top of page

Conditions Générales d'utilisation et de vente de Lephish

La volonté de LEPHISH est d’établir une relation de partenariat avec ses Clients, dans le but de satisfaire au mieux de ses moyens leurs besoins. Les conditions générales d’utilisation et de vente reprises ci-dessous servent de cadre pour maintenir cette relation de partenariat.

Date de dernière mise à jour : 29 novembre 2023

1. ENTRE

La société LEPHISH, société par actions simplifiée unipersonnelle au capital de 1000 euros, immatriculée au Registre du Commerce et des Sociétés de PARIS sous le numéro 981454630, dont le siège social est situé au 60 rue François 1er, 75008, Paris, dont le numéro TVA intracommunautaire est FR03981454630, ci-après le « Prestataire », est une société spécialisée dans les Services et solutions de cybersécurité.

ET : Toute personne morale, utilisant les Services, tels que définis ci-après, qui sont proposés par le Prestataire, ci-après le « Client ».

2. PRÉAMBULE

Le Prestataire effectue pour le compte du Client des prestations (ci-après les « Services ») permettant de tester et de sensibiliser leurs utilisateurs du Système d’Information aux attaques informatiques de type phishing. Les Services comprennent l’envoi de tests de phishing, la sensibilisation aux bons comportements à adopter face à de telles attaques, et la mise à disposition de rapports.

3. DISPOSITIONS GÉNÉRALES APPLICABLES À TOUS LES PRODUITS ET SERVICES

1. Objet

Les présentes Conditions Générales d’Utilisation et de Vente (ci-après les « CGUV ») sont applicables aux prestations fournies par le Prestataire LEPHISH SASU (« le Prestataire »).

  • La réalisation de Campagnes de simulation de phishing automatisées

  • La sensibilisation et la formation en ligne à la cybersécurité de l’Utilisateur, dans le cas où celui-ci se serait fait piéger

  • La mise à disposition, aux collaborateurs autorisés par le Client, d'un tableau de bord en ligne détaillant les résultats des campagnes de simulation de phishing

Le Client peut également bénéficier, sur demande auprès de LEPHISH et sur devis, d'une prestation additionnelle de personnalisation des campagnes de simulation de phishing.

2. Définitions

  • Campagne de Simulation de Phishing : Désigne un scénario destiné à tester la résilience des Utilisateurs en situation de cyberattaques de type phishing, smishing ou tout autre type de campagne de test de type similaire. Une Campagne de Simulation de Phishing correspond à l’envoi d’une simulation par Utilisateur. Ces campagnes peuvent inclure des formulaires de connexion, des fichiers à télécharger par l’Utilisateur, des QR codes, ou toute autre technique liée au phishing. La Campagne de Simulation de Phishing inclut également un processus de formation de l’Utilisateur, dans le cas où celui-ci se serait fait piéger.

  • Client : Désigne la personne morale ou la personne physique, co-contractante de LEPHISH, intervenant dans le cadre de son activité professionnelle, commerciale, industrielle, artisanale ou libérale.

  • Contrat : Désigne l’ensemble contractuel composé des présentes CGUV, des Annexes et du Mandat SEPA si applicable.

  • Compte Client : Désigne le compte attribué à une personne physique habilitée par le Client et pour le compte du Client, donnant un accès personnel, confidentiel et non cessible au Tableau de Bord.

  • Documentation : Documentation de toute nature se rapportant aux Services, notamment aux conditions d’utilisation, à la description des fonctionnalités et, de façon générale, se rapportant aux informations techniques nécessaires ou utiles à leur utilisation, disponible sur le portail du Prestataire LePhish ou adressée par le Prestataire LePhish au Client.

  • Données Client : Ensemble des informations de toutes natures communiquées par le Client sous son entière responsabilité, hébergées par le Prestataire LePhish et destinées à être traitées dans le cadre de la mise en œuvre des Services.

  • Partie(s) : Désigne le Client et/ou le Prestataire.

  • Phishing : Une cyberattaque visant à compromettre un Utilisateur en le manipulant, dans le but :

    • d’obtenir ses données d’authentification à un produit ;

    • de le faire télécharger un logiciel malveillant ;

    • de récupérer des données confidentielles ;

    • de lui nuire ou de nuire à son employeur, de quelque manière que ce soit.

  • Prestataire : Désigne LEPHISH.

  • Services : Prestations réalisées par le Prestataire telles que visées à l’article « Objet ».

  • Tableau de Bord : Service électronique interactif mis en ligne sur internet par le Prestataire accessible à l’adresse https://admin.lephish.com et permettant au Client d’accéder aux résultats des Campagnes de Simulation de Phishing.

  • Utilisateur : Les collaborateurs du Client, qu’ils soient salariés ou Prestataires, qui ont été désignés par le Client pour faire l’objet d’une Campagne de Simulation de Phishing, dans le cadre de la mise en œuvre, par le Prestataire, des Services.

3. Lieu d'exécution des prestations

Les prestations objet du contrat seront exécutées à distance.

4. Période d’essai
4.1. Offre d'essai

Le Prestataire peut offrir au Client la possibilité de tester la Solution via l’envoi d’une campagne de simulation de Phishing.

4.2. Accès

Pendant cette période d essai, le Client aura accès à l ensemble des fonctionnalités de la Solution à l’exception du Tableau de Bord, sauf mention contraire précisée lors de l activation de la période d'essai.

4.3. Coût

La période d essai est offerte gratuitement, sauf si d'autres conditions financières ont été expressément convenues entre le Prestataire et le Client.

4.4. Fin de la période d'essai

À l expiration de la période d essai, l accès à la Solution sera automatiquement désactivé. L'Utilisateur devra alors souscrire à une offre payante pour continuer à utiliser la Solution.

4.5. Pas de renouvellement automatique

Sauf indication contraire, la période d'essai ne se transformera pas automatiquement en abonnement payant à la fin de celle-ci.

4.6. Résiliation

Le Client peut mettre fin à la période d'essai en contactant le service Client du Prestataire.

4.7. Limitation de responsabilité

Pendant la période d essai, la Solution est fournie "telle quelle". Le Prestataire ne saurait être tenu pour responsable des dysfonctionnements ou des limites rencontrées lors de cette période d'essai.

4.8. Autres dispositions

Toutes les autres clauses des présentes CGUV s appliquent également pendant la période d essai, sauf disposition contraire expressément mentionnée dans cet article.

5. Obligations du Prestataire

Le Prestataire s’engage à exécuter les prestations définies à l’article intitulé « Objet », ci-dessus, dans les délais et aux conditions prévues par les parties.

Le Client est informé que les Services pourront être ponctuellement suspendus sans préavis pour des opérations de maintenance et de mise à jour. Ces opérations seront autant que possible réalisées par le Prestataire en heures non ouvrées, pour limiter au maximum l’impact de celles-ci pour le Client.

Le Client est cependant informé que l’exécution des Services s effectue via le réseau Internet. Il est averti des aléas techniques qui peuvent affecter ce réseau et entraîner des ralentissements ou des indisponibilités rendant la connexion impossible. Le Prestataire ne peut être tenu responsable des difficultés d'accès aux Services dues à des perturbations du réseau internet.

Le Prestataire doit s’informer sur les besoins du Client, et lui apporter toute information sur les caractéristiques des prestations fournies.

6. Obligations du Client

Le Client doit fournir au Prestataire toute information pouvant contribuer à la bonne réalisation de l’objet du contrat.

Chaque personne physique désignée par le Client pour accéder au Tableau de Bord via son Compte Client est responsable de ses données d’authentification. Ces données d’authentification permettant d’accéder au Tableau de Bord du Client sont personnelles, individuelles, confidentielles et intransmissibles. Le Client s’engage à mettre tout en œuvre pour que ceux-ci ne soient pas divulgués sous quelque forme que ce soit à d’autres personnes que celles désignées. Le Client est entièrement responsable de l’utilisation et de la conservation de ces données d’authentification au Tableau de Bord. Le Client assume la responsabilité de la sécurité des postes individuels d’accès au Tableau de Bord. Le prêt, le partage, le transfert ou la vente de données d’authentification au Tableau de Bord sont interdits et ne seront pas opposables au Prestataire.

Le Client s’engage à informer sans délai le Prestataire de toute perte, vol ou utilisation non autorisée de données d’authentification de ses utilisateurs habilités à accéder au Tableau de Bord afin que le Prestataire puisse prendre sans délai toute mesure adaptée en vue d’y remédier.

Le Client s’engage à ne pas porter atteinte aux droits de propriété intellectuelle détenus par le Prestataire sur les Services.

Le Client s’engage à ne pas reconstituer ou tenter de reconstituer, à partir des Services, une solution visant à offrir directement ou indirectement, à titre gratuit ou onéreux, le même Service ou un service comparable à celui du Prestataire.

Le Client s’engage à ne pas diffuser ou vendre, de quelque manière que ce soit, des informations aux fins d’aider une personne physique ou morale à reconstituer, en tout ou partie, un service ou une solution similaire.

Le Client s’engage à payer le prix des prestations dans le respect des délais prévus par le contrat.

Le Client s’engage à utiliser les Services uniquement pour des besoins internes du Client, sans communication ou mise à disposition des Informations à des tiers.

Toute autre utilisation est expressément réservée par le Prestataire, notamment toute extraction substantielle des Informations, toute reproduction, communication, distribution, vente, location des Informations à destination de tiers, toute adaptation ou traduction des Informations, toute utilisation des Informations sous forme de panoramas de presse, etc.

Toute utilisation non couverte par le présent Contrat peut, le cas échéant, faire l’objet d’une autorisation spécifique et expresse du Prestataire ou de ses ayants droit.

7. Données à caractère personnel

7.1. Responsables de traitement disjoints

Chacune des parties s’engage à respecter la législation et la réglementation en vigueur applicables au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (règlement général sur la protection des données ou « RGPD ») applicable à compter du 25 mai 2018 et la loi française n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée (ci-après la « réglementation applicable sur la protection des données personnelles »). En ce sens, chacune des parties est libre de déterminer les finalités et les moyens des traitements qu’elles réalisent, et ce de manière autonome par rapport à l’autre, en tant que responsable de traitement au sens de la réglementation applicable sur la protection des données personnelles.

Les traitements visés par le présent article ont pour finalités :

  • Pour le Prestataire : la gestion des relations contractuelles avec le Client, la gestion de l’accès et de l’utilisation des Services par l’utilisateur du Client.

  • Pour le Client : la gestion des relations contractuelles avec le Prestataire, la réalisation de l’ensemble des traitements sur la base des résultats obtenus au moyen de la mise en œuvre des Services.

Les données personnelles collectées concernent les interlocuteurs d’une partie impliqués dans l’exécution des présentes CGUV (notamment nom, prénom et adresse email). Ces données sont conservées pendant la durée strictement nécessaire à l’exécution du présent contrat. Le personnel de chaque partie, ses services chargés du contrôle (commissaire aux comptes notamment) et ses sous-traitants pourront avoir accès aux données à caractère personnel collectées. Ces traitements pourront donner lieu à l’exercice par les personnes concernées de leur droit :

  • d’obtenir la communication et, le cas échéant, la rectification ou la suppression des données les concernant,

  • de demander l’effacement ou la limitation du traitement,

  • de s’opposer au traitement pour des motifs légitimes,

  • de demander la portabilité des données les concernant, afin de les récupérer et de les conserver, et

  • d’introduire une réclamation auprès d’une autorité de contrôle compétente.

Chacune des parties garantit l’autre d’avoir mis en œuvre les prérequis juridiques nécessaires au présent contrat et permettant la communication des données dans le respect de la réglementation applicable en matière de protection, en particulier notamment les formalités, l’information des personnes et le cas échéant le recueil de consentement lorsque celui-ci est nécessaire. Une partie n’intervient d’aucune manière dans les traitements réalisés et opérés par l’autre partie, sauf dans l’hypothèse d’une sous-traitance de traitement telle que visée au présent article « Données à caractère personnel ».

Chacune des parties est responsable de l’intégralité des obligations légales et réglementaires lui incombant au titre de la protection des données à caractère personnel. Une partie ne pourra pas être tenue pour responsable du manquement aux obligations auxquelles l’autre était astreinte à titre personnel. À ce titre, chacune des parties fait son affaire personnelle des éventuelles sanctions ou conséquences financières qu’elle pourrait supporter du fait de son absence de conformité à la réglementation relative à la protection des données.

7.2. Sous-traitance

Conformément à la réglementation applicable sur la protection des données, le Client est qualifié de « Responsable de traitement » et le Prestataire, qui est amené à traiter des données à caractère personnel pour le compte et sur les instructions du Client, est qualifié de « Sous-traitant ».

L’annexe « Données à caractère personnel » du présent contrat décrit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel traitées, ainsi que les catégories de personnes concernées par le traitement réalisé par le Prestataire pour le compte du Client dans le cadre du présent contrat.

Le Client, s’agissant des données à caractère personnel dont il est responsable et notamment celles auxquelles le Prestataire aurait accès au titre de l’exécution des présentes, est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Le Client s’engage en outre à :

  • documenter par écrit toute instruction concernant le traitement des données par le Prestataire ;

  • fournir au Prestataire les données personnelles visées dans l’annexe « Données à caractère personnel » du présent contrat, à l’exclusion de toute donnée personnelle non pertinente, disproportionnée ou non nécessaire, et à l’exclusion de toute donnée « particulière » au sens de la réglementation applicable sur la protection des données personnelles, sauf si les traitements le justifient, à charge pour le Client d’établir ces justifications et de prendre toutes mesures, notamment d’information préalable, de recueil de consentement et de sécurité, appropriées pour de telles données particulières ;

  • collecter sous sa responsabilité, de manière licite, loyale et transparente, les données personnelles fournies au Prestataire pour l’exécution de ses services, et en particulier, s’assurer de la base légale de cette collecte et de l’information due aux personnes concernées ;

  • veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par la réglementation applicable sur la protection des données personnelles et, plus généralement, à la loi applicable, notamment en matière de droit du travail ;

  • tenir un registre des traitements et plus généralement, respecter les principes issus de la Réglementation applicable.

Le Prestataire ne peut agir que sur instruction du Client et s’oblige à prendre toutes les mesures nécessaires au respect par elle-même et par son personnel de ces obligations et notamment, sauf instruction contraire du Client, à :

  • ne traiter les données personnelles qu’aux fins des finalités listées dans l’annexe « Données à caractère personnel » du présent contrat et conformément aux instructions documentées du Client, y compris en ce qui concerne le transfert des données en dehors de l’Union Européenne ;

  • ne pas divulguer, sous quelque forme que ce soit, tout ou partie des données concernées, sans l’accord préalable du Client ;

  • informer immédiatement le Client si, selon elle, une instruction constitue manifestement une violation de la réglementation applicable sur la protection des données personnelles.

A cet égard, le Prestataire se réserve le droit de suspendre, sans aucune responsabilité de sa part, le traitement jusqu’à la modification par le Client de ladite instruction de manière à ce qu’elle ne viole plus ladite réglementation. Cette suspension ne donne lieu à aucun remboursement du prix des Services objets du présent contrat pour la période de suspension.

Les parties conviennent de définir la notion d’instruction comme étant acquise lorsque le Prestataire agit dans le cadre de l’exécution des présentes.

Le Prestataire veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité des données ou soient soumises à une obligation légale appropriée de confidentialité.

Le Prestataire s’engage, au regard de la nature des données et des risques présentés par le traitement, et compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, portée, contexte et finalité du traitement ainsi que des risques pour les droits et libertés des personnes physiques, à prendre les mesures techniques et organisationnelles appropriées pour préserver la sécurité des données et notamment empêcher toute déformation, altération, endommagement, destruction de manière fortuite ou illicite, perte, divulgation et/ou tout accès par des tiers non autorisés préalablement.

Il appartient au Client de s’assurer que les mesures de sécurité et de confidentialité offertes par le Prestataire sont en adéquation avec le niveau de précaution que le Client doit prendre au regard de son obligation de sécurité des données à caractère personnel dont il est responsable, et que les garanties présentées par le Prestataire à cet effet sont suffisantes.

Le Prestataire s’engage à maintenir les mesures de sécurité et de confidentialité des données tout au cours de l’exécution des présentes.

Le Prestataire s’engage à notifier au Client, dans les meilleurs délais après en avoir pris connaissance, toute violation de données à caractère personnel, soit toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Cette notification doit préciser, dans la mesure du possible, la nature et les conséquences de la violation des données, les mesures déjà prises ou celles qui sont proposées pour y remédier. Le Prestataire s’engage à collaborer activement avec le Client pour qu’ils soient en mesure de répondre à leurs obligations réglementaires et contractuelles. Il revient uniquement au Client, en tant que responsable du traitement, de notifier cette violation de données à l’autorité de contrôle compétente ainsi que, le cas échéant, à la personne concernée.

Le Prestataire fournit au Client une assistance raisonnable afin de permettre :

  • la gestion des demandes des personnes concernées par les traitements tendant à l’exercice de leurs droits ;

  • la réalisation de toute analyse d’impact que le Client déciderait d’effectuer, afin d’évaluer les risques qu’un traitement fait peser sur les droits et libertés des personnes et d’identifier les mesures à mettre en œuvre pour faire face à ces risques, et la consultation de l’autorité de contrôle ;

  • plus généralement, le respect des obligations pesant sur le Client au regard de la réglementation applicable sur la protection des données personnelles, telles que notamment ses obligations de notification à l’autorité de contrôle et de communication d’une violation de données aux personnes concernées.

Le Client prendra à sa charge les coûts raisonnables occasionnés par cette assistance.

À la fin des prestations, le Prestataire devra restituer ou supprimer toutes données à caractère personnel à première demande du Client. Le Prestataire devra veiller à ne pas conserver de copie sauf dans les cas où la réglementation applicable sur les données personnelles l’exige.

Le Prestataire met à disposition du Client, sur demande de celui-ci, toutes les informations et tous les documents nécessaires pour démontrer le respect de ses obligations et pour permettre la réalisation d’audits. Le Client a ainsi la possibilité de procéder à des audits une (1) fois par an et à ses frais afin de vérifier la conformité du Prestataire aux obligations prévues dans le présent article. Le Client informera le Prestataire de la tenue de l’audit moyennant un préavis minimum de deux (2) semaines. Le Prestataire se réserve le droit de refuser l’identité de l’auditeur retenu s’il appartient à une société concurrente. L’audit devra être réalisé pendant les heures ouvrées du Prestataire et de manière à perturber le moins possible son activité. L’audit ne pourra ainsi porter atteinte de quelque façon que ce soit :

  • aux mesures techniques et organisationnelles de sécurité déployées par le Prestataire,

  • à la sécurité et la confidentialité des données des autres Clients du Prestataire, et

  • au bon fonctionnement et à l’organisation de la production du Prestataire.

Dans la mesure du possible, les Parties conviendront à l’avance du périmètre de l’audit. Le rapport d’audit sera adressé au Prestataire afin de permettre à ce dernier de formuler ses observations ou remarques éventuelles par écrit, lesquelles seront annexées à la version finale du rapport d’audit. Chaque rapport d’audit sera considéré comme une information confidentielle.

8. Propriété

8.1. Propriété des services

Les Services ainsi que la documentation y afférente sont la propriété du Prestataire, conformément aux dispositions du Code de la propriété intellectuelle. Tous les éléments composant les Services, y compris les interfaces mises à la disposition du Client dans le cadre de l’exécution des présentes, les documentations et toutes autres informations remises par le Prestataire au Client sont et restent la propriété exclusive du Prestataire. En conséquence, le Client s’interdit tout agissement et tout acte susceptibles de porter atteinte directement ou non aux droits de propriété intellectuelle sur les applications informatiques, ainsi que, d’une manière générale, sur les marques associées.

Toute utilisation non expressément autorisée par le Prestataire au titre des présentes est illicite, conformément aux dispositions de l’article L.122-6 du Code de la propriété intellectuelle. Ainsi, il est notamment interdit au Client de procéder à :

  • toute représentation, diffusion ou distribution des Services, que ce soit à titre onéreux ou gracieux et notamment toute mise en réseau ;

  • toute forme d’utilisation des Services, de quelque façon que ce soit, aux fins de conception, de réalisation, de diffusion ou de commercialisation de services ou portails similaires, équivalents de substitution ;

  • l’adaptation, la modification, la transformation, l’arrangement des Services, pour quelque raison que ce soit, y compris pour corriger des erreurs ;

  • toute transcription directe ou indirecte, toute traduction dans d’autres langues des Services ;

  • toute utilisation pour un traitement non autorisé par le Prestataire ;

  • toute modification ou contournement du code de protection tel que, notamment, les codes d’accès ou identifiant.

8.2. Savoir-faire

Le Prestataire conservera la propriété des méthodes et du savoir-faire ou des outils qui lui sont propres ayant servi à exécuter les prestations.

9. Sous-traitance

Le Prestataire peut recourir à des sous-traitants dans le cadre de l’exécution des services, qui sont soumis aux mêmes obligations que les siennes dans le cadre de leur intervention.

10. Marques

Une Partie pourra utiliser le nom, le logo ou la marque de l’autre Partie dans un cadre promotionnel, notamment afin d’annoncer la conclusion du contrat, décrire de manière générale les Services, que ce soit dans sa documentation interne, commerciale ou promotionnelle, son site internet, lors de présentations ou de propositions commerciales. Cette utilisation est conditionnée au strict respect par la Partie utilisatrice de la charte graphique de l’autre Partie.

11. Confidentialité

Dans le cadre des présentes, sont réputés confidentiels les Services du Prestataire, y inclus notamment les fonctionnalités proposées, le modèle de données, l’interface graphique, ainsi que les idées, principes, savoir-faire, méthodes à la base des Services, les algorithmes, l’organisation des données, la navigation, et tout autre élément inclus dans les Services, ci-après dénommés « les informations confidentielles ».

Le Client s’engage à ce que les informations confidentielles :

  • soient protégées et gardées strictement confidentielles ;

  • soient traitées avec le même degré de protection qu’il accorde à ses propres informations confidentielles de même importance ;

  • ne soient pas divulguées, ni susceptibles de l’être directement ou indirectement à tout tiers ;

  • ne soient divulguées de manière interne qu’aux seuls membres de son personnel ayant à en connaître le contenu ;

  • ne soient utilisées que dans le cadre de l’exécution du présent contrat exclusivement et ne soient jamais utilisées aux fins de créer un service concurrent ou similaire ;

  • ne soient ni copiées, ni reproduites, ni dupliquées totalement ou partiellement.

Le Client s’engage en outre à :

  • ne pas porter atteinte, en aucune façon, au droit de propriété intellectuelle ;

  • maintenir les formules de copyright et autres mentions en droit de propriété figurant sur les différents éléments et documents communiqués, qu’il s’agisse d’originaux ou de copies.

De son côté, le Prestataire s’engage à respecter la confidentialité des données du Client dans les conditions prévues au présent contrat et dans ses annexes.

12. Non-concurrence

Le Client s’engage vis-à-vis du Prestataire à ne pas développer, directement ou indirectement, un service identique ou similaire, concurrent, aux Services objet du présent contrat et ce pendant toute la durée du contrat et postérieurement à sa rupture, quelle qu’en soit la cause, pendant une durée d’un (1) an, sur le territoire de la France métropolitaine et des DOM-TOM. Les parties reconnaissent que la présente obligation n’est pas disproportionnée et correspond à la volonté expresse des parties.

En cas de violation de la présente obligation, le Client s’engage à verser au Prestataire une indemnité d’un montant de 100 000 euros. Cette indemnité est due, nonobstant les dommages et intérêts éventuels résultant du préjudice subi.

13. Modification des CGUV

Le Prestataire peut modifier ses CGUV à tout moment et soit :

  • en informera le Client par tout moyen écrit (et notamment par email) ;

  • mettra la version modifiée en ligne sur son site, www.lephish.com.

Les CGUV modifiées entrent en application lors du renouvellement du contrat.

14. Fin des Services

Afin de mettre un terme à la fourniture des Services, le contrat doit être dénoncé au plus tard un (1) mois avant la prochaine date d’anniversaire du contrat, par :

  • le Client, en adressant une lettre recommandée avec avis de réception au Prestataire en ce sens, à l’adresse indiquée en préambule des présentes ;

  • le Prestataire, en adressant un email au Client.

Le Client n’a plus accès à son compte à compter de la fin des Services.

15. Résolution-Résiliation

En cas de manquement par l’une des parties à quelconque obligation des présentes non réparée dans un délai de trente (30) jours à compter de l’envoi d’une lettre recommandée avec avis de réception notifiant le manquement en cause, l’autre partie pourra prononcer de plein droit la résiliation ou la résolution du contrat sans préjudice de tous dommages et intérêts auxquels elle pourrait prétendre en vertu des présentes.

En cas de résiliation anticipée du contrat, pour quelque raison que ce soit, la totalité des sommes réglées au Prestataire lui restera acquise.

16. Réversibilité

En cas de cessation des relations contractuelles, pour quelque cause que ce soit, le Prestataire restituera dans un délai raisonnable au Client l’ensemble des informations confidentielles transmises par ce dernier dans le cadre des présentes et procédera à la destruction des données à caractère personnel confiées par le Client dans les conditions prévues en annexe « Données à caractère personnel ».

Dans ce cadre, l’accès distant au Tableau de Bord accordé au Client ne sera plus autorisé, et ce dernier s’engage à ne plus l’utiliser ou tenter de l’utiliser, y compris via ses Utilisateurs.

17. Force majeure

Conformément aux dispositions de l’article 1218 du Code civil, aucune partie ne pourra voir sa responsabilité engagée pour un défaut d’exécution de ses obligations contractuelles si ce défaut est dû à un évènement, indépendant de la volonté des parties et constitutif de force majeure. Le Prestataire se réserve le droit de suspendre immédiatement et sans préavis l'accès aux Services en cas de force majeure.

La responsabilité de l’une des parties ne pourra pas être mise en cause à la suite d’une inexécution de ses obligations en cas de force majeure.

Dans ces cas, la partie invoquant la force majeure devra en informer l'autre partie immédiatement. L’exécution du contrat sera alors suspendue jusqu’à la cessation de l’événement à l’origine de la force majeure. Les parties devront trouver d’un commun accord des solutions aux difficultés créées par la force majeure.

La force majeure correspond à tout événement empêchant inévitablement l'exécution de tout ou partie des obligations contractuelles, et dont la survenance échappe au contrôle de la partie qui en est victime. Sont notamment considérés comme cas de force majeure ou cas fortuits les événements suivants :

  • la guerre, l’émeute, l’état d’urgence de toutes natures et notamment sanitaire ou environnemental, l’incendie, les pandémies, les grèves internes ou externes, lock-out, occupation des locaux, intempéries, tremblement de terre, inondation, dégât des eaux, explosion chimique et situation d’air gravement pollué mettant en danger les personnes physiques et les animaux,

  • restrictions légales ou gouvernementales, modifications légales ou réglementaires des formes de commercialisation, les accidents de toutes natures, épidémie, pandémie, maladie touchant plus de 10% du personnel dans une période de deux mois consécutifs,

  • l’absence de fourniture d’énergie, l’arrêt partiel ou total du réseau Internet, le cryptage des données résultant d‘une fraude informatique et, de manière plus générale, des réseaux de télécommunications privés ou publics, les blocages de routes et les impossibilités d’approvisionnement en fournitures et tout autre cas indépendant de la volonté expresse des parties empêchant l’exécution normale de la présente convention.

18. Tolérance

Les parties conviennent réciproquement que le fait pour l’une des parties de tolérer une situation n’a pas pour effet d’accorder à l’autre partie des droits acquis. De plus, une telle tolérance ne peut être interprétée comme une renonciation à faire valoir les droits en cause.

19. Sincérité

Les parties déclarent sincères les présents engagements. À ce titre, elles déclarent ne disposer d’aucun élément à leur connaissance qui, s’il avait été communiqué, aurait modifié le consentement de l’autre partie.

20. Indépendance des parties

Les parties reconnaissent agir chacune pour leur propre compte comme des parties indépendantes l’une de l’autre et déclarent expressément qu’elles sont et demeureront, pendant toute la durée du présent contrat, des professionnels indépendants.

Les présentes CGUV ne constituent ni une association, ni une franchise, ni un mandat donné par l’une des parties à l’autre partie et ne sauraient en aucun cas être interprétées comme un contrat d’agence commerciale, ni de représentation quelconque. Aucune des parties ne peut prendre un engagement au nom et pour le compte de l’autre partie. En outre, chacune des parties demeure seule responsable de ses actes, allégations, engagements, prestations, produits et personnels.

21. Opposabilité

Il est expressément entendu que la passation de la commande par le Client vaut acceptation pleine, entière et sans réserve par le Client des conditions générales d’utilisation et de vente. Si une ou plusieurs stipulations du présent contrat sont tenues pour non valides ou déclarées comme telles en application d’une loi, d’un règlement ou à la suite d’une décision passée en force de chose jugée d’une juridiction compétente, les autres stipulations garderont toute leur force et leur portée.

22. Intégralité

Les présentes CGUV annulent et remplacent tous quasi-contrats, engagements implicites et explicites, promesses ayant le même objet que les présentes. Toutefois, la présente clause n’a pas pour objet d’empêcher l’utilisation desdits documents mais d’évaluer sur le plan juridique la qualité des consentements échangés lors de la formation des présentes.

23. Conciliation

En cas de difficulté de toute nature et avant toute procédure juridictionnelle, chacune des parties s’engage à désigner deux personnes de sa société, de niveau « Direction générale ».

Ces personnes devront se réunir à l’initiative de la partie la plus diligente dans les huit jours à compter de la réception de la lettre de demande de réunion de conciliation.

L’ordre du jour est fixé par la partie qui prend l’initiative de la conciliation. Les décisions, si elles sont arrêtées d’un commun accord, ont valeur contractuelle.

Cette clause continue à s’appliquer malgré l’éventuelle nullité, résolution, résiliation ou d’anéantissement des présentes relations contractuelles.

24. Cession du contrat

Le présent contrat ne pourra faire l’objet d’une cession totale ou partielle, à titre onéreux ou gracieux, par l’une des parties, sans l’accord écrit et préalable de l’autre partie.

25. Domiciliation

Pour l’exécution de la présente convention et sauf dispositions particulières, les parties conviennent de s’adresser toute correspondance à leur siège social respectif. Tout changement d’adresse devra être signalé à l’autre partie par lettre recommandée avec accusé de réception.

26. Loi applicable

Le présent contrat est régi par la loi française. Il en est ainsi pour les règles de fond et les règles de forme et ce, nonobstant les lieux d’exécution des obligations substantielles ou accessoires.

27. Prescription

Toutes les actions judiciaires entre les parties sont prescrites, sauf dispositions contraires d’ordre public, si elles n’ont été introduites dans un délai d’un (1) an à compter du terme de chacune des campagnes de tests menée par le Client au moyen des Services.

28. Liste des annexes

  • Annexe 1 : Engagements de niveaux de services

  • Annexe 2 : Données à caractère personnel

  • Annexe 3 : Conditions financières

Le Client déclare avoir pris connaissance et accepté les présentes Conditions Générales d’Utilisation et de Vente.

Annexe 1 : Engagements de niveaux de services

1. Disponibilité

  • Taux mensuel minimal de disponibilité des services en heures ouvrées : 95% (hors maintenance).

  • Plage horaire de disponibilité : 24h/24 – 7j/ 7 (hors maintenance).

2. Assistance

  • Adresse email de l’assistance du Prestataire : support@lephish.com

  • Heures ouvrées : Du lundi au vendredi (hors jours fériés), de 10h à 18h.

  • Délai de prise en charge de la demande : 4h à compter de la réception de la demande à l’adresse email précisée ci-dessus.

Annexe 2 : Données à caractère personnel

La présente annexe fait partie intégrante du contrat et avec l’article « Données à caractère personnel » fait office de contrat écrit de traitement des données entre le Prestataire, sous-traitant de données à caractère personnel, et le Client, responsable du traitement. Le Prestataire est autorisé à traiter des données à caractère personnel pour le compte du Client dans le cadre de l’exécution des Services souscrits par le Client.

Objet et finalités

Le traitement de données à caractère personnel réalisé par le Prestataire a pour objet et finalité exclusif : la mise en œuvre des Services conformément aux présentes.

Nature

Les opérations réalisées sur ces données sont les suivantes :

  • le lancement des campagnes de simulation de phishing, qui sont réalisées au travers de l’envoi d’emails aux adresses emails professionnelles des Utilisateurs ;

  • la conservation des données sur des serveurs externalisés ;

  • la destruction des données ;

  • la structuration de la donnée de manière à déduire le niveau de sécurité face au risque de phishing ;

  • l’extraction de la donnée pour éditer des rapports exploitables par le Client ;

  • la création de rapports, notamment mis à disposition sur le Tableau de Bord, permettant d’évaluer le niveau de sécurité face au risque de phishing.

Durée

Par principe, et sauf instruction contraire du Client, la durée du traitement réalisée par le Prestataire est limitée à la durée d’utilisation des Services, et ne peut en tout état de cause, excéder trois (3) mois à compter du terme des relations contractuelles s’agissant de la conservation puis de la destruction des données.

Les réponses identifiées en champ "password" sont immédiatement supprimées et ne sont donc pas sauvegardées.

Type de données

Les données à caractère personnel traitées par le Prestataire concernent les catégories suivantes de données :

  • les données relatives à l’identité des destinataires : nom, prénom ;

  • les données relatives à la vie professionnelle des destinataires : adresse email professionnelle ;

  • les réponses aux questions des éventuels formulaires en fonction du scénario de phishing.

Catégories de personnes concernées

Les données à caractère personnel objet des traitements concernent les catégories suivantes de personnes : les Utilisateurs.

Annexe 3 : Conditions financières

1. Prix

Le prix est défini dans le devis communiqué au Client. Les prix sont indiqués en euros, hors taxes. Les prestations sont assujetties à la TVA applicable au jour de la signature du Contrat. La facture sera adressée exclusivement sous format électronique par le Prestataire au Client par courriel. Les règlements seront effectués par le Client par virement bancaire.

Si le Client a bénéficié d’une Période d’Essai et souhaite continuer à bénéficier des Services proposés par le Prestataire après la fin de la Période d’Essai, le Client doit en informer le Prestataire pour obtenir un devis.

2. Facturation
2.1. Délai de paiement

Le Client s'engage à payer l'intégralité de la somme définie sous 30 jours calendaires après le démarrage de l’exécution des Services.

2.2. Pénalités de retard de paiement

En cas de défaut de paiement total ou partiel, le Client devra verser au Prestataire des pénalités de retard. Les pénalités de retard courent au jour suivant la date de règlement prévue dans le contrat. Les pénalités doivent être calculées sur le montant TTC des factures en retard de paiement. Le taux d’intérêt applicable est égal au taux directeur de la Banque Centrale Européenne, majoré de 10 points. Une indemnité de recouvrement de 40 euros sera également exigible en cas de retard de paiement.

Le Prestataire peut notamment suspendre de plein droit et sans préavis les Services en cas d’absence de règlement d’une facture par le Client.

bottom of page