CONDITIONS GÉNÉRALES DE VENTE SIMPLIFIÉES

Préambule :

Le Prestataire commercialise un Service qui porte sur la collecte, l’analyse et le stockage de Données contenues dans certaines Applications à des fins de (1) fournir de la visibilité sur les accès, les droits, les partages effectués sur ces données, (2) permettre la mise à jour simplifiée des droits et partages, (3) alerter en cas d’accès ou d’opération inhabituelle ou trop permissive, (4) détecter de potentielles violations de confidentialité ou compromission de compte. Ce Service s’appuie sur une Solution technique Idecsi Access Analyzer (I2A), elle-même s’appuyant sur le Logiciel, une technologie développée par Le Prestataire et lui appartenant (française) faisant l’objet de dépôts de brevets internationaux.

La Solution I2A collecte des Données Techniques et, le cas échéant, des Données Techniques I2A portant sur les applications protégées ou utilisées par des Personnes Protégées (telle que la messagerie d’entreprise par exemple), analyse ces données pour identifier de potentielles Violation De Confidentialité ou besoin de mise à jour de configuration et, en cas de détection, peut émettre des notifications/alertes à destination d’interlocuteurs identifiés. La Solution en aucun cas n’accède au contenu des informations.

Le Client a souhaité bénéficier de la fonction de sécurité et d’audit que permet la solution IDECSI ACCESS ANALYZER®.

Le Client reconnaît avoir reçu du Prestataire toutes les informations nécessaires lui permettant d’apprécier l’adéquation à ses besoins du logiciel SAAS, d’apprécier le fonctionnement de la Solution Idecsi Access Analyser et de pouvoir prendre toutes les précautions utiles à son utilisation. Toutefois, en tant que professionnel de l’informatique et dans le cadre de son obligation de conseil, le Prestataire apportera au Client toute préconisation nécessaire à l’optimisation de ses choix et à la couverture la plus appropriée de ses besoins.

Objet : Le présent document a pour objet de définir les termes et conditions applicables à l’utilisation de la plateforme proposée par IDECSI qui s’appuie de façon indissociable sur l’installation et le fonctionnement de la Solution Idecsi Access Analyzer (I2A) dont une partie peut être installée dans l’environnement du Client.

Description du Service lié à la Supervision I2A : Ce paragraphe liste les activités qui composent le Service fournit par le prestataire. Certaines de ces activités peuvent être en option. Il est nécessaire de se référer au bon de commande pour connaitre la liste des activités comprises dans le cadre de votre contrat :

Installation de la Solution dans l’environnement du Client :

Le cas échéant, installation des composants I2A sur des ressources (serveurs) fournies par le client et respectant les prérequis techniques fournis au client,

Fourniture des ressources de data center pour l’exploitation de la plateforme I2A,

Paramétrage de la Solution pour rendre le Service opérationnel : Paramétrage de la configuration technique du client, Aide au paramétrage de la configuration fonctionnelle spécifique client (Personnes et ressources Protégées ou Auditées, Administrateurs I2A),

L’accès à la console d’administration de la solution.

Support technique en cas d’incident de fonctionnement,

Rappel : la fourniture des ressources locales installées au sein du SI du Client est de la responsabilité du client.

Description des activités liées aux abonnements Premium AMT I2A : Dans le cadre de la souscription d’un abonnement Premium, le Prestataire peut fournir de manière optionnelle un service de supervision de la plate-forme I2A. Les conditions d’accès au service et d’exécution du service (processus de communication, horaires, prise en charge, paramétrage, …) sont décrits dans un document de référence qui a été transmis au Client qui en a pleine et entière connaissance.

Respect des principes français en matière de protection des données personnelles et Informations importante sur le traitement des données,

Il est entendu entre les parties que le Client agit en tant que seul responsable du traitement des Données personnelles. Le Prestataire agit au nom et pour le compte du Client en tant que sous-traitant. A ce titre, Le Prestataire et ses éventuels Sous-traitants sont tenus de traiter les Données personnelles conformément aux instructions du Client et ne sauraient utiliser lesdites Données personnelles pour d’autres finalités que celles expressément définies et autorisées par le Client. Le Prestataire et ses sous-traitants s’engagent à se conformer à la réglementation en vigueur relative aux traitements des données personnelles. Lorsqu’il traite des données personnelles pour le compte du Client, il garantit notamment qu’il n’utilise pas les données personnelles pour son propre compte, ni pour d’autres fins que celles de l’exécution du Contrat, ne communique pas, ni ne cède les données personnelles à des tiers non autorisés et met en œuvre les mesures techniques et organisationnelles décrite dans son plan d’assurance sécurité disponible sur demande pour assurer la confidentialité des données personnelles ainsi que leur sécurité physique et logique contre toute atteinte intentionnelle ou non intentionnelle.

Les données personnelles contenues dans les Données Techniques sont par exemple les adresses IP de connexions, les protocoles utilisés, les ID des devices, les configurations, et des données personnelles (noms, adresses emails, …). Elles sont récupérées dans les logs générés nativement par les Applications augmentés, le cas échéant, des logs générés par nos composants de collecte.

Données personnelles/exploitations des données : Le Client assure la responsabilité de l’utilisation du logiciel SAAS par ses Utilisateurs.

Le Client est seul responsable de la qualité, de la licéité, de la pertinence des Données et contenus qu’il collecte aux fins d’utilisation du Service. Il garantit en outre être titulaire des droits lui permettant d’utiliser les Données et contenus. En conséquence, le Prestataire dégage toute responsabilité en cas de non-conformité des Données et/ou des contenus aux lois et règlements, à l’ordre public ou encore aux besoins du Client.

Plus généralement, le Client est seul responsable des contenus personnels le concernant utilisés par le logiciel SAAS. Le Client demeure le seul propriétaire des Données constituant le contenu de la Solution.

Responsabilité du Prestataire : Le Prestataire s’engage à fournir le Service avec, concernant l’exploitation sous responsabilité du Prestataire, un taux de disponibilité minimal de 99%.

Le Client recevra du Prestataire toutes les informations et conseils nécessaires à la bonne connaissance de l’ensemble des Activités et du Service. Le Prestataire s’engage à tout mettre en œuvre pour assurer des performances et une disponibilité optimale de la Solution. Il souscrit à ce titre une obligation de moyens.

Responsabilités du Client : Le Client accepte d’installer et de configurer dans son environnement le ou les composants de la Solution I2A, qui sont partie intégrante du Service et sans lesquels le Service ne pourrait être rendus, en respectant les prérequis du Prestataire.

Le Client s’engage à fournir au Prestataire les accès nécessaires pour vérifier l’exploitation et la maintenance des composants.

Le Client s’engage à communiquer toute modification de configuration ayant un impact sur le fonctionnement de la Solution.

Les données sources permettant la réalisation du Service sont issues des systèmes d’information du Client et fournies par le Client. Le Client ne pourra tenir rigueur au Prestataire ni remettre en question le Service s’il s’avérait que les données fournies ont été altérées avec comme conséquence une analyse erronée des situations.

Délai de conservation des données : Le temps de conservation des Données Techniques est paramétrable et dépend de la stratégie de chaque Client. Par défaut les données sont conservées 90 jours dans nos serveurs. En cas d’alerte, le premier log déclencheur de l’alerte est conservé la durée de conservation de l’alerte elle-même.

Hébergement : L’hébergement des serveurs I2A est opéré par défaut dans le Cloud Microsoft Azure localisé en France. Il est possible de demander un hébergement SecNumCloud chez OVH (nécessite le paiement de frais supplémentaires).

Périmètre couvert : le périmètre couvert par le Service est celui indiqué dans le bon de commande.

Effet, Durée et reconduction :

Effet : Les abonnements prennent effet à l’installation ou au plus tard 30 jours après :

La réception du bon de commande IDECSI

La date d’installation stipulée dans le bon de commande.

Si la date de prise d’effet est :

Entre le 1er et le 15 du mois : Début de l’abonnement le 1er du mois sur le mois en cours

Entre le 16 et le 31 du mois : Début de l’abonnement le 1er du mois suivant

Durée : Les abonnements ont une durée ferme de 12 mois à compter de la date de prise d’effet (durée initiale) et sont renouvelés par tacite reconduction pour une durée de 12 mois.

Résiliation : A l’issue de la durée initiale, la résiliation du contrat est possible et doit être notifiée par Lettre recommandée au minimum 3 mois avant la date anniversaire du contrat. Dans ce cas, le contrat ne sera pas renouvelé pour une nouvelle période de 12 mois.

Prix : Le prix est celui stipulé dans le bon de commande. Une augmentation de 5 % sera appliquée annuellement à la date anniversaire du contrat.

Modalité de paiement : Règlement annuel, terme à échoir 30 jours date de facture par virement en facturation annuelle.

Support : Adresse mail de contact : support@idecsi.com . Le support est assuré du lundi au vendredi de 9h30 à 17h30 sauf jour férié.

Propriété : Le Client est et demeure propriétaire de l’ensemble des Données qu’il utilise via le Service et la Solution.

Le Prestataire est et demeure titulaire des droits de propriété relatifs à tout élément du Service et de la Solution mis à disposition du Client, ainsi plus généralement que de l’infrastructure informatique (logicielle et matérielle) mise en œuvre ou développée pour le service, hors infrastructure fournie par le Client.

L’utilisation du service ne confère au Client aucun droit de propriété sur la Solution. La mise à disposition temporaire de la Solution dans les conditions prévues au présent accord ne saurait être analysée comme la cession d’un quelconque droit de propriété intellectuelle au bénéfice du Client, au sens du Code Français de la propriété intellectuelle. Le Client s’interdit de reproduire tout élément des Logiciels, ou toute documentation les concernant, par quelque moyen que ce soit, sous quelque forme que ce soit et sur quelque support que ce soit.

Autorisation de communication : IDECSI ne pourra faire mention du Client qu’à la condition limitée que celle-ci soit faite à titre de référence client (nom + logo seulement). Toute autre forme de communication devra faire l’objet d’un accord préalable formel obtenu du Client sur les termes employés dans le cadre des communications envisagées.

Assurances : Le Prestataire a souscrit les assurances nécessaires afin de couvrir les risques liés à l’exercice de son activité. Il s’engage à donner tout justificatif au Client, si celui-ci en fait la demande expresse.

Confidentialité : Chacune des Parties s’oblige à : Tenir confidentielles toutes les informations qu’elle recevra de l’autre Partie, et notamment ; Ne pas divulguer les informations confidentielles de l’autre Parties à un tiers quelconque, autre que des employés ou agents ayant besoin de les connaître ; N’utiliser les informations confidentielles de l’autre partie qu’à l’effet d’exercer ses droits et de remplir ses obligations aux termes du Contrat.

Nonobstant ce qui précède, aucune des Parties n’aura l’obligation quelconque à l’égard d’informations qui :

Seraient tombées ou tomberaient dans le domaine public indépendamment d’une faute par la Partie les recevant ;

Seraient développées à titre indépendant par la Partie les recevant ;

Seraient connues de la Partie les recevant avant que l’autre Partie ne les lui divulgue ;

Seraient légitimement reçues d’un tiers non soumis à une obligation de confidentialité ;

Ou devraient être divulguées en vertu de la loi ou sur ordre d’un tribunal (auquel cas elles ne devront être divulguées que dans la mesure requise et après en avoir prévenu par écrit la Partie les ayant fournies). Les obligations des Parties à l’égard des informations confidentielles demeureront en vigueur pendant toute la durée du Contrat et aussi longtemps, après son terme, que les informations concernées demeureront confidentielles pour la Partie les divulguant et, en toute hypothèse, pendant une période de 2 ans après le terme du Contrat.

Chacune des Parties devra restituer, sur simple demande, toutes les copies des documents et supports contenant des informations confidentielles de l’autre Partie, dès la fin du Contrat, quelle qu’en soit la cause.

Les Parties s’engagent par ailleurs à faire respecter ces dispositions pour leur personnel, et par tout préposé ou tiers qui pourrait intervenir à quelque titre que ce soit dans le cadre du Contrat.