Conditions générales d'utilisation Stormshield Encryption Service

Les présentes Conditions Générales d'Utilisation (ci-après « CGU ») constituent l'intégralité des conditions stipulées régissant la relation contractuelle (ci-après « Souscription ») concernant Stormshield Encryption Service (ci-après « Plateforme ») liant, d'une part, Stormshield, société anonyme simplifiée au capital de 2 793 881,60 €, ayant son siège social au 2-10 rue Marceau, 92130 Issy-les-Moulineaux, France (ci-après « Stormshield »), et, d'autre part, le Client (ci-après « Client »).

Stormshield et le Client pourront ci-après être dénommés séparément une « Partie » et conjointement les « Parties ».

Le Client peut donner un droit d’accès, d’utilisation, d’administration et de gestion à des individus autorisés (ci-après « Utilisateurs »).

En accédant et en utilisant la Plateforme, le Client accepte les présentes CGU. Stormshield ne saurait être tenu responsable de l'absence de connaissance de celles-ci.

Article 1 – Définitions

Aux fins des présentes CGU, les termes commençant par une majuscule auront la signification suivante, qu’ils soient utilisés au singulier ou bien au pluriel.

Administrateur : désigne la personne référente chez le Client, en charge de l’activation de la Plateforme chez tous les Utilisateurs et responsable de la remontée des Incidents, définis dans le cadre de la proposition commerciale, par le Client.

Client : désigne la personne ou l'entité ayant une Souscription pour la Plateforme sur l’une des Solutions Tierces proposées par Stormshield. Le Client doit fournir à Stormshield, dans le cadre de la proposition commerciale, le nombre d’Utilisateurs pour lesquels il souhaite activer la Plateforme, ainsi que le contact de son Administrateur (nom, prénom, email et téléphone).

Client Side Encryption ou « CSE » : désigne la méthode de chiffrement développée par Google pour ses applications collaboratives dans Google Workspace tels que Drive, Docs, Sheets et Slides. Cette option est disponible dans l’édition « Enterprise » de Google Workspace.

Crédit de service : désigne le pourcentage de la compensation financière qui sera versée au Client en cas de non-respect des engagements que Stormshield prend au sein des SLO. Les Crédits de service sont calculés sur une base mensuelle. Ces derniers sont limités à chaque période d'un mois et ne peuvent donc être cumulés d'un mois sur l'autre.

Documentation : désigne la documentation Stormshield qui sera nécessaire au Client, à ses Utilisateurs et à l’Administrateur pour accéder au lien d’activation de la Plateforme, aux Solutions Tierces ainsi qu’aux potentielles nouvelles fonctionnalités.

Double Key Encryption ou « DKE » : désigne la méthode de chiffrement développée par Microsoft pour ses applications collaboratives dans Office 365 tels que Outlook, Word, PowerPoint et Excel. Cette option est disponible dans l’édition « Enterprise » de Office 365.

Incident : désigne un événement entraînant une indisponibilité, une dégradation de performance ou une non-conformité à un SLI. Chaque Incident fait l’objet d’un enregistrement formel via le système de support de Stormshield et est classifié et défini par le support Stormshield, dès son identification, selon l’un des niveaux de sévérité suivants :

• Incident de sévérité 1 ou « I1 » : indisponibilité totale de la Plateforme ou impossibilité pour le Client et ses Utilisateurs d’utiliser une fonctionnalité critique, sans solution de contournement raisonnable.
  
• Incident de sévérité 2 ou « I2 » : désigne une dégradation significative de la Plateforme sans blocage total de celle-ci, avec une solution de contournement dégradée ou contraignante.
  
• Incident de sévérité 3 ou « I3 » : désigne un dysfonctionnement mineur, non bloquant, n’affectant pas les fonctionnalités essentielles, et disposant d’une solution de contournement acceptable.
  
• Incident de sévérité 4 ou « I4 » : désigne la demande d’information de la part du Client.

Indicateur de Niveau de Service ou « SLI » : désigne l’indicateur mesurable de performance permettant d'évaluer la performance de la Plateforme.

Information Confidentielle : désigne toutes les informations relatives à la relation entre les Parties, divulguées dans le cadre de celle-ci et identifiées comme confidentielles par la Partie Divulgatrice, par un procédé oral, écrit, graphique, électronique ou par tout autre procédé exploitable par ordinateur, ou via copie, quels qu’en soient l’objet (technique, industriel, financier, commercial, données personnelles etc.), la nature (incluant de manière non limitative : savoir-faire, méthode, détail technique, procédé, formule, dessins et modèles, logiciels, développements et projets futurs…) et le support (document écrit et imprimé, dessin, échantillons, plan, CD Rom, clé USB…).

Kubernetes : désigne le service applicatif incorporant, généralement, le SDK pour proposer un chiffrement natif simple et ergonomique.

Objectif de Niveau de Service ou « SLO » : désigne un objectif mesurable de performance pour la Plateforme. Dans un second temps, le SLI procédera à la vérification de celui-ci.

Plateforme : désigne le service de chiffrement Stormshield Encryption Service développé et opéré par Stormshield, incluant les technologies de gestion de clés, le Stormshield SDK DCS, et les interfaces d'administration permettant d'assurer la protection des données.

Solutions Tierces : désignent les environnements applicatifs, infrastructures ou suites de productivité externes (tels que Google Workspace, Microsoft 365, ou des clusters Kubernetes) édités par des tiers ou gérés par le Client, au sein desquels la Plateforme vient s'intégrer

Stormshield SDK DCS ou « SDK » ou « Framework DCS » : désigne la technologie de chiffrement s’appuyant sur une architecture Zero-Trust, intégrée dans les pipelines CI/CD, appliquant des politiques d’accès ABAC tout en générant des logs auditable.

TAC : désigne le Technical Assistance Center (Centre d’Assistance Technique).

Utilisateur : désigne la personne utilisant la Plateforme, identifiée par un identifiant unique.

Article 2 – Description de la Plateforme

2.1 Les Solutions Tierces

2.1.1 Google Workplace

Le service de chiffrement SDS pour Google Workspace est un service de protection des données de l'entreprise, gérées dans l'écosystème de Google Workspace. Google Workspace est la suite d'applications Google dans le cloud destinée aux professionnels. Pour plus d'informations, reportez-vous à la documentation Google.

Le Client décide que ce service sera utilisé par un nombre d’Utilisateurs. Ce nombre est défini au préalable par le Client, dans le cadre de la proposition commerciale. L’Administrateur, (communiqué par Le Client) se charge d’activer de manière centralisée, le service chez tous les Utilisateurs. L’activation du service de chiffrement de Google Workspace (CSE) s'effectue dans la console d'administration Google pour une population identifiée via l’adresse email, un groupe ou une unité organisationnelle. Cette technologie est disponible uniquement pour le navigateur Chrome.

En tout état de cause, la personne qui gère l’attribution des licences CSE chez le Client s'engage à restreindre l'accès et l'utilisation du Logiciel aux seuls membres du personnel autorisés. Elle doit également s’assurer, par ses propres moyens, que tous les Utilisateurs respectent les présentes Conditions Générales d’Utilisation. Si un Utilisateur était amené à quitter la société, le Client doit s’assurer d’avoir mis en œuvre les moyens nécessaires pour recouvrer ses données chiffrées (cf section Réversibilité des présentes Conditions Générales d’Utilisation ci-dessous). Il doit également s’assurer que l’Utilisateur en question a bien été retiré de sa solution d’authentification.

Il peut également se renseigner auprès de Google sur la délégation de compte basé sur l'authentification et l'autorisation d'accès. Lien vers la documentation officielle décrivant le fonctionnel : knowledge.workspace.google.com/admin/security/about-client-side-encryption

2.1.2 Microsoft

Le service de chiffrement SDS pour Office 365 est un service de protection des données de l'entreprise, gérées dans l'écosystème de Office 365. Office 365 est la suite d'applications Microsoft destinée aux professionnels. Pour plus d'informations, reportez-vous à la documentation Microsoft.

Le Client décide que ce service sera utilisé par un nombre d’Utilisateurs. Ce nombre est défini au préalable par le Client, dans le cadre de la proposition commerciale. L’Administrateur, (communiqué par Le Client) se charge d’activer de manière centralisée, le service chez tous les Utilisateurs. L’activation du service de chiffrement de Office 365 (DKE) s'effectue dans la console d'administration Microsoft pour une population identifiée via l’adresse email, un groupe ou une unité organisationnelle.

En tout état de cause, la personne qui gère l’attribution des licences DKE chez le Client s'engage à restreindre l'accès et l'utilisation du Logiciel aux seuls membres du personnel autorisés. Elle doit également s’assurer, par ses propres moyens, que tous les Utilisateurs respectent les présentes Conditions Générales d’Utilisation. Si un Utilisateur était amené à quitter la société, le Client doit s’assurer d’avoir mis en œuvre les moyens nécessaires pour recouvrer ses données chiffrées (cf section Réversibilité des présentes Conditions Générales d’Utilisation ci-dessous). Il doit également s’assurer que l’Utilisateur en question a bien été retiré de sa solution d’authentification. Il peut également se renseigner auprès de Microsoft sur la délégation de compte basé sur l'authentification et l'autorisation d'accès.

Lien vers la documentation officielle maintenue par Microsoft : learn.microsoft.com/fr-fr/purview/double-key-encryption

2.2 Kubernetes

Le service de chiffrement pour Kubernetes est destiné à chiffrer les clusters Kubernetes. Le service assure une protection contre l'accès non autorisé, même en cas de compromission du master node. Toutes les données sensibles (Secrets, ConfigMaps, volumes) sont chiffrées dès le moment où elles sont stockées. Le flux de données en mémoire est également protégé grâce à un outil nommé Init-Container. Ce service répond aux exigences de localisation des données (RGPD, ITAR, NIS2, DORA, etc.) et autorise la rotation ou la révocation des clés à tout moment. Stormshield ne possède que la clé secondaire, il ne peut jamais lire le contenu de la donnée. Le risque d’insider threat est limité : Stormshield ne voit que les métadonnées d’accès et n’a aucun accès aux données en clair.

2.3 SDK

Le service de chiffrement SDK DCS est destiné à chiffrer/déchiffre des données tout en respectant le Zero-Trust Data Format (ZTDF). Le service chiffre les données dès leur création et les encapsule dans le Zero Trust Data Format (ZTDF). Aucune donnée sensible n’est jamais stockée ou transmise en clair. La clé de chiffrement est générée, stockée et contrôlée exclusivement par le Client. Stormshield ne possède que la clé secondaire. Ce module est conforme aux exigences de résidence des données (RGPD, ITAR, NIS2, DORA).

Un contrôle d'accès basé sur attributs (ABAC) est mis en place et permet des décisions d'accès granulaires, alignées sur les politiques internes et les exigences réglementaires. Chaque données ZTDF porte ses propres attribus de sécurité (rôle, contexte, sensibilité). Le SDK a comme première responsabilité d'interroger le moteur d’autorisation avant tout déchiffrement. Ce chiffrement a un impact négligeable sur les applications critiques (+1-2% de latence sur les opérations de lecture/écriture).

Article 3 - Configuration & Initialisation

Concernant la configuration et l'initialisation de la Plateforme, le Client et ses Utilisateurs sont tenus de se référer à la documentation des Solutions Tierces mise à leur disposition :

• Pour Google : documentation.stormshield.eu/SEP/en/Content/Saas_Deployment_Guide/Getting_started_saas.htm
• Pour Microsoft : documentation.stormshield.eu/SEP/en/Content/Administration_Guide/dke_getting_started.htm

Article 4 - Support technique (TAC)

4.1 Objectifs de disponibilité (SLO)

Stormshield s’engage à maintenir la disponibilité de la Plateforme conformément au tableau suivant :

Service concerné	SLO en pourcentage (%)
Stormshield Data Security	99 % (432 minutes d'indisponibilité au maximum sur 30 jours de fonctionnement).

Le respect de cet SLO sera évalué sur l’ensemble des jours du mois, et constitue l’engagement principal de Stormshield envers le Client et ses Utilisateurs pour assurer la continuité et la qualité de la Plateforme.

4.2 Méthode de mesure de la disponibilité (SLI)

La disponibilité de la Plateforme sera mesurée mensuellement selon la formule suivante :

(Temps total - temps d'indisponibilité) / Temps total x 100

Ici, le temps total correspond à la période pendant laquelle la Plateforme doit être opérationnelle et accessible. Et, le temps d'indisponibilité, quant à lui, correspond à la durée pendant laquelle la Plateforme n’est pas disponible.

Si la disponibilité, à la fin du mois, est inférieure, alors le Client pourra demander une indemnisation, selon la procédure prévue à cet effet.

4.3 Indemnisation en cas de non-respect des SLO

En cas de non-respect de ces SLO, le Client sera en droit de demander une indemnisation, via une contestation, envoyée à l’adresse mail suivante : sales@stormshield.eu.

Cette contestation sera admise sous réserve que (i) le Client soit à jour du paiement de l’ensemble des factures émises par Stormshield dans le cadre de son utilisation de la Plateforme, (ii) le Client ait signalé auprès de Stormshield le non-respect des SLO dans les délais de trente (30) jours suivant le mois durant lequel le non-respect des SLO a été constaté, (iii) le Client fournisse, en complément de sa demande, les fichiers logs indiquant la période d’indisponibilité, la date et l’heure auxquelles celles-ci se sont produites, et (iv) que ce dernier ait collaboré de bonne foi avec les équipes compétentes de Stormshield en vue de leur résolution, et notamment :

• En se rendant disponible durant toute la période de résolution de l’Incident rencontré ;
  
• En fournissant toute information dont il dispose concernant l’Incident rencontré ;
  
• En effectuant toute vérification qui serait nécessaire afin de résoudre l’Incident rencontré.

Aucune indemnité ne pourra être réclamée, ni accordée au Client qui ne se conforme pas à toutes ces exigences cumulatives.

Les Crédits constituent la seule et unique compensation financière due par Stormshield au titre du présent SLA. L’indemnisation prend la forme d’un Crédit de service appliqué sur la facture émise au titre de la Plateforme couverte, le mois suivant celui de la demande d’indemnisation formulée par le Client. Le montant de l’indemnité est déterminé en fonction du tableau ci-dessous et correspond à un pourcentage du montant mensuel facturé au Client au titre du non-respect des SLO durant le mois concerné. Cette indemnité ne peut en aucun cas être remboursée au Client en numéraire.

Taux de disponibilité mensuelle	Niveau de manquement	Pourcentage (%) par mois de Crédit de service
98 .0% < SLI < 99.00%	Manquement mineur	10%
95.0% < SLI < 98.0%	Manquement intermédiaire	25%
SLI < 95.0%	Manquement majeur	50%

L’indemnité maximale allouée au Client pour l’ensemble du temps d'indisponibilité survenu au cours d'un même mois de facturation ne pourra en aucun cas dépasser cinquante pour cent (50%) du montant mensuel facturé au Client au titre de l’ensemble de l’utilisation de la Plateforme n’ayant pas respecté le SLO durant le mois concerné.

4.4 Exclusions d’indemnisation

Le Client ne pourra en aucun cas recevoir d’indemnisation de la part de Stormshield, résultant d’un ou plusieurs des cas suivants :

• Cas de force majeure ;
  
• Fait d’un tiers ;
  
• Des intégrations et/ou des services fournis par des tiers ;
  
• Faute du Client, de ses Utilisateurs, de ses employés ou de ses représentants ;
  
• Manquement du Client et/ou de ses Utilisateurs à ses obligations contractuelles ;
  
• Les éléments qui sont sous la seule gestion du Client et de ses Utilisateurs ;
  
• Indisponibilité survenue au cours d’une maintenance planifiée ou d’urgence ;
  
• Mauvaise utilisation et/ou utilisation non conforme de la Plateforme par le Client et ses Utilisateurs, tel que non limitativement, désinstallation de l’agent de la Plateforme, mauvaise configuration des tables de routage, désactivation des groupes de sécurité, mauvaise configuration de tout logiciel installé sur l’Instance, en ce compris : firewall, système d’exploitation, antivirus, etc ;
  
• Dysfonctionnement du réseau Internet ;
  
• Défaut de collaboration du Client avec les équipes de Stormshield afin de rétablir la disponibilité des ressources ;
  
• Services en phase Bêta ;
  
• Indisponibilité d’un composant matériel du fait d’une rupture de stock ;
  
• Services ou fonctionnalités sur lesquels il n’y a pas d’engagement de service explicitement décrits au sein du présent SLA.

Article 5 - Maintenance corrective

La maintenance corrective comprend :

• La fourniture de services de diagnostic pour évaluer toute panne, défaut ou dysfonctionnement de la Plateforme et/ou des Solutions Tierces ;
  
• La livraison des fonctionnalités, mises à niveau, correctifs ou packages qui peuvent être nécessaires pour corriger toute panne, défaut ou dysfonctionnement de la Plateforme et/ou des Solutions Tierces ;
  
• La fourniture d'autres services pour corriger ou contourner les pannes, défauts ou dysfonctionnements de la Plateforme et/ou des Solutions Tierces ;
  Toutefois, la maintenance corrective n'inclut pas les services nécessaires pour corriger ou supprimer une panne, un défaut ou un dysfonctionnement causé par :
  
  • Une utilisation inappropriée de la Plateforme et/ou des Solutions Tierces par le Client, ses Utilisateurs et l’Administrateur et/ou résultant de produits tiers utilisés par ce dernier conformément à la Documentation écrite remise par Stormshield ;
    
  • Une négligence grave ou faute grave du Client, de ses Utilisateurs et l’Administrateur ;
    
• Toute modification ou altération apportée à la configuration de la Plateforme et/ou des Solutions Tierces par le Client sans l'autorisation préalable de Stormshield.

Article 6 – Confidentialité

Chaque Partie s'engage, à compter de la date effective des présentes CGU et pendant cinq (5) ans après le terme de la relation ou sa résiliation pour quelque cause que ce soit, à ce que les Informations Confidentielles qu'elle reçoit de la Partie qui les divulgue :

• Soient protégées et gardées strictement confidentielles et soient traitées de la même manière et avec le même degré de précaution et de protection que la Partie Réceptrice accorde à ses propres informations confidentielles de même importance, et a minima avec un degré de précaution et de protection raisonnable ;
  
• Ne soient divulguées, par la Partie Réceptrice, qu'aux seuls membres de son personnel et aux membres du personnel ;
  
• Ne soient pas utilisées, totalement ou partiellement, directement ou indirectement, dans un autre but que le Projet, sans le consentement préalable et écrit de la Partie Divulgatrice ;
  
• Ne soient pas divulguées, directement ou indirectement, à un tiers ou à une personne autre que celles autorisées par Stormshield, sans l’autorisation préalable et écrite de la Partie Divulgatrice, et à la condition que le tiers récipiendaire s'engage par écrit à se soumettre aux mêmes obligations de confidentialité que celles contenues au sein de cet Article 6 ;
  
• Ne soient ni copiées, ni reproduites de quelque manière que ce soit, sauf pour les besoins de la Souscription, ni publiées, totalement ou partiellement, sans l'autorisation préalable et écrite de la Partie Divulgatrice ;
  
• Restent identifiées par leur désignation initiale liée à la nature confidentielle, classifiée ou propriétaire de l’Information Confidentielle qui ne doit pas être supprimée, altérée ou dissimulée par la Partie Réceptrice ;
  
• Ne fassent pas l’objet de retro-ingénierie, ne soient pas démontées ou décompilées.

La Partie qui reçoit les Informations n'aura aucune obligation et ne sera soumise à aucune restriction eu égard aux Informations Confidentielles lorsqu'elle pourra apporter la preuve :

• Qu'elles sont entrées dans le domaine public préalablement à leur divulgation ou après celle-ci, en l'absence de toute faute qui lui soit imputable ;
  
• Qu'elles sont déjà légitimement en la possession de la Partie Réceptrice ou connues d'elle, préalablement à la réception ;
  
• Qu'elles ont été reçues d'un tiers de manière licite, sans restriction ni violation d'obligations de confidentialité ;
  
• Qu'elles sont le résultat de développements internes entrepris de bonne foi sans accès ou utilisation desdites Informations Confidentielles;
  
• Que leur utilisation ou leur divulgation a été autorisée par écrit par la Partie dont elles émanent ;
  
• Que la divulgation de ces Informations Confidentielles est imposée par la loi applicable, ou par une décision d'un tribunal ou d'une autorité administrative compétente.

Article 7 – Obligations du Client

Stormshield concède au Client une Souscription permettant à un nombre d'Utilisateurs, défini dans le cadre de la proposition commerciale, d'utiliser la Plateforme dans le cadre de leurs fonctions professionnelles ; cette Souscription exclut tout partage de licence, produite et vendue à une seule et unique firme, incessible et non transférable pour toute la durée de la Souscription.

• Le Client reconnaît expressément qu'il conclut les présentes CGU dans les circonstances suivantes :
  
• Le Client a pris connaissance des caractéristiques fonctionnelles essentielles de la Plateforme et des Solutions Tierces ;
  
• Stormshield a donné au Client des garanties ci-dessus, concernant l'utilisation de la Plateforme et des Solutions Tierces.

Le Client s'engage à :

• Payer les Redevances dans les conditions prévues dans le cadre de la proposition commerciale ;
  
• Coopérer de bonne foi avec Stormshield dans l'exécution des CGU ;
  
• Ne pas utiliser la Plateforme pour commettre des crimes, des délits ou des contraventions sanctionnés par la loi ;
  
• Informer Stormshield dès qu’il a connaissance d’un acte de piratage et, en particulier, de toute utilisation illégale ou non autorisée de la Plateforme et/ou des Solutions Tierces, quelle que soit la manière dont celle-ci a été divulguée ;
  
• Ne pas utiliser des applications ou des dispositifs susceptibles de perturber le bon fonctionnement de celles-ci ;
  
• Et, utiliser la Plateforme et les Solutions Tierces aux termes et conditions énoncés dans les présentes CGU et la Documentation fournie.

En particulier, et conformément aux pré-requis de Stormshield, le Client sera responsable de :

• La gestion, l'administration et le contrôle de la Plateforme ;
  
• Utilisation des accès de ses Utilisateurs ;
  
• Adopter des procédures d'urgence adaptées à ses propres besoins et des procédures de redémarrage, de sauvegarde et de récupération des données.

Par extension, ces obligations s’appliquent également aux Utilisateurs et le Client demeure responsable de l’utilisation de la Plateforme par les Utilisateurs à tout moment.

Stormshield se réserve le droit de désactiver l’accès du Client et des Utilisateurs en cas de violation du présent Article 7.

Article 8 - Données personnelles

Stormshield et le Client s’engagent à respecter les dispositions de la réglementation en vigueur afférente à la protection des données à caractère personnel et, en particulier, la loi Informatique et libertés dans sa version au 20 juin 2018 et le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (« RGPD ») et conviennent de ce qui suit :

Dans le cadre de leur relation contractuelle, chaque Partie est susceptible de traiter en qualité de responsable de traitement des données à caractère personnel de l’autre Partie pour les finalités suivantes exclusivement :

• Effectuer des opérations relatives à la gestion, au suivi et à la vérification de la bonne exécution de la Souscription ;
  
• Effectuer des opérations relatives à leur relation commerciale ;
  
• Vérifier le respect des obligations contractuelles applicables ;
  
• Gérer les impayés et contentieux ;
  
• Répondre à d’éventuelles demandes d’autorités publiques ;
  
• Lutter contre toutes fraudes incluant le blanchiment d’argent ou le financement du terrorisme ;
  
• Permettre aux personnes concernées par les traitements d’exercer leurs droits décrits ci-après.

Chaque Partie s’engage à conserver les données à caractère personnel ainsi collectées pour la durée strictement nécessaire à la réalisation de la finalité́ des traitements conformément aux dispositions légales en vigueur. Les personnes concernées par les traitements bénéficient de différents droits au titre de la protection des données à caractère personnel (notamment des droits d’accès, de rectification, de limitation et de suppression des informations les concernant) qui peuvent être exercés (accompagnés de toutes pièces justificatives) par courrier électronique adressé à dpo@stormshield.eu. Les personnes concernées ont également la possibilité d’introduire une réclamation auprès d’une autorité de contrôle.

Article 9 - Propriété intellectuelle

Stormshield et le Client conservent la propriété des droits de propriété intellectuelle et industrielle leur appartenant préalablement à leur relation commerciale. Ainsi, la Plateforme et tout ce qui est associé demeurent la propriété exclusive de Stormshield et sont protégés par le droit d’auteur. Ce dernier reste l’unique titulaire de l’ensemble des droits patrimoniaux et moraux qui y sont afférents.

En ce sens, la licence d’utilisation que confère Stormshield au Client ne sera pas réputée constituer un transfert de droits de propriété intellectuelle. À ce titre, le Client s'engage à conserver intacts tous les éléments de propriété intellectuelle apparaissant dans la Plateforme.

Stormshield garantit au Client qu’il détient l’intégralité des droits de propriété et d’usage de tous les éléments, documents, données, informations et fichiers qui sont communiqués et remis au Client. Par conséquent, Stormshield s'engage à défendre et à indemniser le Client pour les dommages liés à des réclamations, procédures ou commandes initiées par un tiers alléguant qu'un composant de la Plateforme viole un droit de propriété intellectuelle, à condition que le Client notifie immédiatement à Stormshield, par écrit, une réclamation juridique, présente une demande de défense, lui apporte sa pleine coopération dans ladite défense et ne conclut pas de règlement sans l'accord écrit préalable de Stormshield. Dans l'éventualité où l'une des conditions cumulatives n’était pas respectée, le processus d'indemnisation pourrait présenter des difficultés.

Dans la mesure où Stormshield reconnaît que la Plateforme ou l’un de ses composants constitue une contrefaçon, elle pourra, à sa discrétion et à ses frais, décider de (i) modifier la Plateforme ou l’un de ses composants pour mettre fin à la contrefaçon, (ii) de le remplacer par un produit non contrefaisant ayant des fonctions globalement équivalentes ou supérieures en performance, (iii) obtenir les droits d'utilisation permettant au Client et à ses Utilisateurs de continuer à exploiter la Plateforme conformément aux présentes CGU.

Cette garantie ne s'applique pas à toute action en contrefaçon pour cause d'utilisation ou d'exploitation non conforme, ni à toute modification ou adaptation de l'un quelconque des composants de la Plateforme par le Client.

Article 10 - Responsabilité

La Plateforme est fournie « en l’état » et en aucun cas, Stormshield, ses filiales, ses sociétés affiliées, ses dirigeants, employés, ses administrateurs, ses agents ou partenaires respectifs ne peuvent être tenus responsables :

• Des dommages indirects, consécutifs ou immatériels (tels que perte de données, perte de clientèle ou de réputation, perte de bénéfices, de revenus ou d’exploitation, perte de contrats, perte de chiffre d’affaires, perte d’opportunité) ;
  
• Des préjudices résultant d’une installation, des paramétrages, d’une configuration et/ou d’une utilisation non conforme à la Plateforme ou bien contraire aux présentes CGU ;
  
• Des cas de force majeure ;
  
• Des actes commis par un tiers ;
  
• De toute action, inaction, erreur, omission ou défaut relevant de la responsabilité du Client, de ses Utilisateurs ou de tout prestataire mandaté par le Client.

Le Client est seul responsable de s'assurer que la Plateforme réponde à ses besoins.

Aucune disposition des présentes CGU ne limite notre responsabilité en cas de fraude ou de déclaration frauduleuse, de négligence grave, de faute intentionnelle, de décès ou de dommages corporels résultant de notre négligence, ou dans la mesure où les limitations ou exclusions prévues par les présentes sont interdites par les lois en vigueur.

Toute utilisation frauduleuse ou illégale de la Plateforme par le Client, ses Utilisateurs, ses employés ou le prestataire mandaté par le Client, engage la responsabilité du Client vis-à-vis de Stormshield, ainsi que des tiers qui auraient subi un préjudice à ce titre.

La responsabilité totale et cumulée de Stormshield, toutes causes et tous dommages confondus, au titre du Contrat et pour toute période glissante de douze (12) mois, est plafonnée au montant total HT payé par le Client à Stormshield au cours de ladite période.

Article 11 – Audit de conformité

Un audit pourra être réalisé directement par Stormshield ou par un tiers indépendant mandaté à cet effet et soumis à un accord de confidentialité. Stormshield informera le Client de son intention de réaliser cet audit moyennant un préavis raisonnable d'au moins quinze (15) jours ouvrés. Le Client s'engage à collaborer de bonne foi et à fournir les informations nécessaires à la réalisation de l'audit.

Si l'audit révèle une utilisation non conforme ou dépassant le périmètre de la licence acquise, le Client devra régulariser sa situation sans délai, en s'acquittant des redevances correspondantes. Dans l'hypothèse où le dépassement ou la non-conformité excède 5 % des droits accordés, les frais raisonnables engagés pour la réalisation de l'audit seront à la charge exclusive du Client.

Article 12 - Export control

Stormshield informe le Client que la Plateforme peut contenir des technologies soumises aux lois des États-Unis ou de l'Union européenne en matière de contrôle des exportations ainsi qu'aux lois du pays où il est livré ou utilisé. Conformément à ces lois, la Plateforme ne peut être vendue, louée ou transférée à des personnes et/ou à des pays soumis à des sanctions. Le Distributeur, Revendeur, Client, Utilisateur ou tout autre prestataire mandaté par le Client s'engage à respecter lesdites lois et réglementations en matière de contrôle des exportations.

La Plateforme entre dans la catégorie des produits à double usage pouvant être utilisés à des fins civiles ou militaires. En tant que produits à double usage, ils sont soumis au Règlement (UE) n°2021/821 du Conseil Européen.

Afin de respecter les obligations internationales de l’Union européenne et celles de ses membres, l’exportation de produits à double usage est soumise à contrôle et autorisation.

Dans le cas où la Plateforme nécessite des autorisations d’exportation ou des licences, Stormshield s’engage à effectuer les démarches requises auprès des autorités compétentes.

Cela signifie que Stormshield est autorisé à mettre à disposition la Plateforme, mais cela ne signifie pas que le Client peut donner accès à la Plateforme à des personnes physiques ou morales non autorisées dans le cadre des règlementations de contrôles à l’exportation.

Tout Client et ses Utilisateurs sont informés que, s’ils souhaitent accéder à la Plateforme en dehors de l'Union européenne, ceux-ci doivent vérifier la légalité de cet accès auprès de Stormshield via ExportControl@stormshield.eu et déposer leurs demandes aux autorités compétentes afin d’obtenir une licence d'exportation. Si le Client et/ou ses Utilisateurs accèdent à la Plateforme en dehors de l'Union européenne sans autorisation, il est recommandé de contacter immédiatement Stormshield afin de régulariser la situation.

En raison de la nature de la Plateforme, des processus de chiffrement sont mis en œuvre pour lesquels Stormshield a obtenu l'autorisation requise. Il appartient à tout Client et à ses Utilisateurs de procéder à toutes les formalités et procédures légales et/ou réglementaires applicables localement à la Plateforme. Stormshield s'engage à fournir les informations et l'assistance qui pourraient raisonnablement être nécessaires quant aux garanties nécessaires à l'obtention de ladite autorisation.

Le Client et l’Utilisateur s’engagent à ne pas mettre à disposition la Plateforme dans les pays ou régions sanctionnés suivants : Cuba, la Corée du Nord, l’Iran, la Russie, la Biélorussie et les régions occupées d’Ukraine.

Article 13 – Garanties

Pendant toute la durée de la Souscription, Stormshield s'engage à faire ses meilleurs efforts pour proposer au Client toutes les mises à jour correspondantes nécessaires pour assurer un niveau de sécurité conforme aux standards de la profession. À cet effet, le Client s'engage à signaler à Stormshield tout problème qu'il pourrait rencontrer ou constater lors de l'utilisation du Logiciel.

Stormshield ne fournit aucune garantie sur le bon fonctionnement des fonctionnalités non officiellement supportées par la Plateforme.

Stormshield ne fournit aucune garantie concernant l'adéquation de la Plateforme aux besoins spécifiques du Client, ni sa compatibilité avec tout programme informatique exécuté en parallèle. À ce titre, il appartient au Client, d'évaluer ses besoins spécifiques, d'évaluer l'adéquation de la Plateforme au regard de ces besoins et de s'assurer qu'il dispose des compétences nécessaires pour utiliser la Plateforme et un environnement informatique compatible et le cas échéant le Client pourra consulter Stormshield.

La garantie Stormshield ne couvre pas les conséquences de :

• Toute utilisation des Solutions Tierces par le Client qui ne serait pas conforme à la Documentation de celles-ci ou aux dispositions des présentes CGU ;
  
• Toute panne ou dysfonctionnement du système d'exploitation utilisé par le Client ;
  
• Toute modification apportée par le Client à la Plateforme ou aux modalités d'utilisation de celle-ci définies dans la Documentation ;
  
• Toute négligence ou manque de diligence de la part du Client et/ou de ses Utilisateurs dans l'entretien courant et la gestion du matériel utilisé pour l'utilisation de la Plateforme pour les Solutions Tierces ;
  
• Tout acte commis par un tiers ou résultant d'un cas de Force Majeure tel que défini à l’article 1218 du Code civil ;
  
• Toute vulnérabilité “zero days” contenue dans la Plateforme pour laquelle Stormshield pourrait légitimement justifier qu’elle n’était pas au courant, et qu’elle garantit résoudre conformément aux délais ;
  
• Toute perte, ou inaccessibilité au compte des Solutions Tierces du Client extérieur à Stormshield ;
  
• Toute modification sur les fonctionnalités portées exclusivement par les Solutions Tierces.

Article 14 - Sous-traitant

Sous réserve des dispositions plus spécifiques sur la sous-traitance des données personnelles, contenues dans le Contrat de sous-traitance, Stormshield sera libre de sous-traiter tout ou partie de la Plateforme à tout tiers de son choix, ce que le Client accepte sans réserve. Stormshield reste néanmoins responsable vis-à-vis du Client de l'exécution de ses obligations par les sous-traitants.

Article 15 – Réversibilité

Pour pouvoir récupérer vos données chiffrées, les Solutions Tierces Google propose des méthodes permettant :
D’exporter toutes ses données chiffrées : support.google.com/a/answer/100458
De déchiffrer tous ses fichiers : support.google.com/a/answer/11019500

Ainsi, les données du Client ne seront pas perdues si l’un de ses Utilisateurs venait à quitter sa société ou si le Client décidait de résilier sa Souscription.

Article 16 - Durée et résiliation

La Souscription réalisée entre les Parties, dans le cadre de la proposition commerciale, est d’une durée d’un (1) an, non renouvelable automatiquement. Le Client sera contacté par Stormshield au moins deux (2) mois avant la date anniversaire de la Souscription afin de conclure ou non le renouvellement de celle-ci.

En cas de non renouvellement de la Souscription, le Client aura pris les dispositions nécessaires pour recouvrer ses données.

Article 17 - Suspension et résiliation

En cas de non-paiement, de non-respect de des CGU ou d’usage frauduleux de la Plateforme, Stormshield se réserve le droit de suspendre immédiatement l’accès au Client et à ses Utilisateurs après une mise en demeure préalable. En cas de manquement non résolu dans un délai de dix (10) jours, à compter de la réception de la mise en demeure, la Partie défaillante sera en droit de résilier immédiatement la Souscription.

Cette licence peut être résiliée, à tout moment et sans motif, par l'une ou l'autre des Parties, moyennant un préavis de quatre-vingt-dix (90) jours par courrier recommandé avec accusé de réception.

À l’expiration ou à la résiliation de la Souscription, la licence d’utilisation prend fin automatiquement.

Article 18 – Modifications des CGU et de la Plateforme

Pour ce qui est des CGU, Stormshield se réserve le droit de les modifier. Stormshield devra alors informer l’Administrateur désigné par le Client, par mail dans les meilleurs délais. Il est de la responsabilité de l’Administrateur de vérifier les mises à jour des présentes CGU.

De plus, Stormshield peut être amené à faire évoluer les fonctionnalités de la Plateforme en fonction des évolutions technologiques des Solutions Tierces ou de la demande du marché, notamment en ajoutant ou supprimant une ou plusieurs fonctionnalités.

Stormshield ne peut être tenu responsable pour toute suppression ou modification de fonctionnalités portées exclusivement par les Solutions Tierces.

Toute évolution fonctionnelle entrant dans le périmètre initial pourrait avoir un impact sur le prix qui pourrait augmenter, ou pourrait dégrader la qualité, les fonctionnalités du service initialement souscrit. Si tel est le cas, Stormshield s'engage à informer le Client dans les meilleurs délais. La nouvelle tarification s’appliquera toujours à date anniversaire laissant ainsi le choix du Client de renouveler ou non leur abonnement.

En tout état de cause, en cas de suppression ou de modification de fonctionnalités de la Plateforme, Stormshield informera le Client dès qu’il en aura connaissance. Le Client sera alors libre de ne pas renouveler sa Souscription, à date anniversaire, ou résilier moyennant trente (30) jours de préavis, ou de contacter son représentant commercial Stormshield.

Article 19 - Force majeure

Aucune des Parties ne sera responsable du manquement à l'exécution de l'une de ses obligations si un tel manquement résulte d'une décision gouvernementale, y compris tout retrait ou suspension de quelque autorisation que ce soit ; une grève totale ou partielle, qu'elle soit interne ou externe à l'entreprise ; un incendie ; une catastrophe naturelle ; un état de guerre ; une suspension ou un blocage total ou partiel des réseaux de télécommunications ou électriques ; un piratage informatique ; ou, plus généralement, toute autre situation de force majeure dont les caractéristiques sont définies par la loi et la jurisprudence françaises.

La Partie lésée par l'événement doit informer immédiatement l'autre Partie de son impossibilité d'exécuter ses obligations. La suspension ou le retard dans l'exécution d'une quelconque obligation ne pourra en aucun cas constituer un motif de responsabilité pour inexécution de l'obligation en question, ni impliquer le paiement de dommages et intérêts ou de pénalités pour retard d'exécution.

Article 20 - Droit applicable et juridiction compétente

Les présentes CGU sont soumises au droit français.

Tout différend relatif à ces dernières sera soumis à la compétence exclusive des juridictions compétentes de Paris, France.

Article 21 – Convention de preuve

Les Parties conviennent que les données, fichiers, journaux de connexion (logs) et registres informatisés, conservés dans les systèmes informatiques de Stormshield et de ses partenaires dans des conditions raisonnables de sécurité, ont pleine valeur probante entre les Parties.

En conséquence, sauf preuve contraire apportée par le Client, ces enregistrements feront foi en cas de litige relatif à l'utilisation de la Plateforme, à l'exécution des présentes CGU ou à la matérialité des actions effectuées par le Client et ses Utilisateurs. Le Client s'engage à ne pas contester la recevabilité, la validité ou la force probante de ces éléments sous un format électronique.

Article 22 - Diverses dispositions

Si l’une des stipulations des CGU devait être déclarée nulle ou inapplicable, elle serait réputée non écrite, sans affecter la validité des autres stipulations.

Le fait pour une Partie de ne pas se prévaloir d’une stipulation des CGU ne saurait être interprété comme une renonciation à s’en prévaloir ultérieurement.