Schedule.
11.5 Supplier shall ensure that the HSE roles and
responsibilities between Supplier and the
Subcontractors are clearly defined.
12 Competency and Training
12.1 Supplier shall inform Customer of the presence
of any new Personnel, namely Personnel having
less than six (6) months experience in the
relevant type of activities or less than six (6)
months presence on the Site and shall provide
such new Personnel with an appropriate HSE
support plan.
12.2 Supplier shall ensure that the HSE awareness of
Supplier’s Personnel is continuously maintained
and enhanced through an appropriate training
plan.
attend any HSE induction program requested by
Customer.
12.4 Before the start of the Contract, Supplier shall
inform Supplier’s Personnel assigned to perform
its obligations under the Contract of the risks
and measures implemented.
hold at all times the certificates of proficiency
necessary or useful to perform the obligations
under the Contract.
12.6 Upon request by Customer, Supplier shall
demonstrate that Supplier’s Personnel have been
provided a HSE training relevant for the
performance of the obligations under the
Contract at the Site, including a test on
Customer’s Golden Rules for safety at work. The
content of the HSE training and certificates shall
be made available to Customer upon request.
13 Emergency preparedness
13.1 Upon request by Customer, Supplier shall
communicate to Customer an emergency
response procedure and have due regard to any
comment by Customer.
on the Site participate in any Site emergency drill
organized by Customer and in programmed
safety exercises.
32
14 HSE Event management
14.1 Supplier shall without delay report to Customer
any HSE Event on the Site or occurring during the
performance of the Contract, taking into account
the actual or potential severity of the HSE Event.
14.2 Upon the occurrence of an HSE Event, Supplier
shall:
(a) take without delay all the necessary corrective and preventive measures to
mitigate the effects of the HSE Event and prevent any new HSE Event, including if
necessary by initiating modification of the HSE Supplier Plan;
(b) provide Customer with all relevant information related to the HSE Event and assist
Customer in the gathering of evidence and analysis of the causes of the HSE Event;
(c) take full account of the findings of the analysis of the causes within its HSE
Management System and the HSE Plan.
14.3 Any member of Supplier’s Personnel who
believes that a task, whether or not a part of
Supplier’s obligations under the Contract, is
unsafe or could lead to an HSE Event, shall be
entitled, with no personal repercussion, to
request the suspension of such task until
resolution of the concern.
14.4 Without prejudice to the provisions of Article 17
of this Schedule, Customer reserves the right to
direct any emergency response measures.
14.5 In case of an illness or bodily injury or search and
rescue operations involving Supplier’s Personnel,
Customer will endeavour to provide assistance to
Supplier’s Personnel. Supplier shall defend,
indemnify and hold harmless Customer and any
of its Affiliates from any claim arising out of or in
connection with Customer or any of its Affiliates
providing, failing or inability to provide such
assistance and/or the performance of such
operations.
14.6 The costs of such assistance provided by
Customer to Supplier’s Personnel shall be borne
by Supplier.
15 HSE Audits
15.1 Supplier shall include in the HSE Plan and
perform periodical inspections and internal HSE
audits of Supplier’s Personnel and Supplier’s
Resource during the performance of the
Contract at the Site. The observations made
during these audits must be communicated to
Customer and translated into a regularly
reviewed action plan.
33
15.2 Supplier shall regularly audit the performance of
its HSE Management System and its
implementation.
Audits may be conducted by Customer under Clause 12 on any HSE aspect of the performance of the
obligations under the Contract.
15.3 Supplier shall conduct regular safety
observations, covering all of Supplier’s Personnel
involved in the performance of its obligations
under the Contract. The results of its
observations must be communicated to
Customer.
16 Site clean-up
16.1 Upon completing all or part of the obligations
under the Contract on the Site, Supplier shall
remove, at its own expense and responsibility:
(a) all Supplier’s Resource;

(b) temporary installations;
(c) any wreck, debris and generally any waste; and,
(d) unless otherwise agreed, any surplus of materials.
16.2 Supplier shall clean up and, where relevant,
restore and rehabilitate the Site in compliance
with this Schedule.
16.3 If Supplier fails to satisfy the above
requirements, Customer, following prior
notification to Supplier, shall have the right to
perform (or have performed) removal, clean-up,
restoration and rehabilitation operations at
Supplier’s cost and expense, at any time.
17 Consequences of non-compliance
17.1 Without prejudice to any other provision of the
Contract, in the event of non-compliance by
Supplier with any of the provisions of this
Schedule, Customer:
(a) may promptly notify Supplier that Customer is or will take, at Supplier’s expense,
all appropriate measures to correct such non-compliance should Supplier fail to
meet its obligations without delay or within the time set out by Customer;
(b) reserves the right to deny access to, or the continued presence of, Supplier or any
member of Supplier’s Personnel on the Site;
(c) may suspend the performance of any or all parts of its obligations under the
Contract in accordance with the provisions of the Contract;
(d) may terminate the Contract in accordance with the provisions of Clause 19 of the
GTs.
34
In the event of a fatality on the Site, Customer may suspend the performance of any or all parts of the
obligations under the Contract in accordance with the Contract.
35
ANNEXE 6 – EXIGENCES DU CLIENT EN MATIERE DE SECURITE DES SYSTEMES D’INFORMATION

Version 2.5 042019
Content Corporate Requirements
PREAMBLE 61
1. REQUIREMENTS RELATING TO THE ORGANIZATION OF SECURITY 61
2. SECURITY REQUIREMENTS RELATING TO THE MANAGEMENT OF IS RESOURCES 61
3. SECURITY REQUIREMENTS RELATING TO THE SUPPLIER’S STAFF 62
4. REQUIREMENTS RELATING TO THE PHYSICAL SECURITY 63
5. REQUIREMENTS RELATING TO THE SECURITY OF IT RESOURCES AND ASSOCIATED SERVICES 65
6. SECURITY REQUIREMENTS REGARDING THE SUPPLIER’S ADMINISTRATION WORKSTATION 70
7. SECURITY REQUIREMENTS RELATING TO LOGICAL ACCESS CONTROL 75
8. SECURITY REQUIREMENTS RELATING TO IS DESIGN - CREATION - EVOLUTION 76
9. REQUIREMENTS RELATING TO SECURITY INCIDENT MANAGEMENT 77
10. REQUIREMENTS RELATING TO BUSINESS CONTINUITY MANAGEMENT 78
11. REQUIREMENTS RELATING TO COMPLIANCE 79
12. REQUIREMENTS RELATING TO E-MAIL SECURITY 79
13. REQUIREMENTS RELATING TO TELEPHONY SECURITY 80
14. REQUIREMENTS RELATING TO INDUSTRIAL CYBERSECURITY 81
36
PREAMBLE
This Schedule lists the security requirements to be met by the Supplier in order to:
- ensure the protection of the IS resources (*) used for the realization of the Service provided as
part of the Contract,
- Preserve the Customer from damages he may suffer due to the unavailability of these
resources, an attack on their integrity or confidentiality, or the inability to provide evidences
of their associated operations.
The security measures implemented by the Supplier to meet these requirements must be formally
described in the Security Assurance Plan (SAP) associated with the Contract.
(*)
Resources:
Concept gathering: applications, data, technical resources needed to run the applications and
data processing (hardware, operating system, management system, database, network ...),
operating environments (buildings and hosting local resources) and the skills required for their
design, operation, maintenance and use.
1. Requirements relating to the organization of security
SSI-1.1
The Supplier must implement a security structure in order to ensure the management,
implementation and assessment of all security measures allowing to meet the requirements specified
in the Contract and its Schedules.
This structure is based on:

- the appointment by the Supplier of the contract security officer: person in charge of
answering on behalf of the Supplier, to the Customer’s requests regarding the aspects related
to the security and to coordinate the different Supplier’s staff and subcontractors who have
to contribute to the protection of the resources used for the achievement of the Services;
- the Supplier’s participation to the Security Committees that have to happen regularly (at a
frequency <to be defined in the specific context of the Contract (recommended value = 1
month)>, and the provision by the Supplier of all the elements of information necessary for
the well-functioning of this process, regarding the security levels monitoring, and the
exemption and vulnerabilities management, the incident and crisis management, the controls
and security audits, and the reporting.
2. Security requirements relating to the management of IS resources
SSI-2.1
To ensure a security level appropriate to the sensitivity of the information and the Customer’s
activities associated to the Services, the Supplier has to identify the different resources needed to
achieve the Service required, and establish in collaboration with the Customer, the classification
profile of these resources. This profile should reflect, for each of the security criteria accepted by the
Customer (availability, integrity and confidentiality), the sensitivity level of the resource (0 to 4) given
the types and levels of impacts lead by any breach of these criteria (types and levels of impacts as
defined by the Customer and sent to the Supplier).
37
SSI-2.2
The Supplier has to designate a person in charge of inventorying and managing in a documented way
the various resources used to achieve the required Services.
Each inventory mentions the owner and the classification profile of the resource.
The classification profile of the resources should be reviewed regularly by the person in charge of the
inventory in collaboration with the Customer (the history of the given levels should be recorded).
SSI-2.3
The Supplier has to provide the classification profile of the resources to any actor involved in their
usage or management, and needing to know in order to take appropriate security measures adapted
to their sensitivity.
The Supplier has to provide to the Customer, in accordance with the criteria approved by both
parties, a regular reporting of the classification of the resources required to achieve the Services.
3. Security requirements relating to the Supplier’s staff
SSI-3.1
The Supplier has to conduct awareness actions to the staff contributing to the Services provided, to
ensure they are aware of the security precautions to be applied for the protection of the resources
used for the Services. Those awareness actions focus in particular on:
- the conditions of access and usage of the resources;
- the usage instructions for the workstations and mobile equipment;
- the protection measures against malware;
- the procedures for handling sensitive resources;
- the protection rules of the IT devices they handle;
38
- The security practices in the work environment (office, meetings, and visitors).
SSI-3.2
The Supplier must ensure the acquisition, by the staff assigned to perform the Services, of the
knowledge and skills required for the execution of the tasks assigned to them, concerning in
particular:
- To be maintained for a TMA or Services involving developments. the security of the
applications code and the implementation of security safeguards appropriate to the work of
development and integration of software and applications planned in the Contract;
- the security of the IT and telecom components used to achieve the required Services;
- The procedures for the implementation of business continuity solutions.
The Supplier must undertake the necessary training actions to upgrade these skills for all its
concerned staff.
4. Requirements relating to the physical security
4.1 Categorization of the security zones

SSI-4.1
The Supplier must ensure the implementation of physical security measures appropriate to the
sensitivity level of the resources required to fulfillment of the Services.
To do this, three types of security zones (marked schematically below by a color code) should be
considered based on the classification profiles (cf. § 2) and / or the nature of the resources that are
hosted there:
- Red Zone: hosting level 4 classified resources, security servers (management systems, access
control, authentication systems, ...) or equipment control and monitoring of physical security;
- Orange Zone: hosting level 2 or 3 classified resources, network or telecom resources, backup
servers, internal containment security equipment, switches;
- Yellow Zone: hosting resources classified at a lower level 2, network equipment not
specifically categorized in orange or red zone, the resources necessary for the operation of
the IT and telecommunications sectors (power, air conditioning ...).
4.2 Physical access protection

SSI-4.2
The Supplier must ensure the protection of the physical access to the different security zones where
are located the resources related to the fulfilment of the Services gradually based on the on the type
of zone to be secured, following those recommendations (or equivalent means):
- In the yellow zone: perimeter fence, individually controlled pedestrian access limited to
authorized personnel on a permanent or temporary basis (excluding courier), vehicle access
control, lockable technical cabinets and rooms dedicated to IS, obligation to wear a badge,
control of visitors and occasional contractors movements, management procedures and
annual review of authorizations and means of access;
- In the orange zone (in addition to the means applicable to yellow zones): exits protection
devices resistant to breaking, entry access restricted to those previously authorized and
controlled by means of a card reader, management procedures and half-yearly review of
licensing and access, continuous monitoring and logging the emergency exit opening;
- In the red zone (in addition to means applicable to orange areas): absence of direct access
from the outside, continuous monitoring of nearby passing, dimming any visibility through
windows to the outside of the secured area, access restricted to those previously authorized
and controlled entry and exits using two means (card reader and passcode) associated with a
video surveillance system, monitoring and reporting in real time of emergency exits opening
to a permanent surveillance center, intrusion detection outside hours of staff presence.
39
The Supplier must submit to the Customer a list of technical and organizational physical access
security measures put in place at various locations hosting resources needed to achieve the Services.
SSI-4.3
The Supplier must ensure the implementation of measures to monitor and control the physical access
protection devices:
- verification and periodic maintenance of these devices;
- automatic detection of the stopping or malfunction of a physical access securing devices and
trigger an immediate action;
- regular comprehensive test of the well-functioning of physical access protection devices, and
control of hardware and software configuration of the associated computers;
- Log of the administration physical access devices operations.
4.4 Protections against environmental risks

SSI-4.4
The Supplier must ensure the provision of essential easements to the achievement of the Services,
according to the following recommendations (or equivalent means):
- installations of data centers electrical power supplies designed and implemented in
accordance with the standards and specifications of computer manufacturers, sized in order
to have a reserve of power, arranged in order to minimize the risk of electrical disturbance,
comprising a device for regulating the voltage delivered to the IT equipment, and which
components should be regularly checked and maintained;
- implementation of power backup systems in the data centers;
- implementation of protection devices for IT and telecommunication equipment against the
effects of lightning;
- compliance with the limit levels of exposure to electromagnetic interference defined by
manufacturers for computers, magnetic media and cables;
- installation of air conditioning systems in the data center, designed and implemented in
accordance with the standards and specifications of computer manufacturers, sized to have a
reserve of power and which components should be regularly checked and maintained;
- Setting up backup systems for air conditioning in the data centers, and air conditioning
surveillance systems and recording characteristics of the atmosphere transmitting
abnormalities reported to a permanent monitoring station.
The Supplier must submit to the Customer a list of measures to ensure the provision of essential
easements.
SSI-4.5
The Supplier must ensure the implementation of fire security measures relating to:
- means of fire prevention: respect of the construction standards and equipment in the data
centers and application of security instructions in the technical rooms (smoking banned, to
store papers, cardboard, flammable or explosive materials, maintenance and annual audit of
the electrical installation, annual cleaning);
- the containment, using construction materials and fire-resistant equipment, are located in
areas containing resources classified at a level 3 or 4 for the availability criteria;
- Fire detection and extinction devices: fire detection and extinction mean connected to a
permanent surveillance station, maintenance and control of detection and automatic fire
extinguishing devices at least twice a year.
The Supplier must submit to the Customer a list of fire security measures put in place.
SSI-4.6
40
The Supplier must ensure the implementation of protection measures against water damages,
relating to:
- devices for water and humidity detection in the data centers;
- the absence of water pipes crossing these areas as well as in the tape libraries or, if not
possible, the regular monitoring of perfect condition and isolation of water pipelines and the
positioning of stopping valves out of the servers and telecommunications rooms as well as
their explicit signaling;
- Periodic maintenance and inspection of the devices for water detection and drainage.
The Supplier must submit to the Customer a list of the protection measures against water damage
put in place.
5. Requirements relating to the security of IT resources and associated Services
5.1 Malware defence

SSI-5.1
The Supplier must establish a protection against malware:
- on a scope covering all the resources used to achieve the Services that are exposed to this
type of threat, and which compromised by a malware can cause the unavailability of the
expected services, loss of data, disclosures of confidential information or fraudulent actions;
- based primarily on the implementation of antivirus software on vulnerable resources,
installed and administered only by the authorized personnel of the Supplier, supervised and
always active (to detect and block the spread of malware) and regularly updated (to take into
account new threats in a timely manner for an effective protection);
- Integrating the dissemination and implementation of strict rules regarding the terms of
installation and use of software resources, to monitor the legitimacy and security of these
software resources, and ensure the application of patches security issued by the software
editors.
The Supplier must submit to the Customer the list of the resources taken into account by its
anti-malware means (e.g. workstations, applications and files servers, messaging servers,
collaboration servers, deployments servers, administrations servers, mail gateways, internet
gateways, ...) and the description of the technical solutions and organizational measures on which
this system are based.
SSI-5.2
The Supplier must implement the measures to manage the threats and the incidents related to the
malware based on:
- a security intelligence process to continuously monitor the evolution of the threat related to
malwares, and adapt if necessary, the deployed security solutions to protect the resources
used to achieve the required Services;
- a process of detection of malware to automatically report the alerts sent from the security
devices and receive any other alerts issued by other sensors (e.g. users, recipient of an
infected flow, …), and ensuring that these alerts and their logs are taken into account as soon
as possible;
- A process to manage the incidents related to malwares to limit the extent of the damage
caused by the attack of a hostile code and handle the shortcomings, to preserve the elements
useful to the investigations and the preparation of evidence and quickly take the necessary
action to guard against any similar incident.
SSI-5.3
The Supplier must provide to the Customer a quantitative (completeness) and quality (effectiveness)
follow-up of the anti-malware means to protect the resources used to achieve the Services, according
41
to a frequency of <to be defined in the specific context of the Contract (recommended value = 1
month)>.
5.4 Systems, workstations and mobile devices security

SSI-5.4
The Supplier must implement the appropriate technical and organizational measures to ensure the
systems security (operating systems, communication and related security services) on which are base
the technical resources (servers, workstations, network components) used for the achievement of the
Services:
- supply and maintenance of an information database of the systems in order to control the
security level of the deployed equipment (listing the application components installed on the
system bases (systems software, middleware, applications) and designating their owner);
- application of security standard configurations on the systems in order to limit the logical
attacks possibilities (restriction features, protocols, and services necessary to the strict needs,
disabling-uninstalling or specific protection of the unnecessary hardware or considered
hazardous regarding the sensitivity of the resource, software default passwords
modification);
- identification, test-validation and deployment of security patches as early as possible (or
other changes) to overcome the exploitable vulnerabilities on the installed systems (these
weaknesses have to be identified through a process of technology watch formally
established);
- Regular checks of the system configurations to check the absence of unpatched
vulnerabilities, and whose formal results must be communicated to the Customer.
SSI-5.5
The Supplier must implement measures to protect the data stored on the systems and used for the
achievement of the Services. These measures should help to protect the confidentiality and the
integrity of these data; they include:
- the implementation of appropriate security devices to their classification (cf. § 2): encryption
of data where the confidentially level is equal to or greater than 3, sealing data where the
integrity level is equal to or greater than 3, electronic signature for the repository medias
containing data constituting evidence elements, classified for this criteria at a level equal to
or greater than 3;
- the establishment of procedures to ensure the destruction of the data stored on the systems
at deadlines defined by the Customer;
- Securing recycling operations and systems recycling by means ensuring the traceability and
making impossible to recover the information stored on these supports.
SSI-5.6
The Supplier must implement the means to secure the administration-maintenance-operation of the
systems bases:
- administration of the systems bases using specifically implemented and secured resources:
administration facilities are isolated from other resources of the IS and have a restricted
access to only specifically authorized people, the resource administrative flows being isolated
from the production flows and content being protected;
- follow of a documented and secured process for the management of major hardware and
software evolutions on the systems: formal and auditable demands, the ability to rollback (or
implement workarounds) in case of anomaly, check of the absence the security regression;
- hardware and software maintenance and operation security: Accreditation control of the
participants, process auditability;
42
- Implementation of secure remote maintenance devices, ensuring the access control to the
resources and the traceability of the actions performed, and brought to the attention of the
Customer.
SSI-5.7
The Supplier must ensure the existence of security measures on the workstations being used by its
staff (and / or its subcontractors) in the context of achieving the Services so that these devices do not
represent a vector of security breach for the resources used to achieve the Services (e.g. theft of
equipment causing the disclosure of confidential information, or loss of critical information, malware
spread, logical intrusion and illegal access to sensitive resources, ...):
- standard workstation configurations meeting the system security requirements and the
requirements related to the logical access controls specified in the present schedule;
- regular workstations compliance control to the security settings specified for their
standardized configuration;
- backup data processed locally on workstations;
- no sharing on the network, at the initiative of the users of workstations local resources
containing data related to the achievement of the services;
- Data protection on workstations by means appropriate to the concerning security criteria
(confidentiality: encryption and screens protection against eavesdropping; integrity: seal;
proof: electronic signature).
SSI-5.8
In addition to the requirements for securing the workstations, the Supplier must also ensure the
existence of specific measures for the security of mobile devices (mobile workstations and other
mobile equipment) eventually used by his staff (and / or subcontractors) in the context of the
achievement of the Services:
- strict limitation of the connection of this type of equipment to the resources associated to
the achievement of the Services, only to the mobile devices previously referenced by an
accredited person chosen by the Supplier (other connections have to be considered as a
security incident);
- activation of a local firewall, performing an incoming and outgoing flows filtering, on the
mobile devices set to be connected to networks used for the achievement of the Services;
- in case of synchronization of the mobile devices with the resources used to achieve the
Services: exclusive use of the supplied synchronization software, installed and maintained
under the supervision of a member designated by the Supplier, and implementing strong
authentication in case of synchronization over the air;
- Protection against visual indiscretions (screen readability restriction) of the mobile devices
dealing with data user for the achievement of the Services.
5.9 Removable media security

Note: the term "removable media" focuses on the removable data storage media (e.g. USB sticks,
memory cards, optical media, external hard drives, tapes, cartridges ...).
SSI-5.9
The Supplier must implement measures to protect removable media on which are recorded data used
for the achievement of the Services. Those measures, designed to ensure reliable retention over a
sufficient period of time of data stored on removable media data should prevent their deterioration,
their loss or unauthorized access; they include:
43
- the specification and broadcasting of criterions for selecting the different types of media and
associated usage restrictions, depending on the usage to which these removable media are
meant and their level of associated data classification (cf. § 2);
- the management of an up to date inventory of the removable media stored in the media
library, and more generally of all the backup and data archiving media in a production
environment, allowing to identify each media, in order to ensure the traceability (storage
location, transportation, replacement, destruction), to control the access and the content
protection;
- separation of the storage areas of the removable backup and archive media from their
original location (physical separation of the premises) and the security of these storage areas
(protection devices against unauthorized access and environmental risks, compliance with
the conditions of storage media defined by the manufacturer);
- the implementation of maintenance and tests procedures of the backup and archive media in
order to ensure the restoration of their content during the retention periods and within
compliant timeframe with the requirements of the Customer (verification of the absence of
damage materials, operation of the restoration of contents and replacement cycles);
- Securing the removable media transport procedures (entrusted to third parties or not) whose
terms should prevent unauthorized access, theft, loss, alteration of the removable media or
their content.
SSI-5.10
The Supplier must implement measures to protect stored data on the removable media. These
measures should help to protect the data confidentiality and integrity; they focus on:
- the implementation of appropriate security devices to their classification (see § 2):
encryption of data which confidentiality level is equal to or greater than 3, sealing the data
which integrity level is equal to or greater than 3, electronically signing stored media
containing data constituting evidence, classified for this criterion at a level equal to or greater
than 3;
- the implementation of procedures to ensure the destruction of data recorded on removable
media at the deadlines defined by the Customer;
- Securing recycling and disposal operations of removable media by means of ensuring
traceability and make it impossible to recover information stored on these supports.
5.11 Network security

SSI-5.11
The Supplier must implement the necessary network security measures on the network
infrastructure used for the achievement of the Services in order to ensure the resource protection
against the effects of external intrusion or illegal internal access (risk of unavailability of service,
alteration of data and disclosure of information ...).
The security measures used by the Supplier on this network infrastructure must implement the
following principles:
- allocation of resources within compartmentalized zones protected by control and filtering
incoming and outgoing devices, allowing only legitimate flow explicitly listed in a flow matrix
(no direct access between an external network and a resource supporting data relating to the
delivery of the contract);
- protection against attacks on IP networks and associated protocols;
- Isolation and integrity and confidentiality guarantee of network equipment administration
flow.
44
The Supplier has to provide to the Customer the mapping of the network infrastructure used in the
context of the completion of the contract, outlining all security features implemented, as well as the
authorized flow matrix (or matrices).
SSI-5.12
The Supplier must implement mechanisms to ensure the confidentiality and integrity of flows related
to the achievement of the Services depending on their level of classification (cf. § 2).
All flows transmitted in a network beyond the control of the Supplier or the Customer and carrying
data classified at a higher or equal to level 2 must be encrypted.
The Supplier shall communicate to the Customer the solutions implemented to protect the flows.
5.13 Traceability and surveillance

SSI-5.13
The Supplier must implement logging devices in order to generate, save and restore the different
traces related to the resources used and their administration / operations, logged events must focus
on:
- The operations performed on and / or by means of the resources related to the
implementation of the Services, for which the Customer has specifically expressed
traceability and accountability requirements;
- Operations of access management on the resources (access management, authentication
devices (especially passwords changes), profiles and access clearances);
- All erroneous or unsuccessful authentication attempts to the resources.
The contents of those traces should allow to link each logged event (action or attempted action on
resources) to its origin (individual, technical equipment, piece of software ...), to date this event and
to qualify its nature; under no circumstances should it mention secrets, passwords or other
information which confidentiality must be preserved.
The Supplier must implement appropriate technical and organizational measures to conserve and
restore the computer traces for a period consistent with the purpose for which they are intended and
to ensure their destruction at the end of their retention period defined in line with the Customer
needs and in compliance with legal and regulatory obligations.
SSI-5.14
The Supplier must ensure the security of computer traces in terms of:
- restriction of access to the computer traces to authorized personnel only, based on their
missions and formally designated (the latter being held to an obligation of confidentiality
with respect of the information contained in the computer traces);
- protection against any accidental or malicious events likely to affect the availability or
integrity of computer evidence;
- daily backup and unforgettable nature of traces regarding events associated with security
equipment;
- Permanent surveillance (or monitoring) of the logging devices.
SSI-5.15
The Supplier must establish procedures for periodic content analysis of computer evidence to detect
anomalies and security incident, the logs generated by security devices should be analyzed daily, and
the frequency of the analysis of other log types are to be defined in accordance with the Customer,
depending on the sensitivity of logged events.
6. Security requirements regarding the Supplier’s administration workstation
6.1 Administration workstation management and configuration
45
As an entry point to the administration Information System, the Supplier’s administration workstation
is a critical component by nature, since it owns extended and privileged accesses to the Customer
Information System (configurations, architecture files, deployed software versions, passwords, etc.)
and has the technical capability to access business information. It must then inevitably be subject to
physical and logical security in order to restrict at best the risk to be compromised.
In the first place, it is mandatory for the Supplier to keep control of the administration workstation he
makes available to the administrators. Any practice like “Bring Your Own Device” (BYOD) is forbidden
for an administration workstation.
SSI-6.1
The administration workstation is managed by the Supplier. Under no circumstances usage of a
personal device can be tolerated to administrate an Information System.
Warning: regarding the device trapping risk, beyond the control of the supply process, and especially
its security conditions, the Supplier must sensitize the administrators to the physical protection of
their administration workstation.
6.2. Administration workstation architecture management

To answer the duality of the administrators’ needs (implementation of the administration actions
from a secured environment on one hand, and access to an office information system as a standard
User on the other hand) the Supplier will have to use a dedicated administration device.
SSI-6.2
It is mandatory to appoint a dedicated physical workstation to the administration tasks. This
workstation must be distinct from the device allowing access to the standard resources accessible on
the entity Information System (business resources, internal messaging, documents management,
Internet, etc.).
6.3. Internet access management for the Supplier’s administration workstation

Internet access increases dramatically the exposure to cyber-attacks and favors attacks drivers: Web
browsing, email, opening or execution of downloaded files, etc. Thus, it is very difficult to guarantee
the integrity of a device having access to the Internet.
SSI-6.3
It is mandatory to block any access to the Internet from or to the Supplier’s administration
workstation (apart from exception validated by the Customer). The administration workstation must
not in any case have access to the Internet. This requirement includes in particular Web browsing and
Internet connected electronic messaging usage, even if these services are filtered by Internet access
secure gateways.
46
Subsequently, access to the Internet and electronic messaging accounts can be authorised only from
Office environments, themselves submitted to a filter through the Supplier’s Internet access
gateways.
6.4. Software security management

To reduce risks to compromise the administration workstation, the control and hardening of the
software platform and its configuration by the Supplier are mandatory. Configuration actions to
secure the software platform must imperatively be conducted. To do so, it is necessary to refer to the
security guides proposed by the editors. These editors describe suitable configuration for their
solutions and establish a first step to the software platform security.
SSI-6.4
The Supplier will have to harden the Operating System of the administration workstation. The
security guides of the editors’ software platforms must be applied.
At least, the following points must be put in place:
● De-activation of the unused services
● Application of rights restricted to the strict operational needs
● Activation and configuration of local firewalls to forbid any incoming connection and limit
outgoing flows to the strict needs
● Operating Systems hardening (for example, for Windows: GPO, Applocker, SRP, or for Linux:
SELinux, AppArmor, Kernel hardening);
USB based storage devices (USB keys, external hard drives, …) are widely used attacks drivers. The
configuration hardening of the administration workstation must forbid their usage. In addition, all the
unused USB ports will have to be disabled.
6.5. Administrators rights management on the administration workstation

Administrators must not be able to modify the administration workstation’s configuration. To do so,
they must not be integrated to the workstation local “Administrators” group. The majority of
administration tasks is generally done via Web browsers, fat Customer tools or using a command line
(for example: ssh) and doesn’t require specific rights on the workstation.
This measure satisfies twin objectives: prevent human errors that would lower the security level of
the workstation, and reduce the consequences of a malware execution.
SSI-6.5
Restrict administration rights on the administration workstation. The administrators must not have
administration rights on their administration workstation. These rights must only be provided to the
administrators in charge of the administration workstation’s administration.
6.6. Management of the number of software installed on the administration workstation

In order to restrict dramatically the Operating System exposure, only software - and their updates -
pre-validated by a defined control process should be used.
To do so, cumulative checks on binary or configuration files to be installed must be:
● Technical antiviral analysis, sandbox analysis, digital signature check, traceability thanks to a
hash, etc ;
● Organisational: download source check, issuer check, etc.
Provision of tools to the administrators can be done via « tele-distribution » (or « tele-deployment »),
a Web site or via a dedicated shared network, these being accessible only on the administration
Information System.
The Supplier commits to put in place a regular control process to check the conformity of the
administration workstations against the defined rules.
47
SSI-6.6
Limit software installed on the administration workstation. It is mandatory to install on the
workstation only software and tools useful for administration tasks. To do so, the Supplier will have
to:
● Build and maintain the list of useful administration;
● Put in place a process of validation and distribution of administration tools following
technical and organisational criteria.
6.7. Administration workstation’s encryption management
The administration workstation’s hard drive contains sensitive data, useful to access the Customer’s
Information System. The loss or theft of the workstation is prejudicial because it can result in
compromising the Customer Information System.
SSI-6.7
Encipher all the storage peripherals used to administrate the Customer Information System.
Warning: Laptops are particularly exposed to loss or theft risks. In the nomad context, this
requirement applies even more.
The encryption mechanisms used must guarantee a minimum level of robustness and be adapted to
the sensitivity of the data to be protected. Moreover, usage of encryption implies inevitably building a
process linked to the secret life cycle (ex: initialisation, escrow, recovery in case of loss).
6.8 Administration flows security management

Administration flows require protocols utilising encryption and authentication mechanisms (ex: SSH,
HTTPS, SFTP). The objective consists in reinforce confidentiality, integrity and authenticity of the
administration flows.
SSI-6.8
Use secured protocols for administration flows. It is mandatory to systematically use, as soon as they
exist, administration protocols and tools utilising robust encryption and authentication mechanisms,
by privileging standard and experienced security protocols (ex: TLS or SSH). If necessary, unsecure
protocols must be explicitly de-activated or blocked.
Warning: some tools can highlight usage of security mechanisms, but their implementation may not
correspond to the “state-of-the-art”. For example, checking the potential logs produced by these
tools (ex: password hash) and verifying encryption of all the information would be convenient.
6.9 Password storage management

Administrators are forced to use many secrets, which makes respect of the good practices (ex:
complexity, length, renewal) difficult to maintain over time. Although a centralised LDAP
authentication is put in place, the number of remaining passwords may still be important, due to
devices or software incompatible with these authentication solutions. Their storage in a file, in clear
text or with a weak level of encryption is forbidden.
It is also forbidden to share with another user any account and associated password.
SSI-6.9
Store all passwords in a password safe. It is mandatory to use a password safe embedding a security
visa to securely store passwords on the administration Information System.
6.10 Two factor authentication management for the administrators

Various factors contribute to the authentication robustness. They must be taken into account to
choose the authentication mechanisms and are characterised the following way:
● What I know (ex: a password, a PIN code);
● Who I am (ex: a fingerprint, an iris);
48
● What I own (ex: a smartcard);
● What I do (ex: a handwritten signature).
An authentication is multi-factor as soon as at least two different factors are utilised. In computer
science, it is common to combine the factors ‘what I know’ and ‘what I own’.
Warning: the multi-factor authentication brings real security only if, cumulatively:
● Authentication by simple password is made impossible;
● The factors come from independent sources (ex: certificate embedded onto a smartcard and
memorised PIN code).
SSI-6.10
A two-factor authentication is mandatory to open a session on an administration workstation.
For the administration actions, it is mandatory to utilise a minimum two-factor authentication.
6.11 Administrator workstation confidentiality management

The administration workstation can be exposed to indiscretion and the information displayed on the
screen can be read without the user to be aware. In addition of the administrator’s vigilance, who is
taking care of utilising his workstation in a safe environment, the administrator must use a privacy
filter.
SSI-6.11
Install a privacy filter on the workstation screen(s) in order to limit the visibility of the information
displayed.
6.12 Administrator workstation mobility management

Knowing the attack techniques and the current communication protocols, usage of IP encryption and
respect of mutual authentications are imposed. The ‘IPsec VPN’ technology allows to answer this
requirement. In comparison to the SSL/TLS technology, for which some particular implementations
propose VPN connection as well, the attack surface of IPsec solutions is weaker, and the key exchange
renewal are more robust.
SSI-6.12
Utilize an IPsec VPN for administration workstation remote access. An IPSec VPN tunnel must be put
in place between the nomad administration workstation, or the distant site, and the Supplier’s
administration Information System. All the incoming and outgoing flows must transit through this
tunnel. Any configuration like ‘split tunnelling’ is strictly forbidden. To put in place the IPSec protocol,
the recommendations from the ANSSI guide must be applied.
Warning: in the case of a laptop, access to the IPSec VPN concentrator via the Internet is the only
exception to the SSI-6.3 requirement, and requires a strict local filtering in accordance to SSI-6.4.
Moreover, the VPN profile must be configured with the IP address of the concentrator (and the one of
its potential backup) to prevent any public DNS flow opening to the Internet.
7. Security requirements relating to logical access control
7.1 Managing Logical access for persons acting on behalf of the Supplier
SSI-7.1
The Supplier must implement identification and authentication devices of people acting on its behalf
and accessing the resources used for the Services; these devices and associated procedures will
allow:
- the identification of each of these people in a strictly personal way (establishment of a single
link, reliable and durable with each individual) and specific identification of the technical
resources administrators during operations associated with this mission;
49
- authentication, according to a reliable process (authentication sequence), of each person
accessing the resources by a mean by which they can prove their identity, which can be based
on what they know, what they have, what they are; this mean has to combine at least two of
these three criterions to ensure strong authentication of personnel having privileged access
rights (for performing high risk operations or reaching IT sensitive resources);
- The use of strong passwords: minimum length of 8 characters, valid for 80 days maximum,
composition syntactically complex: combination of letters (uppercase and / or lowercase),
numbers and special characters (at least 1 character of each type), keeping a history of the
last 9 of passwords associated with a duration of at least 1 day passwords.
- assigning passwords to persons with access rights following a secure procedure to prevent
unauthorized use of these credentials, and the confidentiality protection of secret codes
when they are used, stored, transmitted over the networks and modified;
- the implementation of response measures to limit the consequences of the disclosure of
credentials that allow accesses to the resources used in the context of the contract;
- The activation of a secure standby (automatically triggered by extended idle time (equal to 30
minutes maximum) or may be triggered by the user, which deactivation requires a new
authentication sequence).
The Supplier must communicate to the Customer the characteristics of its resources
identification-authentication access policy and the associated management terms.
SSI-7.2
The Supplier must implement systems and procedures to manage and control the access of persons
acting on its behalf and accessing to the resources used for the required Services; these measures
should enable:
- to establish a link between a user identifiable as an individual and a defined and limited set of
authorized access to resources, this link is established, where possible, through one or more
predetermined access profiles respecting the principles of least privilege and separation of
duties, which contents (associated access rights) are periodically revalidated;
- to validate any request for access authorization by an authorized officer before its effective
implementation;
- To verify the accuracy and update access authorizations granted, periodically or contextually
(e.g. when changing the assignment of a person or at the request of a legitimate authority).
7.3 Managing the logical access of the Customer’s users

SSI-7.3
The Supplier must implement users’ identification and authentication devices (for users working for
the Customer) meeting the same requirements as mentioned in the previous § 6.1 concerning the
Supplier’s own personnel (individualization of user access, robust passwords, secure authentication
process ...).
SSI-7.4
Whether his involvement is required or not on the logical access operational management of users
acting on behalf of the Customer, the Supplier must implement the means to comply with the terms
agreed with the Customer to:
- provide a set of limited access rights to each user of the Customer, identifiable as individual,
via (unless impossible) one or more predetermined access profiles;
- manage the contents of the access profiles as specified by the Customer (respecting the
principles of least privilege and separation of duties) and enable the Customer to perform
periodic revalidation;
50
- ensure the prior approval by an authorized officer by the Customer of any request for access
authorization before its effective implementation;
- Adequacy and updating the authorizations granted access, periodically or contextually (e.g.
when changing the assignment of a user or application of a legitimate authority).
8. Security requirements relating to IS design - creation - evolution
8.1 Security consideration in projects of IS conception-evolution

SSI-8.1
The Supplier must undertake to work relating to the security consideration in the IS design / changes
projects.
SSI-8.2
The Supplier must provide and document security features to implement in order to meet, as part of
the IS design and / or changes projects, the levels of security and continuity of the services required
by the Customer. The Supplier must warn the Customer of a possible failure to provide the security
measures to meet the security requirements expressed.
The Supplier must carry out the design and / or the evolution of IS in accordance with the security
specifications approved by the Customer.
SSI-8.3
The Supplier must conduct the technical audit of security devices implemented and provide the
results to the Customer at the end of the security tests campaigns in the form of a report. If not
possible, this report will indicate the differences with the security specifications previously validated
and the residual security risks potentially induced.
The Customer will then indicate to the Supplier if the identified gaps are acceptable or not. The
Customer may also conduct additional security tests to test the effectiveness and robustness of the
security devices implemented.
SSI-8.4
The Supplier must ensure the separation of development-test-integration environments of the IS
components, from the environments used in the IS production, at the following levels:
- Separation of functions in charge of project activities (design, implementation and test of the
IS), functions in charge of its operations (production), and no accumulation of projects
resources and production resources access rights.
- implementation of a secure hot maintenance procedure (exceptional direct actions on
data-processing in production) guaranteeing its joint validation by the Customer and the
responsible for the production environment, the ability to rollback, traceability and
accountability for the maintenance and verification of operational maintenance of security
devices;
- separation of hardware and software development environments, integration, testing and
operation (physical or logical separation);
- absence of sensitive production data in test environments (test cases), unless specifically
approved by the Customer, subject to the application of a specific procedure for securing data
to protect from unauthorized access or unauthorized disclosure.
SSI-8.5
The Supplier must implement procedures for managing changes in the IS in order:
- to have a change requests documented trace and their issuer;
- to verify the absence of degradation of the IS security level induced by the required changes
and the operational maintenance of the continuity measures;
51
- to obtain the specific approval of the amendments by the Customer prior to their
implementation and its formal approval to put them into production;
- To perform a rollback to a previous version of IS in case of malfunction following changes.
SSI-8.6
The Supplier must document the deployment and operational maintenance procedures of the
security devices implemented in the context of the IS design and / or changes.
8.7 Securing IT developments

SSI-8.7
The code of the applications made by the Supplier on behalf of the Customer must be developed in
compliance with the security standards applicable to the languages used, and development standards
that are specifically provided by the Customer and are attached to the Assurance Security Plan (ASP).
Regarding Web technologies, developments must take into account the publications of the OWASP
(Open Web Application Security Project) to address security vulnerabilities identified by adherence to
the specified good practices. These good practices are particularly detailed in the appendix
"repository of best practices for securing Web applications"
The Supplier must verify the absence of security flows in the features / programs developed for the
Customer’s account and / or integrated development environments underlying the Services
performed under the contract in accordance with the rule SSI-7.3 set out above.
9. Requirements relating to security incident management
SSI-9.1
The Supplier must implement the technical and organizational means to alert as early as possible on
security incidents on resources used to achieve the required Services, to react efficiently depending
on the nature of the detected incidents, to limit their impacts, and to solve quickly and formally all
security related incidents.
SSI-9.2
The Supplier commit itself to warn the Customer of all incidents affecting or possibly affecting the
security of the resources used to achieve the required services, within a time limit of <to be defined
in the Contract (recommended value = 1 business day)> starting at the confirmation of the incident.
The security incidents considered as major should be reported immediately. Are considered as major
incidents all theft, theft attempts or sensitive data disclosure (including personal data), at the very
minimum. Both parties can agree on a complementary list.
SSI-9.3
The Supplier should provide to the Customer a summary of all incidents having impacted the security
of the resources used to achieve the required Services, on a periodicity of <to be defined in the
Contract (recommended value = 1 month)>.
10. Requirements relating to business continuity management
SSI-10.1
The Supplier must assess the risks of extended unavailability of resources necessary to achieve the
required Services.
It must implement solutions (technical and organizational) to cover the unavailability scenarios
identified, and to ensure the minimum level of service required by the Customer in crisis situation
and the recovery of service in a manner consistent with tolerances defined by the Customer (MAD:
52
maximum allowable downtime (or RTO: recovery time objective) and DLT: data loss tolerance (RPO:
Recovery Point Objective)).
SSI-10.2
The Supplier must provide to the Customer a description of the continuity plans implemented in
order to mitigate the risks of extended unavailability of resources necessary to achieve the required
Services. The description must include:
- the plans triggering mode, the connections with crisis management, the IT emergency
solutions and procedures to come back to the nominal situation;
- test conditions and change management of these plans, and procedures for plans
documentation management (updates, access and secure storage);
- the level of robustness of the solutions of continuity that the Supplier has to have assessed
(in terms of load capacity, resistance to extreme shock, timeframe for the provision of
technical resources, level of resources mutualization and number of adherents, length of
possible use of the emergency infrastructure).
The Supplier must notify the Customer the residual risks not covered by continuity solutions in place,
which acceptance will be decided in the Security Committee.
SSI-10.3
The Supplier must perform distinct backups of production and emergency environments on all
resources (systems equipment configuration, networks and telecommunications, basic software,
applications and production data) associated with the achievement of the required Services.
The Supplier must externalize the emergency backups (used in the execution of business continuity
plans) in a sufficiently remote location of the production site in order not to suffer from damages that
a disaster could impact. The Supplier must ensure the ability to access at all times to all backups,
regardless of their place of storage.
SSI-10.4
The Supplier must perform systematic tests of organizational and technical solutions of continuity
after their implementation or their modification, in addition with testing and regular exercise to
assess the functioning of all the plans that it has defined. An exercise involving all the participants
should be performed at least once per year.
The Supplier must obtain the written approval of the Customer before performing tests and exercises
based on a complete and scheduled shutdown of the IS infrastructure (whether or not including a
switch to the backup devices).
All tests and exercises of continuity measures must follow protocols documented by the Supplier.
Their execution should lead to a report stating the compliant results and / or abnormalities detected
which the Supplier shall forward to the Customer and will be discussed in the Security Committee.
11. Requirements relating to compliance
SSI-11.1
The Supplier must ensure the compliance with legal and regulatory provisions applicable to all of the
means used to achieve the Services, including the protection of personal data and the use of
encryption devices.
12. Requirements relating to E-Mail security
SSI-12.1
The Supplier must ensure the configuration of IS resources hosting TotalEnergies data and related to
e-mail comply with the requirements 'Security of System Base Layers" and is hardened in order to
reduce their surface vulnerable to logical attacks.
53
The e-mail services must comply with the requirements "Network Security"
SSI-12.2
The Supplier must implement a solution for filtering electronic messages entering or leaving the
network dedicated to the TOTALENERGIES Group, in accordance with the requirements "Malware
Defense", in order to limit the spread of hostile codes.
In addition, a filtering solution must be validated by the ISS sector and implemented to control
unsolicited electronic messages (spam).
SSI-12.3
The Supplier must ensure that the infected part of the message is destroyed if malicious code is
detected in an e-mail.
The receiver/transmitter (depending on whether the message is entering or exiting the
TOTALENERGIES
Group) must be notified of any modifications made to message content during filtering.
SSI-12.4
The Supplier must ensure that e-mail messages are checked by a malicious code control system each
time they are opened.
SSI-12.5
The Supplier must ensure that the retention procedures and periods for e-mail are defined in
accordance with the Document Retention Policy of the TOTALENERGIES Group.
SSI-12.6
The Supplier must ensure that the messaging services, in accordance with the requirements
"Management of IT Traces”, log all the elements required in order to be able to allocate, date and
characterize the exchanges of email.
The detection of malicious codes should be subject to specific traces.
SSI-12.7
The Supplier must ensure a system for e-mail encryption and sealing is available to users.
SSI-12.8
The Supplier must ensure that any message containing information with a privacy level equal to 3 is
encrypted and that any e-mail containing information with an integrity level greater than or equal to
3 is digitally signed.
In addition, sensitive messages must not be issued or accessed from resources outside the control of
the TOTALENERGIES Group.
SSI-12.9
Each e-mail sent via the e-mail service of the TOTALENERGIES Group should have the possibility of
containing information on the rules imposed by the Group regarding the use that can be made of the
message.
The decision and the procedures for implementation of the automatic warning (disclaimer) by the
e-mail service must be validated by the Legal Affairs Division of the entity.
SSI-12.10
The owner of an electronic mailbox of the TOTALENERGIES Group must be entitled to delegate its use
to another user identified by the Group.
54
"Shared" mailboxes, i.e. which can be used by several people, must operate on the delegation model:
a single owner must be identified, and the other users must be identifiable by name by their
correspondents.
SSI-12.11
The installation of e-mail diversion systems is prohibited.
SSI-12.12
No investigation of the contents of a mailbox may be carried out without the prior approval of the
legal representative of the relevant entity or of any other person explicitly delegated by the latter to
do so.
The investigations must be conducted in accordance with local legislation.
SSI-12.13
Access by a third party to a mailbox of the TOTALENERGIES Group must be subject to a formal
procedure, validated by the SPI sector, by the Legal Affairs Division and by the Human Resources
Division.
Access to e-mail must be in accordance with local legislation.
13. Requirements relating to telephony security
SSI-13.1
The implementation of the resources related to telephony must be in compliance with the
requirements "Security of System Base Layers"
The Supplier must ensure that the following features are disabled and/or rendered inaccessible on
telephony equipment:
- relay function ("Direct Inward System Access" function);
- leaving an internally originated 3-way call or conference bridge with networks outside the
Supplier’s;
- Silent monitoring function.
SSI-13.2
The Supplier must ensure that the implementation of telephony services designed to transit the
network comply with the requirements "Network Security".
Only equipment listed by the IS function and validated by the ISS sector can be connected to the
TOTALENERGIES Group network.
The interconnections between data and voice networks must traverse through security devices.
14. Requirements relating to industrial cybersecurity
SSI-14.1: Requirements relating to detailed application rules

SSI-14.1.1
Each branch will ensure that all systems are assigned a security requirements scope (whether they
are SII or SIE). Neutral systems (e.g. Bastion, DMZ) must also have a security requirements scope.
Each branch will ensure that a variance analysis of site SII is carried out compared to the
requirements breakdown of this rule in the repository of the Branches. This variance analysis must be
updated during each significant amendment to the SII of the site and/or each Branch repository
amendment.
SSI-14.1.2
55
The exceptions to the breakdown of the document REG-GR-SSI-023 in the repository of the branches
must be processed in the branches according to their own exceptions process. The ICSC Committee is
informed of the exceptions granted.
If an exception situation reveals a need for the Group Rules to change, the change request must be
raised by the branch during an ICS STEERING committee for the committee’s opinion that will propose
a change to this rule, if appropriate.
SSI-14.3. Requirements relating to identification and risk cover

SSI-14.3.1
Each branch must specify in its repository the method used by the Group to classify systems that
make up its Industrial Control Systems. It is based on a security profiles scale with three levels (SP1,
SP2 and SP3). Each entity must establish a security profile for each system or set of systems, called SP.
The SP corresponds to a minimum level of cybersecurity requirements
SSI-14.3.2
The support systems for critical industrial security barriers (systems dealing with one or more Safety
Critical Measures or supporting a Safety Critical Element) must have safety profile SP3.
SSI-14.4. Requirements relating to Architecture of the SSI

SSI-14.4.1
The test and training environments (e.g. simulators, etc.) must use equipment physically separate
from the production environment.
SSI-14.4.2
The administration of the safety device (example: firewall) that the interconnection performs
between an SII and the SIE must be placed under the responsibility of the SIE operator.
A record of the administration operations on this device, indicating the changes made and the ID of
the person making the changes, must be kept up-to-date.
In line with the process for amending the site’s SII, the L-ICSO or failing that the ICSO-B must validate
the architecture, flows and requested changes.
SSI-14.5. Requirements related to Physical security

The protection means to be implemented must take into account the sensitivity of the SIs hosted in
an industrial site.
SSI-14.5.1
The branches define and apply the physical security rules for the components of the Industrial
Control Systems. These rules must respect the security profile level, especially for profile SP3
SSI-14.6 Requirements relating to Traceability and supervision

SSI-14.6.1
As soon as the architecture of the SII has a common synchronization source and the SII comprises
several interconnected devices, each with a clock; it is then mandatory to synchronize the clocks of all
components from this common source.
SSI-14.6.2
The event logs related to cybersecurity must be (technology permitting) configured in order to
provide, if needed, the traceability of events.
56
SSI-14.7: Requirements relating to Measures concerning security networks
SSI-14.7.1
Communications between the systems involved in critical industrial security barriers (e.g. SIS) and
other systems (e.g. BPCS, PCS) must be secure.
SSI-14.7.2
The inter-PLC security networks must be independent; except for specific technologies validated by
the branch.
SSI-14.7.3
The interconnections between a Group SII and a partner’s CS should only be carried out by
non-routable communication technologies. The use of routable computer network technologies is
not authorized, except for a specific solution validated by the branch.
Direct access to the Internet from the SII is prohibited.
SSI-14.7.4
Rule A:
With the exception of specific scenarios duly validated in the framework of Rule 7.7 below, all
exchanges between SII and SIE must comply with the following rules:
● Connections initiated by an SII to a buffer zone (DMZ) are authorized,
● Connections initiated by the SIE to a buffer zone (DMZ) are authorized,
● All exchanges not explicitly authorized must be blocked and traced.
Exchanges between the SIE and the SII (including those passing through a DMZ) must be secured by a
security interface element (firewall, for example). The configurations of this element of securing the
SIE/SII interface must be the subject of periodic reviews, organized jointly by the LICSO and RSSI-L,
with the SIE and SII entities concerned.
The buffer zone (DMZ) must allow the establishment of mechanisms to reduce the risk of
cybersecurity, with the main objectives:
● Of minimizing the port number of the security interface element,
● Of identifying, or even authenticating, the origin and target of each connection,
● Of filtering access (source, destination, IP),
Of monitoring flows in order to limit the impact of an IT attack (intrusion or virus) through measures
involving:
● flow rupture,
● protocol rupture,
● clean-up of exchanges,
● Application inspection of flows.
The choice of the measures that will be implemented, individually or in combination, must be based
on the levels of impact and possibility of these IT attack risks.
The relaying of user connections in a buffer zone (DMZ) from the SIE to the SII (for example by using a
bastion), is authorized subject to a strong individual authentication of users and the encryption of the
communication flow between them and the buffer zone. In this case direct access will only be
authorized from the buffer zone to the SII network resources needed for the service required.
Rule B:
Direct connections of the systems involved in critical industrial security barriers (SIS or equivalent)
with routable technologies are prohibited unless an exception is made.
Rule C:
57
In the particular case of independent* SP1 security profiles, the security issues are greatly reduced.
In this case, direct exchanges between SII and SIE without a DMZ are authorized. These exchanges
must then be secured by a security interface element (firewall, for example). The configurations of
this element of securing the SIE/SII interface must be the subject of periodic reviews, organized
jointly by the L-ICSO and RSSI-L, with the SIE and SII entities concerned.
*Independent: Having no direct or indirect network connection to other type SP2 or SP3 equipment
in an SII. An independent SP1 type may be the information systems of Laboratories.
Direct links between independent SP1 profiles and other security profiles are consistent if they are
carried out by non-routable communication mechanisms.
For these interconnections between the SIE and the SII, mechanisms to reduce cybersecurity risks can
be established, with the main objectives:
● of minimizing the port number of the security interface element,

● of identifying, or even authenticating, the origin and target of each connection,
● of filtering access (source, destination, IP),
● of monitoring flows in order to limit the impact of an IT attack (intrusion or virus) by
measures involving:
o flow rupture,
o Application inspection of flows.
The choice of the measures that will be implemented, individually or in combination, is based on the
levels of impact and possibility of these IT attack risks.
SSI-14.7.5
Alternative exchange types can be validated under certain conditions; they constitute the exceptions
authorized under Rule 7.6.
Any new type of exchange between the SIE network and SII networks must first be introduced in the
framework of the exception process specific to the branch. The validation process at branch level
includes the following steps:
● A cybersecurity assessment step: This assessment must take into account the impact on the
SIE and the SII of the corruption of the elements or the exchange flows which comprise the
solution. The compensatory measures implemented must not lower the overall level of
security.
● A test step: The deployment of the technical solution must also be accompanied by
conventional functional tests and penetration tests to confirm that the level of security of the
solution meets expectations.
● At the end of the validation process, the solution is authorized in the branch.
The solutions validated by the branches are reviewed by the ICS STEERING COMMITTEE for possible
adoption at group level.
SSI-14.7.6
If two industrial sub-networks have to communicate via a network generally used by other systems,
then:
● The interconnection point of each sub-network must be secured by a firewall,
● Communications must be isolated by implementing an encrypted tunnel (VPN).
58
SSI-14.7.7
The addresses of the industrial networks must be private, non-routable on the Internet and conform
to standard RFC 1918 Address Allocation for Private Internets.
SSI-14.7.8
The IP addressing plans must be systematically treated as C3 type confidential information.
SSI-14.8 Requirements relating to Security of systems

SSI-14.8.1
Accounts with a lot of privileges, permitting access to the systems’ programming and administration
functions are named and only limited to those who need access. The password for each account is
considered confidential by its holder.
SSI-14.8.2
For authentication exclusively by password, the password must be changed regularly and, in
particular, a security policy must be defined and applied.
SSI-14.8.3
The following rules must be applied, technology permitting:
● Minimum length: 8 characters,

● Complexity of usable characters: combination of uppercase/lowercase, alphanumeric
characters and special characters,
● Frequency of change: must be determined by the branch.
The following configuration criteria must be set as soon as the technology allows it:
● Maximum number of tests before blocking the account,

● Number of previous passwords stored in the history,
● Period of inactivity triggering automatic disconnection.
SSI-14.8.4
Free access to devices (USB port, CD-ROM, DVD, floppy disks, backup units, etc.) must be regulated by
a procedure known to all.
● This procedure must describe the storage mode, the access conditions and use of removable
media.
SSI-14.8.5
All of the operation, supervision and security systems of the Industrial CS must only contain software
useful for these functions.
The software for managing personnel, office applications, software development environments,
messaging and multimedia players, etc. are prohibited in an SII.
SSI-14.8.6
Unused features must be uninstalled or disabled.
Unused network communication ports should be disabled or locked.
SSI-14-8.7
59
All files externally introduced to the SII (from the SIE, a supplier’s network or from removable media)
must be inspected through a quarantine station located in the DMZ or via a decontamination airlock.
It is equipped with a mechanism to update antivirus signatures
SSI-14.8.8
A rule:
All servers and workstations, for example, engineering, maintenance, operator, which have the
capacity must have a malicious software protection program (white list application control, or
antivirus software) (see standard IEC 62443-2-4).
B rule:
The need for a malicious software protection program and the updating of the definition file will be
determined for each system on a case by case basis.
C rule:
This protection program and updates (e.g. antivirus signatures) must be tested before being put into
production and installation and configuration documentation must be provided.
D rule:
Systems with a protection program not certified by the supplier must be identified and recorded.
SSI-14.8.9
A rule:
All servers and workstations, for example, engineering, maintenance, operator, which have the
capacity must have software updates (service packs or unit patches). See IEC 62443-2-3: Patch
Management in the IACS environment.
B rule:
The need to apply updates must be determined on a system-by-system basis in the framework of the
cybersecurity assessment.
C rule:
The updates must be tested before being put into production and the installation and configuration
documentation must be provided.
D rule:
Systems that have received a security update not certified by the supplier must be identified and
recorded.
SSI-14.9 Requirements relating to Measures concerning wireless technology

SSI-14.9.1
A rule is :
include at least the following elements:
● a criticality analysis, taking into account, in particular, the risk of unavailability of the wireless
communication, listening risk, inclusion in the network of unauthorized wireless devices risk,
● a coverage study to establish the scope of the transmissions and to find out the possibilities
of access to the network from outside of the premises or the physical security scope of the
site,
● a study of the redundancy levels to implement, if necessary (depending on the failure modes
described) as well as the associated degraded modes,
● engineering documents such as plans and specifications.
60
This study must be validated by the business areas concerned in accordance with the project
amendment process, the site or the subsidiary. The L-ICSO-or failing that ICSO-B, must be
incorporated in the validation circuit.
B rule is :
The use of wireless sensors and actuators for systems with SP3 security profiles (critical security
system or equivalent) is prohibited.
SSI-14.10 : Requirements relating to remote access

The various suppliers of industrial systems used on the SII of the TotalEnergies Group may need a
remote access link for maintenance operations (preventive or corrective).
SSI-14.10.1
A rule is:
All remote access to an SII must be done by the SIE, via the Group’s secure interconnection platforms.
B rule is:
Permission to each remote access in writing to SII equipment must be subject to prior agreement of
the entity in charge of SII concerned.
C rule is:
Remote access on Instrumented Security Systems (critical security systems) or other systems with a
security profile of SP3 is prohibited.
SSI-14.11 Taking the cybersecurity in projects into account

SSI-14.11.1
A rule is:
The security requirements must be identified at the same time as the general requirements of a
project. They must be justified, recognized and documented in the framework of the general
management of the life cycle of the project, including:
● The specification phases,

● The design phases,
● Pre-Acceptance Test,
● Factory Acceptance Test (FAT),
● Site Acceptance Test (SAT)
SSI-14.11.2
A rule is:
After the SAT (Site Acceptance Test)
● All passwords must be changed,
● the final software licenses must be established
SSI-14.12 Taking cybersecurity into account in operation and maintenance

SSI-14.12.1
A rule is:
A procedure should be put in place for the creation, amendment and deletion of access as well as
password notification in a secure way.
61
Third-party accounts will be limited to the end date of their maintenance and/or support contract.
SSI-14.12.2
A rule is:
Procedures for managing cybersecurity incidents and the degraded SII operation modes resulting
from these incidents must be documented.
SSI-14.12.3
The cybersecurity requirements relating to the supplies and interventions of the maintenance
Suppliers for the systems must be documented in maintenance contracts.
SSI-14.12.4
A rule is:
Only the secure, temporary connections of a maintenance laptop are authorized.
The temporary connection of a laptop must be subject to a connection procedure. This procedure
should include a check of USB flash drives, as well as removable disk drives, before and after the
intervention.
The laptop used for programming, backing up, diagnosis or maintenance on various equipment of the
SII:
● must be a laptop exclusively dedicated to maintenance functions,

● must not have office or development tools on it,
● must be equipped with updated activated antivirus software with a signatures database that
is also up-to-date,
● must have received the latest security patches,
● must not have any other active link, either external, or to another network within the site. In
particular, check that no wireless connections are enabled, including without the operator’s
knowledge,
● must be fitted with an active locking and automatic disconnection mechanism
B rule is:
The laptops intended for the configuration and maintenance of equipment with security profile SP2
must be exclusively dedicated to this task. They must not be connected to external networks or
networks with a lower security profile.
C rule is:
The cybersecurity requirements relating to the supplies and interventions of the maintenance
Suppliers for the systems must be documented in maintenance contracts.
SSI-14.12.5
All software and physical access must be reviewed at least once a year. Redundant accounts must be
deleted during these reviews. This concerns access:
● involving application of the DCS: supervision, operators, shift manager, set-up operator (also
called maintenance), system engineer, supplier,
● to PLCs: SIS, programming laptop,
● to operator stations, engineering and development post, servers,
● to administration and monitoring stations,
● to telecom equipment: firewalls, switches, routers,
62
● remote: accounts and software certificates, physical to technical, electronic, development
rooms, etc.
SSI-14.12.6
A review - at least annual - of the firewall/s separating the SIE from an SII must be performed. It
should:
● check for correct operation and any alerts,

● identify any unnecessary objects: IP addresses, redundant hosts or dead…
● check the rules for the exchange of authorized and blocked flows.
63
APPENDIX 1 – Acronyms and Definitions
Terms and Acronyms
FR EN
API : Automate Programmable Industriel PLC :Programmable Logic Controller
CEI :Commission Electrotechnique IEC : International Electrotechnical Committee
Internationale
ICSSC : Comité de Pilotage de la CyberSécurité ICSSC : Industrial Cybersecurity Steering
Industrielle Committee
Data Historian : Base de données Data Historian : Historical database for process
d’historisation des données procédé data
DICP : Disponibilité, Intégrité, Confidentialité, AICP : Availability, Integrity, Confidentiality,
Preuve Proof
DMZ : Zone d’échange entre les réseaux DMZ : ‘’Demitilitarized Zone’’ : exchange area
industriels et entreprises between the industrial and enterprise networks
FAT : Réception en plateforme FAT : Factory Acceptance Tets
HSE : Hygiène Sécurité et Environnement EHS : Environment , Health and Safety
IACS : Industrial and Automation Control IACS : Industrial and Automation Control
Systems (ISA) Systems (ISA)
IP : Internet Protocol IP : Internet Protocol
ISA : International Society for Automation ISA : International Society for Automation
OLE : Object Linking and Embedding OLE : Object Linking and Embedding
OPC : OLE for Process Control OPC : OLE for Process Control
OS : Système d’exploitation OS : Operating System
B-ICSO : Responsible Sécurité des Systèmes ICSO-B : BU industrial Cyber-Security Officer
d’information industriels branche
L-ICSO : Responsible Sécurité des Systèmes L-ICSO : Local industrial Cyber-Security Officer
d’information industriels local
P-ICSO : Responsible Sécurité des Systèmes P-ICSO : Project industrial Cyber-Security Officer
d’information industriels Projet
RSSI : Responsible Sécurité du Système RSSI : Information Systems Security Manager
d’information
SAT : Réception sur site SAT : Site Acceptance Test
SCADA : Supervisory Control and Data SCADA : Supervisory Control and Data
Acquisition Acquisition
SIE : Système d’information d’Entrprise SIE
SII :Système d’information Industriel SII (Industrial Information System)
Also defined as
IACS : industrial and Automation Control
Systems (ISA99/IEC 62443)
SIS :Système Instrumenté de Sécurité SIS :Safety Instrumented System
SNCC :Système Numérique de Contrôle DCS :Distributed Control System
Commande ou de Conduite Centralisée par
écran
TCP : Transmission Control Protocol TCP : Transmission Control Protocol
64
USB : Universal Serial Bus USB : Universal Serial Bus
VPN : Virtual Private Network VPN : Virtual Private Network
65
ANNEXE 7 – LISTE DU MATERIEL FOURNI PAR LE CLIENT AU FREELANCE AFIN DE REALISER LA
MISSION
Le Freelance sollicitera du Client la liste des équipements qui lui sont confiés aux fins d’exécution de
sa Mission.
Malt est susceptible de communiquer au Freelance la liste des équipements qui lui sont remis par le
Client.
A défaut de renseignement complémentaire dans le cadre de cette Annexe, les Parties considèrent
que tout équipement remis au Freelance pour l’exercice de sa Mission appartient au Client.
Le Freelance reconnait avoir la garde des équipements qui lui sont confiés et s’engage à respecter les
règles de sécurité spécifiques susceptibles d’être mises à sa charge.
66
ANNEXE 8 – CONDITIONS FINANCIERES ET PÉNALITÉS DE RETARD
1. PRIX DES MISSIONS
Le prix de chaque Mission exécutée par le Freelance est fixé dans le Devis. Le prix est non-révisable
pour toute durée de la Mission, en ce compris toutes taxes, à l’exception de la TVA.
Le prix fixé dans le Devis inclut :

● Tous les coûts et frais engendrés par l’exécution de la Mission, à l’exception de ceux qui ne
sont pas mentionnés dans le Devis et exposés pour le compte et à la demande du Client,
● Le transfert au Client de la propriété matérielle et intellectuelle des éléments relatifs aux
Livrables et, plus largement, de toute création ou invention, protégeable ou non par un droit
de propriété intellectuelle ou industrielle, réalisée par le Freelance dans le cadre de la
Mission.
Sauf accord contraire, le prix des Missions est exprimé et payé en Euros.
2. FRAIS DE MISSION : REMBOURSÉS PAR MALT SUR PRESENTATION D’UN JUSTIFICATIF
Si des Missions occasionnelles sont requises par le Client en application des dispositions prévues dans
le Devis Malt remboursera les frais de mission au Freelance.
3. PENALITES APPLICABLES EN RELATION AVEC LE NIVEAU DE SERVICE
Afin de garantir la qualité de la collaboration entre les Parties, le Freelance devra maintenir un taux
de satisfaction minimum pour toutes les Missions fournies au Client.
Le taux de satisfaction des Missions est calculé sur la base de ce qui suit :
𝑁𝑜𝑚𝑏𝑟𝑒 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑚𝑖𝑠𝑠𝑖𝑜𝑛 𝑖𝑛𝑡𝑒𝑟𝑟𝑜𝑚𝑝𝑢𝑒𝑠

𝑇𝑎𝑢𝑥 𝑑𝑒 𝑠𝑎𝑡𝑖𝑠𝑓𝑎𝑐𝑡𝑖𝑜𝑛 𝑑𝑒𝑠 𝑚𝑖𝑠𝑠𝑖𝑜𝑛𝑠 (%) = 1 − 𝑁𝑜𝑚𝑏𝑟𝑒 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑚𝑖𝑠𝑠𝑖𝑜𝑛 𝑐𝑜𝑛𝑓𝑖é𝑒𝑠
Par souci de clarté, une Mission est considérée comme interrompue lorsqu'elle donne lieu à une
résiliation anticipée du Client en raison :
● de l'indisponibilité du Freelance, ou
● de la non-conformité des prestations aux exigences énoncées dans le Devis.
Malt est en droit d'appliquer une pénalité égale à 0,01% du prix TTC de la Mission dans le cas où le
taux de satisfaction des Missions est inférieur à quatre-vingt-quinze pour cent (95%).
67

2022 06 29 - Conditions Type Applicables Freelance - TotalEnergies - Malt

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

2022 06 29 - Conditions Type Applicables Freelance - TotalEnergies - Malt

Transféré par

Droits d'auteur :

Formats disponibles

CONDITIONS APPLICABLES AUX MISSIONS POUR TOTALENERGIES GLOBAL

Malt Community, société anonyme au capital de 126 697.89 €, immatriculée au Registre du

IL A ETE CONVENU CE QUI SUIT :

2. Ensemble contractuel et priorités

- Le Devis (Annexe 1) ;

- L’accord de protection des données personnelles (Annexe 2) ;

- Les déclarations relatives à la réglementation financière (Annexe 3) ;

- Les principes essentiels applicables aux fournisseurs du client (Annexe 4) ;

- Les règles du Client applicables en matière d’hygiène, de sécurité et de politique

- Conditions financières et pénalités de retard applicables (Annexe 8).

Le CRA sera revu par Malt, qui le transmettra ensuite au Client.

Les conditions financières et pénalités applicables à la Mission sont prévues en Annexe 8.

6. Obligations des Parties

6.1. Obligations de Malt

Malt s’engage à :

- Effectuer le suivi administratif et financier de la Mission dès la sélection du Freelance, et ce

- Collaborer loyalement et activement avec le Freelance et en particulier à lui fournir ou lui

6.2. Obligations du Freelance

Le Freelance s’engage à :

- À remplir ses obligations d’information, de conseil et de mise en garde, en préalable à toute

- Si une difficulté survenait au cours de l’exécution de la Mission de nature à influencer les

- Respecter les conditions et politiques internes du Client reproduites et annexées au Contrat,

7. Collaboration des Parties et suivi de la Mission

8. Propriété intellectuelle et cession de droits

8.1. Cession de droit

8.2. Code source

8.3. Garantie d’éviction

Le Freelance garantit à Malt, qui garantit à son tour au Client :

- La jouissance paisible de tout livrable et ;

Dans le cas où l'interdiction d'utilisation serait prononcée en conséquence d'une action en

A défaut, le Freelance remboursera le Client du montant acquitté par ce dernier au titre de

9. Protection des données personnelles

Les exigences relatives au respect de la réglementation en vigueur en matière de protection des

Le Freelance s’engage en outre à respecter la politique interne du Client applicable en matière de

11. Pénalités – Retard dans l’exécution de la Mission – Continuité de la Mission

11.1 Retard dans l’exécution de la Mission

11.2 Continuité de la Mission

Durée totale de la Mission Période de transfert sans frais

12.1. Résiliation pour convenance

(b) à dédommager le Freelance de tous coûts raisonnablement et irrévocablement engagés pour

Cette résiliation ne donnera lieu au paiement d’aucune autre indemnité.

12.2. Résiliation pour manquement du Freelance

13. Effets de la fin de la Mission

Le Freelance doit permettre la transmission des informations essentielles au transfert de la prise en

14. Assurance et responsabilité

Le Freelance s’engage à retourner au Client toute information confidentielle en sa possession au

17. Force Majeure

18. Intuitu personae

Toute modification relative au périmètre de la Mission ou aux conditions de son exécution

20. Signature électronique

Le présent Contrat est rédigé en français et en anglais.

22. Droit applicable et juridiction compétente

Le droit français est seul applicable au présent Contrat.

1. Traitement de Données à caractère personnel

2. Obligations respectives des Parties

A ce titre, le Freelance s'engage à respecter les obligations suivantes :

- Ne pas divulguer ces documents ou informations à d'autres personnes, qu'il s'agisse de

- Prendre toutes mesures de sécurité, notamment matérielle, pour assurer la conservation et

Le Freelance s’engage à conserver confidentiel l’ensemble des éléments du Client et plus

A ce titre, le Freelance s’engage à ce que ces éléments :

- Ne soient ni copiés, ni reproduits, ni dupliqués, totalement ou partiellement, pour ses

6. Violation de Données à caractère personnel

- La nature de la Violation de Données à caractère personnel ;