de
La volonté de LEPHISH est d’établir une relation de partenariat avec ses Clients, dans le but de satisfaire au mieux de ses moyens leurs besoins. Les conditions générales d’utilisation et de vente reprises ci-dessous servent de cadre pour maintenir cette relation de partenariat.
Date de dernière mise à jour : 29 novembre 2023
La société LEPHISH, société par actions simplifiée unipersonnelle au capital de 1000 euros, immatriculée au Registre du Commerce et des Sociétés de PARIS sous le numéro 981454630, dont le siège social est situé au 60 rue François 1er, 75008, Paris, dont le numéro TVA intracommunautaire est FR03981454630, ci-après le « Prestataire », est une société spécialisée dans les Services et solutions de cybersécurité.
ET : Toute personne morale, utilisant les Services, tels que définis ci-après, qui sont proposés par le Prestataire, ci-après le « Client ».
Le Prestataire effectue pour le compte du Client des prestations (ci-après les « Services ») permettant de tester et de sensibiliser leurs utilisateurs du Système d’Information aux attaques informatiques de type phishing. Les Services comprennent l’envoi de tests de phishing, la sensibilisation aux bons comportements à adopter face à de telles attaques, et la mise à disposition de rapports.
Les présentes Conditions Générales d’Utilisation et de Vente (ci-après les « CGUV ») sont applicables aux prestations fournies par le Prestataire LEPHISH SASU (« le Prestataire »).
Le Client peut également bénéficier, sur demande auprès de LEPHISH et sur devis, d'une prestation additionnelle de personnalisation des campagnes de simulation de phishing.
Les prestations objet du contrat seront exécutées à distance.
Le Prestataire peut offrir au Client la possibilité de tester la Solution via l’envoi d’une campagne de simulation de Phishing.
Pendant cette période d essai, le Client aura accès à l ensemble des fonctionnalités de la Solution à l’exception du Tableau de Bord, sauf mention contraire précisée lors de l activation de la période d'essai.
La période d essai est offerte gratuitement, sauf si d'autres conditions financières ont été expressément convenues entre le Prestataire et le Client.
À l expiration de la période d essai, l accès à la Solution sera automatiquement désactivé. L'Utilisateur devra alors souscrire à une offre payante pour continuer à utiliser la Solution.
Sauf indication contraire, la période d'essai ne se transformera pas automatiquement en abonnement payant à la fin de celle-ci.
Le Client peut mettre fin à la période d'essai en contactant le service Client du Prestataire.
Pendant la période d essai, la Solution est fournie "telle quelle". Le Prestataire ne saurait être tenu pour responsable des dysfonctionnements ou des limites rencontrées lors de cette période d'essai.
Toutes les autres clauses des présentes CGUV s appliquent également pendant la période d essai, sauf disposition contraire expressément mentionnée dans cet article.
Le Prestataire s’engage à exécuter les prestations définies à l’article intitulé « Objet », ci-dessus, dans les délais et aux conditions prévues par les parties.
Le Client est informé que les Services pourront être ponctuellement suspendus sans préavis pour des opérations de maintenance et de mise à jour. Ces opérations seront autant que possible réalisées par le Prestataire en heures non ouvrées, pour limiter au maximum l’impact de celles-ci pour le Client.
Le Client est cependant informé que l’exécution des Services s effectue via le réseau Internet. Il est averti des aléas techniques qui peuvent affecter ce réseau et entraîner des ralentissements ou des indisponibilités rendant la connexion impossible. Le Prestataire ne peut être tenu responsable des difficultés d'accès aux Services dues à des perturbations du réseau internet.
Le Prestataire doit s’informer sur les besoins du Client, et lui apporter toute information sur les caractéristiques des prestations fournies.
Le Client doit fournir au Prestataire toute information pouvant contribuer à la bonne réalisation de l’objet du contrat.
Chaque personne physique désignée par le Client pour accéder au Tableau de Bord via son Compte Client est responsable de ses données d’authentification. Ces données d’authentification permettant d’accéder au Tableau de Bord du Client sont personnelles, individuelles, confidentielles et intransmissibles. Le Client s’engage à mettre tout en œuvre pour que ceux-ci ne soient pas divulgués sous quelque forme que ce soit à d’autres personnes que celles désignées. Le Client est entièrement responsable de l’utilisation et de la conservation de ces données d’authentification au Tableau de Bord. Le Client assume la responsabilité de la sécurité des postes individuels d’accès au Tableau de Bord. Le prêt, le partage, le transfert ou la vente de données d’authentification au Tableau de Bord sont interdits et ne seront pas opposables au Prestataire.
Le Client s’engage à informer sans délai le Prestataire de toute perte, vol ou utilisation non autorisée de données d’authentification de ses utilisateurs habilités à accéder au Tableau de Bord afin que le Prestataire puisse prendre sans délai toute mesure adaptée en vue d’y remédier.
Le Client s’engage à ne pas porter atteinte aux droits de propriété intellectuelle détenus par le Prestataire sur les Services.
Le Client s’engage à ne pas reconstituer ou tenter de reconstituer, à partir des Services, une solution visant à offrir directement ou indirectement, à titre gratuit ou onéreux, le même Service ou un service comparable à celui du Prestataire.
Le Client s’engage à ne pas diffuser ou vendre, de quelque manière que ce soit, des informations aux fins d’aider une personne physique ou morale à reconstituer, en tout ou partie, un service ou une solution similaire.
Le Client s’engage à payer le prix des prestations dans le respect des délais prévus par le contrat.
Le Client s’engage à utiliser les Services uniquement pour des besoins internes du Client, sans communication ou mise à disposition des Informations à des tiers.
Toute autre utilisation est expressément réservée par le Prestataire, notamment toute extraction substantielle des Informations, toute reproduction, communication, distribution, vente, location des Informations à destination de tiers, toute adaptation ou traduction des Informations, toute utilisation des Informations sous forme de panoramas de presse, etc.
Toute utilisation non couverte par le présent Contrat peut, le cas échéant, faire l’objet d’une autorisation spécifique et expresse du Prestataire ou de ses ayants droit.
Chacune des parties s’engage à respecter la législation et la réglementation en vigueur applicables au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (règlement général sur la protection des données ou « RGPD ») applicable à compter du 25 mai 2018 et la loi française n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée (ci-après la « réglementation applicable sur la protection des données personnelles »). En ce sens, chacune des parties est libre de déterminer les finalités et les moyens des traitements qu’elles réalisent, et ce de manière autonome par rapport à l’autre, en tant que responsable de traitement au sens de la réglementation applicable sur la protection des données personnelles.
Les traitements visés par le présent article ont pour finalités :
Les données personnelles collectées concernent les interlocuteurs d’une partie impliqués dans l’exécution des présentes CGUV (notamment nom, prénom et adresse email). Ces données sont conservées pendant la durée strictement nécessaire à l’exécution du présent contrat. Le personnel de chaque partie, ses services chargés du contrôle (commissaire aux comptes notamment) et ses sous-traitants pourront avoir accès aux données à caractère personnel collectées. Ces traitements pourront donner lieu à l’exercice par les personnes concernées de leur droit :
Chacune des parties garantit l’autre d’avoir mis en œuvre les prérequis juridiques nécessaires au présent contrat et permettant la communication des données dans le respect de la réglementation applicable en matière de protection, en particulier notamment les formalités, l’information des personnes et le cas échéant le recueil de consentement lorsque celui-ci est nécessaire. Une partie n’intervient d’aucune manière dans les traitements réalisés et opérés par l’autre partie, sauf dans l’hypothèse d’une sous-traitance de traitement telle que visée au présent article « Données à caractère personnel ».
Chacune des parties est responsable de l’intégralité des obligations légales et réglementaires lui incombant au titre de la protection des données à caractère personnel. Une partie ne pourra pas être tenue pour responsable du manquement aux obligations auxquelles l’autre était astreinte à titre personnel. À ce titre, chacune des parties fait son affaire personnelle des éventuelles sanctions ou conséquences financières qu’elle pourrait supporter du fait de son absence de conformité à la réglementation relative à la protection des données.
Conformément à la réglementation applicable sur la protection des données, le Client est qualifié de « Responsable de traitement » et le Prestataire, qui est amené à traiter des données à caractère personnel pour le compte et sur les instructions du Client, est qualifié de « Sous-traitant ».
L’annexe « Données à caractère personnel » du présent contrat décrit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel traitées, ainsi que les catégories de personnes concernées par le traitement réalisé par le Prestataire pour le compte du Client dans le cadre du présent contrat.
Le Client, s’agissant des données à caractère personnel dont il est responsable et notamment celles auxquelles le Prestataire aurait accès au titre de l’exécution des présentes, est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Le Client s’engage en outre à :
Le Prestataire ne peut agir que sur instruction du Client et s’oblige à prendre toutes les mesures nécessaires au respect par elle-même et par son personnel de ces obligations et notamment, sauf instruction contraire du Client, à :
A cet égard, le Prestataire se réserve le droit de suspendre, sans aucune responsabilité de sa part, le traitement jusqu’à la modification par le Client de ladite instruction de manière à ce qu’elle ne viole plus ladite réglementation. Cette suspension ne donne lieu à aucun remboursement du prix des Services objets du présent contrat pour la période de suspension.
Les parties conviennent de définir la notion d’instruction comme étant acquise lorsque le Prestataire agit dans le cadre de l’exécution des présentes.
Le Prestataire veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité des données ou soient soumises à une obligation légale appropriée de confidentialité.
Le Prestataire s’engage, au regard de la nature des données et des risques présentés par le traitement, et compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, portée, contexte et finalité du traitement ainsi que des risques pour les droits et libertés des personnes physiques, à prendre les mesures techniques et organisationnelles appropriées pour préserver la sécurité des données et notamment empêcher toute déformation, altération, endommagement, destruction de manière fortuite ou illicite, perte, divulgation et/ou tout accès par des tiers non autorisés préalablement.
Il appartient au Client de s’assurer que les mesures de sécurité et de confidentialité offertes par le Prestataire sont en adéquation avec le niveau de précaution que le Client doit prendre au regard de son obligation de sécurité des données à caractère personnel dont il est responsable, et que les garanties présentées par le Prestataire à cet effet sont suffisantes.
Le Prestataire s’engage à maintenir les mesures de sécurité et de confidentialité des données tout au cours de l’exécution des présentes.
Le Prestataire s’engage à notifier au Client, dans les meilleurs délais après en avoir pris connaissance, toute violation de données à caractère personnel, soit toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.
Cette notification doit préciser, dans la mesure du possible, la nature et les conséquences de la violation des données, les mesures déjà prises ou celles qui sont proposées pour y remédier. Le Prestataire s’engage à collaborer activement avec le Client pour qu’ils soient en mesure de répondre à leurs obligations réglementaires et contractuelles. Il revient uniquement au Client, en tant que responsable du traitement, de notifier cette violation de données à l’autorité de contrôle compétente ainsi que, le cas échéant, à la personne concernée.
Le Prestataire fournit au Client une assistance raisonnable afin de permettre :
Le Client prendra à sa charge les coûts raisonnables occasionnés par cette assistance.
À la fin des prestations, le Prestataire devra restituer ou supprimer toutes données à caractère personnel à première demande du Client. Le Prestataire devra veiller à ne pas conserver de copie sauf dans les cas où la réglementation applicable sur les données personnelles l’exige.
Le Prestataire met à disposition du Client, sur demande de celui-ci, toutes les informations et tous les documents nécessaires pour démontrer le respect de ses obligations et pour permettre la réalisation d’audits. Le Client a ainsi la possibilité de procéder à des audits une (1) fois par an et à ses frais afin de vérifier la conformité du Prestataire aux obligations prévues dans le présent article. Le Client informera le Prestataire de la tenue de l’audit moyennant un préavis minimum de deux (2) semaines. Le Prestataire se réserve le droit de refuser l’identité de l’auditeur retenu s’il appartient à une société concurrente. L’audit devra être réalisé pendant les heures ouvrées du Prestataire et de manière à perturber le moins possible son activité. L’audit ne pourra ainsi porter atteinte de quelque façon que ce soit :
Dans la mesure du possible, les Parties conviendront à l’avance du périmètre de l’audit. Le rapport d’audit sera adressé au Prestataire afin de permettre à ce dernier de formuler ses observations ou remarques éventuelles par écrit, lesquelles seront annexées à la version finale du rapport d’audit. Chaque rapport d’audit sera considéré comme une information confidentielle.
Les Services ainsi que la documentation y afférente sont la propriété du Prestataire, conformément aux dispositions du Code de la propriété intellectuelle. Tous les éléments composant les Services, y compris les interfaces mises à la disposition du Client dans le cadre de l’exécution des présentes, les documentations et toutes autres informations remises par le Prestataire au Client sont et restent la propriété exclusive du Prestataire. En conséquence, le Client s’interdit tout agissement et tout acte susceptibles de porter atteinte directement ou non aux droits de propriété intellectuelle sur les applications informatiques, ainsi que, d’une manière générale, sur les marques associées.
Toute utilisation non expressément autorisée par le Prestataire au titre des présentes est illicite, conformément aux dispositions de l’article L.122-6 du Code de la propriété intellectuelle. Ainsi, il est notamment interdit au Client de procéder à :
Le Prestataire conservera la propriété des méthodes et du savoir-faire ou des outils qui lui sont propres ayant servi à exécuter les prestations.
Le Prestataire peut recourir à des sous-traitants dans le cadre de l’exécution des services, qui sont soumis aux mêmes obligations que les siennes dans le cadre de leur intervention.
Une Partie pourra utiliser le nom, le logo ou la marque de l’autre Partie dans un cadre promotionnel, notamment afin d’annoncer la conclusion du contrat, décrire de manière générale les Services, que ce soit dans sa documentation interne, commerciale ou promotionnelle, son site internet, lors de présentations ou de propositions commerciales. Cette utilisation est conditionnée au strict respect par la Partie utilisatrice de la charte graphique de l’autre Partie.
Dans le cadre des présentes, sont réputés confidentiels les Services du Prestataire, y inclus notamment les fonctionnalités proposées, le modèle de données, l’interface graphique, ainsi que les idées, principes, savoir-faire, méthodes à la base des Services, les algorithmes, l’organisation des données, la navigation, et tout autre élément inclus dans les Services, ci-après dénommés « les informations confidentielles ».
Le Client s’engage à ce que les informations confidentielles :
Le Client s’engage en outre à :
De son côté, le Prestataire s’engage à respecter la confidentialité des données du Client dans les conditions prévues au présent contrat et dans ses annexes.
Le Client s’engage vis-à-vis du Prestataire à ne pas développer, directement ou indirectement, un service identique ou similaire, concurrent, aux Services objet du présent contrat et ce pendant toute la durée du contrat et postérieurement à sa rupture, quelle qu’en soit la cause, pendant une durée d’un (1) an, sur le territoire de la France métropolitaine et des DOM-TOM. Les parties reconnaissent que la présente obligation n’est pas disproportionnée et correspond à la volonté expresse des parties.
En cas de violation de la présente obligation, le Client s’engage à verser au Prestataire une indemnité d’un montant de 100 000 euros. Cette indemnité est due, nonobstant les dommages et intérêts éventuels résultant du préjudice subi.
Le Prestataire peut modifier ses CGUV à tout moment et soit :
Les CGUV modifiées entrent en application lors du renouvellement du contrat.
Afin de mettre un terme à la fourniture des Services, le contrat doit être dénoncé au plus tard un (1) mois avant la prochaine date d’anniversaire du contrat, par :
Le Client n’a plus accès à son compte à compter de la fin des Services.
En cas de manquement par l’une des parties à quelconque obligation des présentes non réparée dans un délai de trente (30) jours à compter de l’envoi d’une lettre recommandée avec avis de réception notifiant le manquement en cause, l’autre partie pourra prononcer de plein droit la résiliation ou la résolution du contrat sans préjudice de tous dommages et intérêts auxquels elle pourrait prétendre en vertu des présentes.
En cas de résiliation anticipée du contrat, pour quelque raison que ce soit, la totalité des sommes réglées au Prestataire lui restera acquise.
En cas de cessation des relations contractuelles, pour quelque cause que ce soit, le Prestataire restituera dans un délai raisonnable au Client l’ensemble des informations confidentielles transmises par ce dernier dans le cadre des présentes et procédera à la destruction des données à caractère personnel confiées par le Client dans les conditions prévues en annexe « Données à caractère personnel ».
Dans ce cadre, l’accès distant au Tableau de Bord accordé au Client ne sera plus autorisé, et ce dernier s’engage à ne plus l’utiliser ou tenter de l’utiliser, y compris via ses Utilisateurs.
Conformément aux dispositions de l’article 1218 du Code civil, aucune partie ne pourra voir sa responsabilité engagée pour un défaut d’exécution de ses obligations contractuelles si ce défaut est dû à un évènement, indépendant de la volonté des parties et constitutif de force majeure. Le Prestataire se réserve le droit de suspendre immédiatement et sans préavis l'accès aux Services en cas de force majeure.
La responsabilité de l’une des parties ne pourra pas être mise en cause à la suite d’une inexécution de ses obligations en cas de force majeure.
Dans ces cas, la partie invoquant la force majeure devra en informer l'autre partie immédiatement. L’exécution du contrat sera alors suspendue jusqu’à la cessation de l’événement à l’origine de la force majeure. Les parties devront trouver d’un commun accord des solutions aux difficultés créées par la force majeure.
La force majeure correspond à tout événement empêchant inévitablement l'exécution de tout ou partie des obligations contractuelles, et dont la survenance échappe au contrôle de la partie qui en est victime. Sont notamment considérés comme cas de force majeure ou cas fortuits les événements suivants :
Les parties conviennent réciproquement que le fait pour l’une des parties de tolérer une situation n’a pas pour effet d’accorder à l’autre partie des droits acquis. De plus, une telle tolérance ne peut être interprétée comme une renonciation à faire valoir les droits en cause.
Les parties déclarent sincères les présents engagements. À ce titre, elles déclarent ne disposer d’aucun élément à leur connaissance qui, s’il avait été communiqué, aurait modifié le consentement de l’autre partie.
Les parties reconnaissent agir chacune pour leur propre compte comme des parties indépendantes l’une de l’autre et déclarent expressément qu’elles sont et demeureront, pendant toute la durée du présent contrat, des professionnels indépendants.
Les présentes CGUV ne constituent ni une association, ni une franchise, ni un mandat donné par l’une des parties à l’autre partie et ne sauraient en aucun cas être interprétées comme un contrat d’agence commerciale, ni de représentation quelconque. Aucune des parties ne peut prendre un engagement au nom et pour le compte de l’autre partie. En outre, chacune des parties demeure seule responsable de ses actes, allégations, engagements, prestations, produits et personnels.
Il est expressément entendu que la passation de la commande par le Client vaut acceptation pleine, entière et sans réserve par le Client des conditions générales d’utilisation et de vente. Si une ou plusieurs stipulations du présent contrat sont tenues pour non valides ou déclarées comme telles en application d’une loi, d’un règlement ou à la suite d’une décision passée en force de chose jugée d’une juridiction compétente, les autres stipulations garderont toute leur force et leur portée.
Les présentes CGUV annulent et remplacent tous quasi-contrats, engagements implicites et explicites, promesses ayant le même objet que les présentes. Toutefois, la présente clause n’a pas pour objet d’empêcher l’utilisation desdits documents mais d’évaluer sur le plan juridique la qualité des consentements échangés lors de la formation des présentes.
En cas de difficulté de toute nature et avant toute procédure juridictionnelle, chacune des parties s’engage à désigner deux personnes de sa société, de niveau « Direction générale ».
Ces personnes devront se réunir à l’initiative de la partie la plus diligente dans les huit jours à compter de la réception de la lettre de demande de réunion de conciliation.
L’ordre du jour est fixé par la partie qui prend l’initiative de la conciliation. Les décisions, si elles sont arrêtées d’un commun accord, ont valeur contractuelle.
Cette clause continue à s’appliquer malgré l’éventuelle nullité, résolution, résiliation ou d’anéantissement des présentes relations contractuelles.
Le présent contrat ne pourra faire l’objet d’une cession totale ou partielle, à titre onéreux ou gracieux, par l’une des parties, sans l’accord écrit et préalable de l’autre partie.
Pour l’exécution de la présente convention et sauf dispositions particulières, les parties conviennent de s’adresser toute correspondance à leur siège social respectif. Tout changement d’adresse devra être signalé à l’autre partie par lettre recommandée avec accusé de réception.
Le présent contrat est régi par la loi française. Il en est ainsi pour les règles de fond et les règles de forme et ce, nonobstant les lieux d’exécution des obligations substantielles ou accessoires.
Toutes les actions judiciaires entre les parties sont prescrites, sauf dispositions contraires d’ordre public, si elles n’ont été introduites dans un délai d’un (1) an à compter du terme de chacune des campagnes de tests menée par le Client au moyen des Services.
Le Client déclare avoir pris connaissance et accepté les présentes Conditions Générales d’Utilisation et de Vente.
La présente annexe fait partie intégrante du contrat et avec l’article « Données à caractère personnel » fait office de contrat écrit de traitement des données entre le Prestataire, sous-traitant de données à caractère personnel, et le Client, responsable du traitement. Le Prestataire est autorisé à traiter des données à caractère personnel pour le compte du Client dans le cadre de l’exécution des Services souscrits par le Client.
Le traitement de données à caractère personnel réalisé par le Prestataire a pour objet et finalité exclusif : la mise en œuvre des Services conformément aux présentes.
Les opérations réalisées sur ces données sont les suivantes :
Par principe, et sauf instruction contraire du Client, la durée du traitement réalisée par le Prestataire est limitée à la durée d’utilisation des Services, et ne peut en tout état de cause, excéder trois (3) mois à compter du terme des relations contractuelles s’agissant de la conservation puis de la destruction des données.
Les réponses identifiées en champ "password" sont immédiatement supprimées et ne sont donc pas sauvegardées.
Les données à caractère personnel traitées par le Prestataire concernent les catégories suivantes de données :
Les données à caractère personnel objet des traitements concernent les catégories suivantes de personnes : les Utilisateurs.
Le prix est défini dans le devis communiqué au Client. Les prix sont indiqués en euros, hors taxes. Les prestations sont assujetties à la TVA applicable au jour de la signature du Contrat. La facture sera adressée exclusivement sous format électronique par le Prestataire au Client par courriel. Les règlements seront effectués par le Client par virement bancaire.
Si le Client a bénéficié d’une Période d’Essai et souhaite continuer à bénéficier des Services proposés par le Prestataire après la fin de la Période d’Essai, le Client doit en informer le Prestataire pour obtenir un devis.
Le Client s'engage à payer l'intégralité de la somme définie sous 30 jours calendaires après le démarrage de l’exécution des Services.
En cas de défaut de paiement total ou partiel, le Client devra verser au Prestataire des pénalités de retard. Les pénalités de retard courent au jour suivant la date de règlement prévue dans le contrat. Les pénalités doivent être calculées sur le montant TTC des factures en retard de paiement. Le taux d’intérêt applicable est égal au taux directeur de la Banque Centrale Européenne, majoré de 10 points. Une indemnité de recouvrement de 40 euros sera également exigible en cas de retard de paiement.
Le Prestataire peut notamment suspendre de plein droit et sans préavis les Services en cas d’absence de règlement d’une facture par le Client.
