Etant préalablement rappelé

Etant préalablement rappelé L’Editeur (Harfanglab SAS – RCS n° 839 045 697) a développé un logiciel de détection, d’investigation et de remédiation des cyberattaques (le “Logiciel”). La solution se compose d’agents logiciels (les « Agents »), déployés sur les terminaux (serveurs et/ou postes de travail) du système informatique du client. Les agents dialoguent avec un manageur central (le « Manager ») qui envoie des ordres et stocke les données remontées par les Agents. Le Manager permet d’opérer les modules de détection, d’investigation et de remédiation. Des algorithmes et des moteurs de détection, intégrés au Logiciel et mis à jour par l’Editeur, identifient les comportements et artefacts suspects et génèrent, le cas échéant, des alertes. Le Logiciel intègre également des fonctions de remédiation pour neutraliser la menace et empêcher sa propagation. Le Manager peut s’interfacer avec d’autres logiciels via des connecteurs (API). Ceci étant rappelé, les parties conviennent de ce qui suit :

1. Définition

Les termes commençant par une majuscule ont soit la définition qui leur est donnée dans le texte soit la définition suivante :

  • Exploitant : désigne l’entité juridique en charge de l’exploitation du Logiciel à savoir soit (i) le Partenaire, si celui-ci délivre, en complément de la distribution du Logiciel, une prestation de CSIRT ou de SOC, soit (ii) le Client, lorsque ce dernier exploite le Logiciel directement, soit (iii) le prestataire de sécurité du Client.
  • Documentation : désigne les manuels d’installation, d’utilisation et d’administration, quel que soit leur support, décrivant le fonctionnement et/ou la mise en œuvre du Logiciel, communiqué ou mis à disposition par l’Éditeur et susceptibles de faire l’objet de mises à jour par l’Éditeur.
  • Logiciel : désigne les Agents et le Manager sous forme de code objet ainsi que tous leurs patchs, correctifs, améliorations, mises à jour ou versions fournis par l’Éditeur.
  • Maintenance : désigne la fourniture de correction des Anomalies et de mises à jour du Logiciel par l’Éditeur dont les conditions sont précisées aux présentes.
  • Mode de déploiement : désigne l’environnement sur lequel le Manager est installé et la façon dont le Logiciel est déployé, à savoir (i) soit depuis le cloud de l’Éditeur ou (ii) soit on-premises que ce soit dans l’infrastructure du Partenaire, du Client ou d’un prestataire tiers du Client.
  • Partenaire : désigne l’entité juridique ayant conclu un contrat de partenariat avec l’Éditeur pour la distribution du Logiciel.
  • Prérequis : désigne la configuration matérielle, logicielle et en termes de connexion minimale du système d’information du Client et les informations à fournir à l’Editeur nécessaires notamment à l’installation, à la configuration, et au bon fonctionnement du Logiciel
  • Redevance : désigne le montant payable au titre de de la Licence d’Utilisation du Logiciel, de la Maintenance et du Support pour une durée de douze (12) mois.
  • Support : désigne le service d’assistance technique de l’Éditeur, ayant pour but de répondre aux problèmes rencontrés par les Utilisateurs à l’utilisation du Logiciel, de les accompagner et de fournir une base de connaissance dont les conditions sont précisées aux présentes.
  • Utilisateur : désigne la ou les personne(s) salariée(s) de l’Exploitant qui utilise tout ou partie du Logiciel dans le cadre de ses activités de supervision et / ou de réponse à incident.
  • Client : désigne l’entité juridique au profit de laquelle le Logiciel est utilisé et au sein de laquelle les Agents sont installés.
  • Administrateur(s) : désigne(nt) la ou les personnes salariées du Client interlocutrices de l’Éditeur pour les activités de Maintenance ou de Support.
  • Anomalie : désigne toute panne, blocage, dysfonctionnement ou incident, reproductible, dont la correction est nécessaire car empêchant ou restreignant l’utilisation normale du Logiciel selon les niveaux suivants : o Une anomalie est classée comme « Bloquante » lorsque le Manager est indisponible, l’Agent ne démarre pas ou provoque une erreur critique du système d’exploitation du terminal. o Une anomalie est classée « Non-Bloquante » lorsqu’elle induit une perturbation dans l’utilisation du Logiciel sans empêcher la supervision de sécurité.
  • DPI : désigne, sans que cette liste soit limitative, tout droit de propriété intellectuelle ou droit de toute nature et tous ses démembrements ainsi que tout objet de ces droits, en ce inclus notamment tout brevet, invention, marque, nom commercial, topographie, dessins, modèles, base de données, droit d’auteur, droit sui generis, savoir-faire, que ces droits soient enregistrés ou non, ainsi que toute demande d’enregistrement ou dépôts les concernant.
  • Incident de Production : désigne une situation où le Logiciel n’est plus accessible de manière nominale du fait soit (i) d’une erreur de configuration du Logiciel et/ou de ses dépendances, (ii) du non-respect des Prérequis, (iii) d’un défaut de supervision et de gestion des ressources utilisées par le Logiciel, ou (iv) d’une panne matérielle, d’un équipement du réseau ou d’un serveur.
  • Open Source : désigne les développements informatiques inclus dans les bibliothèques du Logiciel qui sont fournis au Client dans le cadre d’une licence « Open Source ».
  • Prérequis : désigne la configuration matérielle, logicielle et en termes de connexion minimale du système d’information du Client et les informations à fournir à l’Éditeur nécessaires notamment à l’installation, à la configuration, et au bon fonctionnement du Logiciel.
  • Terminaux : désigne les serveurs et/ou poste de travail du Client sur lesquels les Agents sont installés.

2. Objet des Condition Générales

Les présentes Conditions Générales de l’Éditeur (« CGE ») ont notamment pour objet de définir les conditions applicables (i) aux types de licences (« Licence ») pouvant être consenties par l’Editeur sur le Logiciel, et (ii) à la fourniture du Support, de la Maintenance et le cas échéant à l’hébergement sur le Cloud Éditeur.

3. Droits consentis selon le type de Licence

En fonction du type de Licence prévue et/ou sélectionnée par le Client, et convenue avec l’Editeur, ce dernier concède au Client les droits suivants, sous réserves des limitations prévues au présent article :

  • Licence d’Utilisation : L’Éditeur concède au Client, à titre non-exclusif, personnel et incessible, un droit d’utilisation du Logiciel pour un usage interne et pour le périmètre et la durée convenus dans le contrat concerné. L’Exploitant est autorisé à accéder et utiliser le Logiciel pour le compte du Client lorsqu’il assure pour le Client une prestation de supervision (SOC) dans les conditions et selon les modalités susvisées. Le Manager peut être installé, selon le Mode de Déploiement (ii) soit dans le Cloud de l’Éditeur, (ii) soit On-premises.
  • Licence CSIRT : L’Éditeur concède au Client, à titre non-exclusif, personnel et incessible, un droit d’utilisation du Logiciel aux fins de résoudre des incidents de sécurité dont il est l’objet, et à l’exclusion de toute autre finalité, pour le périmètre du contrat et pour une durée de trois (3) mois. L’Exploitant est autorisé à accéder et à utiliser le Logiciel à titre non-exclusif, personnel et incessible, pour un usage interne et pour une durée de trois (3) mois à compter de sa mise à disposition. Si la mission de réponse à l’incident n’est pas terminée au terme du délai initial de trois (3) mois, les droits d’utilisation sont prorogés pour une durée d’un (1) mois supplémentaire.
  • Licence d’Évaluation : Préalablement à la conclusion d’un contrat de licence d’utilisation du Logiciel, et à la seule fin de permettre au Client d’évaluer l’adéquation du Logiciel à ses besoins (« Evaluation »), l’Éditeur concède au Client un droit d’utilisation du Logiciel à des fins d’Évaluation à titre non-exclusif, personnel et incessible, pour un usage interne, pour un maximum de 200 Terminaux et pour une durée de deux (2) mois à compter de sa mise à disposition, dans le pays où est domicilié le Client (c’est-à-dire le lieu où les Agents sont installés).

En fonction du type de Licence prévue et/ou sélectionnée par le Partenaire, et convenu avec l’Editeur, ce dernier concède au Partenaire les droits suivants, sous réserves des limitations prévues au présent article :

  • Licence d’Évaluation : Préalablement à la conclusion d’un contrat de partenariat, et à la seule fin de permettre au Partenaire d’évaluer l’adéquation du Logiciel aux besoins de ses clients et/ou prospects (« Evaluation ») l’Éditeur concède au Partenaire une licence d’utilisation du Logiciel à des fins d’Évaluation à titre non-exclusif, personnel et incessible, pour un maximum de 200 Terminaux et pour une durée de deux (2) mois à compter de la mise à disposition, dans le pays où est domicilié le Partenaire (c’est-à-dire le lieu où les Agents sont installés).
  • Licence de Démonstration : Dans le cadre de la distribution du Logiciel, le Partenaire peut présenter des scénarios d’utilisation du Logiciel à des prospects (« Démonstration »). L’Éditeur consent au Partenaire, à titre non-exclusif, personnel et incessible une licence à la seule fin de réaliser des démonstrations au profit de ses clients et prospects pour un maximum de 200 Terminaux et pour la durée du contrat.

Dans le cadre de la Licence d’Évaluation et de la Licence de Démonstration, et dans les limites prévues par le droit applicable, le Logiciel, la Documentation et les services sont fournis tels quels sans aucunes garanties, y compris celles prévues aux présentes.

Limites : Quel que soit le type de licence consentie, le Client, le Partenaire, et l’Exploitant le cas échéant, reconnaissent que l’Éditeur ne consent aucun droit de propriété sur le Logiciel, les DPI ou les Open Source mais uniquement le droit de les utiliser conformément à la Licence qui leur est accordée. Le droit d’utiliser les Open Source découle de la licence open source applicable au logiciel concerné. Les informations relatives aux Open Source pourront être fournies sur demande écrite du Client ou du Partenaire. Le Client, le Partenaire et l’Exploitant le cas échéant, s’engagent en conséquence à ne pas porter atteinte aux DPI afférents et s’interdisent, sans que cette liste soit limitative et sauf à avoir obtenu une autorisation expresse de l’Éditeur, les comportements suivants :

  • Décompiler, désassembler ou encore procéder au « reverse engineering » du Logiciel sauf à des fins d’interopérabilité et dans les conditions prévues à l’article L. 122-6-1 du Code de la Propriété Intellectuelle, uniquement après avoir demandé préalablement par écrit à l’Éditeur les informations nécessaires et seulement dans le cas où l’Éditeur aura refusé de les communiquer ;
  • Tenter de découvrir la structure du code source ou tout autre mécanisme opérationnel du Logiciel ;
  • Reproduire le Logiciel autrement que pour réaliser une seule copie identique à des fins de sauvegarde dans un souci de sécurité conformément aux dispositions du Code de la Propriété Intellectuelle ;
  • Modifier, corriger, traduire, arranger, adapter tout ou partie du Logiciel ou créer des œuvres dérivées à partir du Logiciel ou extraire et réutiliser une partie qualitativement ou quantitativement substantielle du Logiciel ;
  • Commercialiser, sous-licencier, distribuer, transférer, transmettre les droits, louer, nantir, diffuser ou mettre à disposition le Logiciel par quelque moyen que ce soit ou de copier tout ou partie du Logiciel sur quelque réseau public ou privé que ce soit autrement que dans les conditions prévues par le présent contrat ;
  • D’enlever ou de supprimer toute mention relative aux DPI de l’Éditeur sur le Logiciel ou tout packaging ou support physique du Logiciel ou de la Documentation ou encore sur tout élément qui compose le Logiciel ;
  • Utiliser le Logiciel pour toute autre finalité que celles expressément autorisées, sur quelque autre système ou lieu d’exploitation que ceux convenus ;
  • Reproduire la Documentation en un nombre d’exemplaires supérieur à celui autorisé, qui par défaut est de (1) exemplaire.

Le Client, le Partenaire et l’Exploitant dans le cadre d’une licence d’Évaluation et le Partenaire dans le cadre d’une licence de Démonstration s’interdisent (i) d’utiliser le Logiciel dans un environnement de production ou à des fins de production, sauf accord exprès préalable de l’Éditeur, (ii) de facturer, directement ou par l’intermédiaire d’un tiers, tout accès et utilisation du Logiciel par un tiers ou d’utiliser le Logiciel, directement ou indirectement, pour générer des revenus ou exploiter commercialement le Logiciel de quelque façon que ce soit.

Fin des droits consentis : Au terme de la durée des droits consentis, prévue au contrat (« Durée d’Engagement »), le Client peut renouveler sa Licence d’utilisation. Si l’Evaluation ou la mission de réponse à incident donne lieu à une commande de Licence d’utilisation, les droits sont prorogés pour une durée d’un (1) mois afin d’éviter une interruption de service. En l’absence de commande ou de renouvellement, le Client s’engage à cesser tout accès et faire cesser toute utilisation du Logiciel, et à désinstaller ou faire désinstaller par l’Exploitant les Agents. Si le Logiciel est hébergé dans le Cloud Éditeur, l’Éditeur désactivera les droits d’accès dont l’Exploitant bénéficie dans un délai de dix (10) jours ouvrés à compter du terme de la Licence. Le Logiciel deviendra alors inaccessible aux Utilisateurs, et à l’issue d’un délai d’un (1) mois à compter de la fin de la Licence, l’Éditeur supprimera définitivement les données stockées. Pour les autres Modes de Déploiement, la désinstallation du Manager est réalisée par le Client ou l’Exploitant dans un délai de quinze (15) jours à compter de la date de fin de Licence. Le Client ou le Partenaire s’engage à supprimer ou faire supprimer toute copie du Logiciel intégrée dans tout autre programme ou stockée sur tout espace de stockage et l’ensemble des informations notamment les Informations Confidentielles de l’Editeur telles que définies à l’Article 7.

4. Modalités de mise à disposition du Logiciel

Modalités générales de mise à disposition : Le Logiciel est mis à disposition de l’Exploitant par l’Éditeur selon le Mode de Déploiement défini entre les Parties :

  • Si le Logiciel est installé dans le Cloud Éditeur, l’Éditeur est en charge de l’installation du Manager conformément aux informations fournies dans la commande ou le contrat, et notamment sans que cette liste soit limitative : le nombre d’Agents et la durée de conservation des données stockées. L’Exploitant, ou le Partenaire le cas échéant, doit indiquer à l’Éditeur par écrit préalablement à la commande si des conditions particulières sont susceptibles d’avoir un impact sur le dimensionnement du Cloud Editeur. Le Logiciel est mis à disposition du Client et de l’Exploitant par la fourniture des identifiants d’accès au Manager.
  • Dans les autres Modes de Déploiement, le Logiciel et la Documentation associée seront mis à disposition sous format numérique depuis un lien de téléchargement.

Le Logiciel et la Documentation sont réputés livrés à la date de leur mise à disposition.

Modalités spécifiques spécifiques pour les Licences CSIRT, de Démonstration et d’Evaluation : le Manager est installé dans le Cloud Éditeur. Pour une Evaluation, l’Éditeur dimensionne le Cloud Editeur pour 200 Terminaux sans rétention des données.

5. Modalités d’installation

Une fois le Logiciel livré, l’Exploitant est seul responsable du déploiement du Logiciel sur son système d’information, à savoir :

  • Les Agents lorsque le Logiciel est déployé dans le Cloud Éditeur ;
  • Le Manager et les Agents dans tous les autres cas.

L’infrastructure sur laquelle le Logiciel est déployé doit répondre à tout moment aux Prérequis. Les Prérequis sont accessibles sur le portail support de l’Éditeur et pourront être mise à jour par l’Éditeur à tout moment pour tenir compte notamment des évolutions du Logiciel.

6. Hébergement du Manager dans le Cloud de l’Éditeur

En cas de déploiement dans le cloud de l’Éditeur, l’Éditeur fournit un service d’hébergement du Manager accessible via internet
(le « Cloud Editeur »). Le Client reconnaît que l’hébergement du Logiciel et les données générées par son utilisation sont confiés à un sous-traitant de l’Éditeur (le « Prestataire Cloud »). Par conséquent, l’hébergement est réalisé dans les conditions suivantes.

Disponibilité du Logiciel : Le Logiciel est accessible, 24 heures sur 24, 7 jours sur 7, à l’exception des périodes d’indisponibilité définies ci-après. Les engagements de disponibilités de l’Editeur sont conditionnés au respect des conditions prévues au contrat. Le Client est averti des aléas techniques inhérents à internet et des interruptions d’accès qui peuvent en résulter. L’Éditeur ne saurait être tenu responsable des éventuelles indisponibilités totales ou partielles ou dysfonctionnements du Logiciel en résultant. L’Éditeur, en liaison avec le Prestataire Cloud, prend les mesures nécessaires pour permettre l’accessibilité et l’utilisation du Logiciel dans les meilleures conditions techniques possibles. Le taux de disponibilité du Logiciel est de 99,5%. Cet indicateur en pourcentage mesure la disponibilité annuelle du Logiciel dans le Cloud Éditeur. Il est calculé par la formule suivante : nombre total de minutes dans l’année moins le nombre de minutes d’indisponibilité dans l’année, divisé par le nombre total de minutes dans l’année. La durée des indisponibilités exclue du calcul du taux de disponibilité correspond à la somme des indisponibilités liées en particulier aux cas décrits ci-dessous :

  • Les interruptions planifiées d’un commun accord avec l’Exploitant (en particulier, réorganisation de base de données, plages horaires de maintenance, sauvegarde à froid, …) ;
    Les interruptions à la demande de l’Exploitant ou rendues nécessaires pour sauvegarder le système d’information de l’Exploitant ou celui de l’environnement d’hébergement ;
  • Les pannes applicatives provoquées par l’Exploitant ou un tiers ;
  • Le dysfonctionnement du matériel du Client ou du réseau local, l’interruption totale ou partielle du réseau Internet ou du réseau WAN privé permettant au Client d’accéder au Logiciel ;
  • Le temps nécessaire pour procéder au transfert physique des données stockées le cas échéant ;
  • Les interruptions liées aux services fournis par un tiers autre que le Prestataire Cloud ;
  • Les opérations de maintenance de l’infrastructure d’hébergement ou du Logiciel ;
  • Le dysfonctionnement résultant de la non application d’une préconisation formulée par le Prestataire Cloud ou l’Éditeur pour maintenir le niveau de qualité de services ou lors d’une opération de Maintenance ;
  • Toute période durant laquelle l’Exploitant ne donnera pas les informations ou les accès nécessaires ou ne collaborera pas à la résolution d’un Incident de Production ;
  • Toutes interruptions liées à des dysfonctionnements côté Exploitant ou le non-respect par lui d’obligations mises à sa charge ;
  • Les cas de force majeure tels que définis par la jurisprudence française.

L’Exploitant est responsable des moyens permettant d’accéder au Logiciel ainsi que de l’administration des droits et des Utilisateurs (notamment de définir les identifiants). Le Client est responsable de la protection des accès au Manager.

Sécurité et sauvegarde : Les mesures de sécurité mises en place par le Prestataire Cloud sont disponibles à l’adresse suivante : PS–I – OVH. Les sauvegardes des données stockées sont effectuées conformément au plan de continuité et de reprise d’activité de l’Éditeur.

Réversibilité : Dans le cadre d’une Licence d’utilisation, si le Client en fait la demande exprès, l’Éditeur restituera au Client les données dont il ne détiendrait pas lui-même une copie au terme du contrat. La restitution devra être demandée à l’Éditeur au plus tard quinze (15) jours avant le dernier jour du terme de la Licence. La restitution des données en base sera faite par la mise à disposition d’un lien de téléchargement sous format binaire tel que supporté par le mécanisme de sauvegarde d’Elastic/OpenSearch ; la restitution des éléments de configuration se fait au format yaml. Toute demande d’assistance autre, dans le cadre de la réversibilité ou la portabilité de ces données, fera l’objet d’une facturation distincte du Client sur la base de la grille tarifaire de l’Éditeur alors en vigueur.

7. Garanties

Garantie de conformité : L’Éditeur garantit que, pendant une période de trente (30) jours suivant la date de mise à disposition du Logiciel (la « Période de Garantie »), et sous réserve d’une utilisation conforme aux dispositions du contrat, le Logiciel fonctionnera de façon conforme à la Documentation. En cas de réclamation écrite décrivant les non-conformité constatées adressée à l’Éditeur pendant la Période de Garantie, l’Éditeur fera ses meilleurs efforts pour, à sa discrétion, corriger la non-conformité soit par le biais d’un correctif, soit par le biais d’une solution de contournement. Si l’Éditeur n’est pas en mesure de corriger la non-conformité dans un délai de trente (30) jours suivants la réception de la réclamation, les parties pourront mettre fin au contrat auquel cas, le Client pourra demander au Partenaire ou à l’Editeur en fonction de qui lui a vendu la Licence, le remboursement du montant de la Redevance payée prorata temporis. Cette garantie de conformité ne s’appliquera pas si la non-conformité n’est pas reproductible ou résulte (i) d’une utilisation du Logiciel non conforme aux dispositions du contrat, (ii) d’un dysfonctionnement du système informatique de l’Exploitant ou du Client ou (ii) du fait que le Logiciel est devenu inopérant pour des raisons indépendantes de la volonté de l’Éditeur.

Garantie de jouissance paisible. L’Éditeur garantit que le Logiciel ne porte atteinte ni ne contrefait aucun droit d’auteur, ou droit de propriété intellectuelle d’un tiers. En conséquence, l’Éditeur s’engage à prendre à sa charge tous les dommages-intérêts auxquels pourrait être condamné le Partenaire et/ou le Client par une décision judicaire définitive à raison d’un manquement à la présente garantie. Cette garantie d’éviction ne s’applique qu’à condition toutefois que le Partenaire ou le Client : (i) avise l’Editeur par écrit de toute réclamation, revendication ou action en justice intentée par le tiers sans délai à compter de la notification par ledit tiers ; (ii) permettre à l’Editeur d’avoir la direction de la défense et de toute négociation en vue d’une solution amiable, étant précisé que le Partenaire ou le Client pourra également faire assurer la défense de ses intérêts par tout avocat de son choix ; (iii) n’exécute pas un jugement ni n’accepte de transiger sans l’accord écrit de l’Editeur ; et (iv) fournisse à l’Editeur toutes les informations et l’assistance nécessaire à la défense de ses intérêts. Lorsque la garantie d’éviction est mise en œuvre, l’Editeur peut, à son choix : (i) obtenir le droit pour le Partenaire ou le Client de poursuivre l’utilisation des éléments litigieux ; (ii) modifier tout ou partie des éléments litigieux afin que le Logiciel cesse de porter atteinte aux droits de propriété intellectuelle du tiers, tout en demeurant conforme au contrat ; (iii) fournir une solution alternative, à isopérimètre ; ou (iv) résilier le contrat et rembourser au Partenaire ou au Client, selon le cas, la Redevance payée, déduction faite du montant de la Redevance correspondant à la durée de jouissance du Logiciel. L’Editeur n’aura toutefois aucune responsabilité au titre de la présente garantie si la réclamation du tiers résulte de : (i) l’utilisation de tout ou partie du Logiciel en combinaison avec tout logiciel, matériel, produits ou autres équipements ou matériels non fournis ou approuvés par l’Editeur ; (ii) l’utilisation du Logiciel non-conforme à la Documentation de l’Editeur ; ou (iii) d’une modification, d’une intervention de maintenance ou d’une altération du Logiciel non réalisée ou autorisée par l’Editeur. Les dispositions du présent article établissent les seules et uniques obligations et responsabilités de l’Editeur en cas d’atteinte aux DPI d’un tiers. Les Parties conviennent qu’en tant que de besoin le présent article survivra à la résiliation ou à l’expiration du contrat.

Garantie d’information : Le Logiciel permet d’émettre des alertes représentant les risques potentiels de sécurité du système d’information. Il ne s’agit pas d’une solution permettant de garantir la sécurité d’un système d’information, la résolution ou l’identification de tout incident de sécurité ou permettant de répondre à l’un quelconque des besoins particuliers du Client. Le Client reste à tout moment responsable de mettre en place toutes autres mesures nécessaires pour assurer la sécurité informatique de ses infrastructures en particulier la sauvegarde de ses données et la formation de ses salariés à ce sujet. La responsabilité de l’Éditeur ne pourra en aucun cas être recherchée si le Logiciel est utilisé dans le contexte d’une réponse à incident de sécurité chez le Client et que le Client ou l’Exploitant ne parviennent pas in fine à mettre fin audit incident.

Garanties de l’Exploitant : Dans le cadre de l’utilisation du Logiciel, l’Exploitant déclare et garantit, pendant toute la durée d’utilisation du Logiciel :

  • Qu’il respecte et respectera toute loi qui lui est applicable concernant l’utilisation du Logiciel, notamment les obligations qui lui incombent à l’égard de son personnel dans le cadre du traitement de leurs Données à Caractère Personnel, telles que définies ci-après ;
  • Qu’il respectera les Prérequis et la Documentation et s’abstiendra d’utiliser des progiciels, logiciels ou systèmes d’exploitation non-identifiés comme compatibles avec le Logiciel ;
  • Que les éventuels éléments fournis ou collectés par le Logiciel ne portent atteinte ni ne contrefont aucun droit d’auteur, marque ou tout autre droit de propriété intellectuelle ou autre droit d’un tiers ;
  • Qu’il reconnait que le Logiciel n’a pas vocation à être utilisé pour contrôler l’activité du personnel notamment lors des évaluations des salariés. La responsabilité de l’Éditeur ne pourra être recherchée en cas de décision prise par le Client sur la base des remontées d’informations faites par le Logiciel. Ainsi, tous les litiges l’opposant aux salariés ou à des tiers et découlant des décisions prises d’après les remontées d’informations faites par le Logiciel se règleront directement entre le Client, les intéressés et le Partenaire le cas échéant et que l’Éditeur ne pourra pas être impliqué dans la résolution de tels litiges.
  • S’agissant du Client, qu’il informera les Utilisateurs du fait qu’il recourt au Logiciel et du fait que les remontées d’information effectuées via les Agents installés sur les postes sont susceptibles de donner accès, à des fins exclusives de gestion de la sécurité du système d’information, à l’ensemble des informations et documents contenus sur les postes, en ce compris les informations, données, fichiers ou répertoires identifiés comme personnels par les Utilisateurs ou contenant des Données à Caractère Personnel.

8. Résiliation

La Licence d’Utilisation pourra être résiliée de plein droit par l’une des Parties en cas de manquement par l’autre Partie à ses obligations auquel il n’aura pas été remédié, lorsque cela est possible, dans les trente (30) jours qui suivent la mise en demeure d’y remédier, étant précisé que la lettre de mise en demeure doit faire référence à la présente disposition. Les obligations à la charge du Client visées à cet article sont les suivantes : (i) respect des conditions d’accès et d’utilisation du Logiciel ; (ii) respect des droits de propriété intellectuelle de l’Editeur et des termes de la licence consentie ; (iii) respect des garanties et des Prérequis, (iv) respect des engagements de confidentialité et (v) le paiement des sommes dues à l’Editeur. Les obligations à la charge de l’Editeur visées à cet article sont les suivantes : (i) non-atteinte du taux de disponibilité annuel du Logiciel, et (ii) respect des engagements de confidentialité, (iii) respect de la garantie de conformité, et (iv) respect de ses obligations en matière de protection des données à caractère personnel. Dans le cas où il ne pourra être remédié audit manquement, le délai de trente (30) jours fonctionnera comme un délai de préavis avant la résiliation.

9. Confidentialité

Chacune des Parties s’engage à maintenir la confidentialité de toutes les informations confidentielles ci-après définies de l’autre Partie (les « Informations Confidentielles »), auxquelles elle aurait accès où dont elle pourrait avoir connaissance dans le cadre de la négociation et de l’exécution du contrat pendant toute la durée du contrat, et pendant cinq (5) années après la résiliation du contrat (sauf pour les Données à Caractère Personnel dont la durée de conservation est supérieure ou inférieure),

pour quelque cause que ce soit. Les Parties conviennent que sont considérées comme des Informations Confidentielles : (i) toutes informations, analyses, études et autres documents sous quelque forme que ce soit, ayant trait au contenu des discussions entre les Parties ou du contrat, (ii) les méthodologies, produits, outils et développements informatiques, matériels, modèles industriels, savoir-faire et données financières, déontologiques, économiques, techniques, commerciales ou autres tels que notamment toutes informations relatives aux affaires, aux comptes, à la gestion, aux opérations commerciales et aux activités administratives, financières et marketing ; (iii) les autres informations identifiées par écrit comme confidentielles par l’une des Parties ; (iv) le Logiciel et la Documentation. Les Parties s’engagent à traiter les Informations Confidentielles de l’autre Partie de la même façon que leurs propres Informations Confidentielles et à ne pas divulguer de quelque façon que ce soit les Informations Confidentielles à des tiers. Nonobstant ce qui précède, dans la mesure où leur divulgation est strictement nécessaire, les Parties sont autorisées à communiquer certaines Informations Confidentielles indispensables à leurs mandataires, conseils et/ou sous-traitants respectifs (les « Tiers Autorisés »). Les Parties conviennent en tout état de cause que l’utilisation et/ou la divulgation des Informations Confidentielles à un Tiers Autorisé est conditionnée à la conclusion d’un engagement de confidentialité reprenant la présente disposition. Les Parties se portent fort, au sens de l’article 1204 du Code civil, du respect de cette obligation de confidentialité par les Tiers Autorisés. Les obligations prévues à cet article ne s’appliquent pas aux Informations Confidentielles :

  • Qui étaient connues par les Parties antérieurement à la date de la signature du contrat ; 
  • Qui étaient dans le domaine public à la date de leur communication ;
  • Qui ont été communiquées ou peuvent être communiquées à une Partie par une tierce personne sans qu’il y ait violation d’une obligation de confidentialité ;
  • Qui sont accessibles au public par publication ou tout autre moyen de communication, sauf si ce fait résulte d’un manquement à la présente obligation de confidentialité ; ou dont la divulgation est requise par la loi ou une décision administrative ou de justice ;
  • Qui doivent être portées à la connaissance du Client pour les besoins de la mise à disposition ou de l’utilisation du Logiciel à son profit.

Tous les supports physiques contenant des Informations Confidentielles sont et demeurent la propriété de la Partie qui les communique. Aucune reproduction ou utilisation quelconque n’est autorisée sauf accord écrit et préalable de la Partie concernée. Nonobstant les termes du présent article, le Client, l’Exploitant, et le Partenaire le cas échéant, sont avisés que l’Éditeur est susceptible de transmettre tous les renseignements en sa possession qui seraient légitimement sollicités par ou sur autorisation d’une autorité judiciaire ou administrative, sans que la responsabilité de l’Éditeur ne puisse être recherchée de ce fait. Afin de mettre en place une Licence d’Evaluation, le Client sera amené à signer avec l’Éditeur un accord de confidentialité distinct des présentes Conditions Générales de l’Éditeur. Dans cette hypothèse et en cas de contradiction entre les dispositions de l’accord de confidentialité et la présente clause de confidentialité, les Parties reconnaissent que les dispositions de l’accord de confidentialité prévaudront.

10. Données à Caractère Personnel

Chacune des Parties s’engage réciproquement à respecter la règlementation en vigueur en matière de données à caractère personnel telle qu’elle résulte du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données (« RGPD »), la Loi Informatique et Libertés n° 78-17 du 6 janvier 1978 dans sa version actualisée et toute recommandation pertinente de la CNIL ayant trait à leur activité (la « Réglementation Data Privacy »). Pour les besoins du présent article et des dispositions des annexes relatives à la protection des données, les termes « Données à Caractère Personnel », « Traitement », « Personne Concernée », « Responsable de Traitement » et
« Sous-Traitant » ont le sens qui leur est donné par la Règlementation Data Privacy.

Qualifications des Parties : Les qualifications des Parties sont les suivantes s’agissant des Traitements mis en œuvre au titre du contrat :

  • Dans le cadre de l’utilisation du Logiciel, le Client agit systématiquement en qualité de Responsable de Traitement et l’Exploitant, si différent du Client, agit systématiquement en qualité de Sous-Traitant pour le compte et sur les instructions documentées du Client.
  • Lorsque le logiciel est déployé dans le Cloud Éditeur, l’Éditeur a la charge de l’hébergement du Logiciel et agit à ce titre en qualité de Sous-Traitant du Client ;
  • Dans le cadre du Traitement relatif à la fourniture des prestations de Support et Maintenance (« Traitement Maintenance ») et du Traitement relatif à l’amélioration des fonctionnalités du Logiciel (« Traitement Amélioration de la détection »), l’Éditeur agit en qualité de Responsable de Traitement.

Engagements de l’Editeur. Conformément à la Réglementation Data Privacy, l’Éditeur, lorsqu’il agit en tant que Sous-Traitant du Client s’engage à :

  • Ne traiter les Données à Caractère Personnel que sur instruction écrite du Client et informer le Client si une instruction ne respecte pas la Réglementation Data Privacy, y compris en ce qui concerne les éventuels transferts de Données à Caractère Personnel vers un pays tiers, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel l’Editeur est soumis ; dans ce cas, l’Editeur informe le Client de cette obligation juridique avant le Traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;
  • Veiller à ce que les personnes autorisées à traiter les Données à Caractère Personnel travaillant chez l’Éditeur s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
  • mettre en œuvre les mesures nécessaires pour garantir la sécurité et l’intégrité des Données à Caractère Personnel et de leur traitement décrites dans le plan d’assurance sécurité de l’Editeur.
  • Assister de façon raisonnable le Client par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les Personnes Concernées le saisissent en vue d’exercer leurs droits (accès, suppression …) en transférant la demande au Client sans y répondre, sauf instruction exprès contraire, et fournir la même assistance s’agissant de la réalisation par le Client de consultations préalables ou d’analyses d’impact en matière de protection des données s’agissant des Traitements et exclusivement dans ce périmètre ;
  • Aider de façon raisonnable le Client à assurer le respect de ses obligations de sécurité, compte tenu de la nature du Traitement et des informations à sa disposition conformément aux présentes ; 
  • supprimer toutes les Données à Caractère Personnel conservées à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des Données à Caractère Personnel ;
  • Mettre à la disposition du Client dans un délai raisonnable toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et permettre la réalisation d’un audit par an, y compris des inspections par le Client et contribuer à ces audits, étant entendu que tout audit ou test de pénétration devra préalablement faire l’objet d’un accord écrit sur ses modalités et son champ d’application
  • Informer le Client, dans les meilleurs délais et si possible dans un délai de 48 heures après en avoir pris connaissance, d’une atteinte aux Données à Caractère Personnel en raison d’une faille de sécurité avérée chez l’Éditeur ou l’hébergeur des Données à Caractère Personnel ;
  • Coopérer de façon raisonnable avec la CNIL si besoin, et coopérer avec le Client en cas de demande formulée par la CNIL au sujet des Traitements, ce qui suppose, (i) si la demande est adressée à l’Editeur, d’informer le Client dans les meilleurs délais, sauf si une telle information est prohibée par la loi applicable, et (ii) si la demande est adressée par la CNIL au Client, de lui fournir une assistance raisonnable pour le mettre en mesure de répondre à la CNIL ;
  • Cesser tout traitement de Données à Caractère Personnel à compter de la résiliation ou de l’expiration du contrat, autrement que pour ce qui est nécessaire à la réalisation des engagements de réversibilité des Données à Caractère Personnel prévus aux présentes.

Traitements Maintenance et Amélioration de la détection : Les Traitements Maintenance et Amelioration de la détection sont décrits dans la politique de confidentialité relative à l’utilisation du Logiciel accessible sur demande à l’Éditeur. Ces Traitements sont mis en œuvre par l’Éditeur en qualité de Responsable de Traitement. À ce titre, le Client déclare qu’il a pris connaissance de caractéristiques de ces Traitements. L’Éditeur déclare que les Traitements s’avèrent compatibles avec les finalités initiales des Traitements et s’engage à se conformer aux obligations qui lui incombent en sa qualité de Responsable de Traitement conformément à la Règlementation Data Privacy.

Sous-traitance ultérieure de l’Éditeur : Le Client reconnait que l’Éditeur a recours à des Sous-traitants, et notamment au Prestataire Cloud, pour lui permettre de répondre à certaines de ses obligations prévues aux présentes. La liste complète des Sous-traitants à la date de signature des présentes, figure ci-dessous. La signature du contrat emporte acceptation expresse par le Client des Sous-Traitants auxquels l’Éditeur a recours pour la réalisation des prestations listées ci-dessous. En cas de modification de cette liste, l’Éditeur s’engage à communiquer au Client et au Partenaire la liste des Sous-Traitants à jour pour lui permettre d’émettre des objections à la désignation d’un Sous-Traitant uniquement pour des motifs légitimes et motivés (i.e. concurrent, prestataire avec lequel le Partenaire a un litige en cours) qui devront être communiqués à l’Éditeur par écrit. A défaut de réserve émise par le Client ou le Partenaire dans un délai de dix (10) jours à compter de l’envoi de l’information, le Client et le Partenaire seront réputés avoir accepté les nouveaux Sous-Traitants. Dans le cas où le Partenaire ou le Client refuse un Sous-Traitant, l’Éditeur se réserve le droit d’appliquer des prix différents de ceux initialement convenus pour tenir compte de ce refus. Les caractéristiques du traitement visé par la sous-traitance ultérieure est le suivant :

  • Objet du Traitement : Hébergement
  • Nature du Traitement : Hébergement et conservation des Données
  • Durée du Traitement : Durée d’Engagement
  • Finalités du Traitement : Hébergement
  • Catégories de Données : Données de télémétrie et nom/prénom, adresse email, Données de navigation
  • Catégories de Données sensibles : N/A
  • Catégories de Personnes Concernées : Utilisateurs du système d’information du Client.
  • Sous-Traitant Ultérieur : OVH, localisé en France

Le Client peut demander que lui soient communiquées davantage d’informations. Dans le cas d’un service supervisé et dans le cas de transferts vers un destinataire ou un tiers autorisé situé dans un pays à l’extérieur de l’Union Européenne (UE), le Client donne notamment mandat à l’Editeur, si nécessaire, de signer en son nom et pour son compte les clauses contractuelles types avec les Sous-Traitants traitant des Données à Caractère Personnel du Client situés en dehors de l’UE.

11. Support

Le Support est proposé via un service en ligne et accessible à l’adresse suivante : www.harfanglab.io. Il vise à aider l’Exploitant, à la résolution de ses problèmes et non à se substituer à la formation des Administrateurs, grâce à :

  • Une base de connaissance, en principe disponible 24/7/365 en dehors des périodes de maintenance de la plateforme qui héberge ladite base et proposant des réponses aux problématiques récurrentes auxquelles l’Administrateur peut être confronté ;
  • Diverses documentations techniques sur l’installation et l’utilisation du Logiciel ;
  • Un système de ticket permettant aux Administrateurs de contacter les équipes de l’Éditeur. Les tickets seront traités par l’équipe Help Center de 9h30 à 17h30 heure de l’Europe centrale (GMT+1) du lundi au vendredi inclus, sauf jours fériés. En cas d’indisponibilité du portail support, les demandes sont adressées à l’adresse suivante : support@harfanglab.fr.

Le Support est organisé selon les trois niveaux suivants :

Le Support est proposé via un service en ligne et accessible à l’adresse suivante : www.harfanglab.io. Il vise à aider l’Exploitant, à la résolution de ses problèmes et non à se substituer à la formation des Administrateurs, grâce à :

NIVEAU 1 ( N1 ) :
  • Définition :
Demandes d’information sur le Logiciel ou demandes relatives à un dysfonctionnement à laquelle il peut être remédié simplement.
  • Actions :
    • Enregistrement de la demande (date, heure, motif) ;
    • Réalisation d’une première qualification de la demande, établissement d’un diagnostic
sur la demande et proposition de recommandations sur la base de fiches reflexes.
NIVEAU 2 ( N2 ) :
  • Définition :
demandes relatives à un dysfonctionnement qui peut nécessiter que l’Éditeur accède au Manager.
  • Actions :
Accès à la console pour :
    • Diagnostiquer la panne (si diagnostic non réalisé en N1) ;
    • Guider l’Utilisateur par visioconférence pour la résolution complexe du problème.
NIVEAU 3 ( N3 ) :
  • Définition :
Demandes relatives à une Anomalie nécessitant une haute expertise sur le Logiciel.
  • Actions :
    • Prise en compte de la demande dans le service de maintenance du Logiciel ;
    • Support et bonnes pratiques sur l’exploitation du Logiciel et les retours d’expériences.

Lorsqu’il agit en qualité d’Exploitant, le Partenaire est en charge de la fourniture du Support de Niveau 1 et de Niveau 2 à défaut l’Editeur assure les différents niveaux de Support.

12. Maintenance

Dispositions générales : Tout correctif ou mise à jour du Logiciel sont mis à la disposition de l’Exploitant de manière analogue à la livraison. La description des modifications est accessible dans la Documentation. Cette mise à disposition se fait sur un rythme mensuel pour les nouvelles versions du Logiciel et sur une base hebdomadaire pour les corrections d’anomalies au sein de « hot-fix » lorsque nécessaire. Ces cadences sont communiquées à titre indicatif et pourront être amenées à évoluer. Pour bénéficier de la Maintenance,
les conditions suivantes doivent être remplies :

  • L’Exploitant doit avoir désigné au moins un Administrateur et communiqué à l’Éditeur son nom, son numéro de téléphone et son adresse email et toute modification ultérieure de ces informations le concernant de sorte que ces informations soient toujours à jour. L’Exploitant devra désigner un nouvel Administrateur en cas d’absence, d’arrêt de travail ou de départ de l’Administrateur en place, afin qu’il y ait toujours un Administrateur en charge ;
  • Le Client et l’Exploitant doivent utiliser le portail Support, sauf instruction différente de l’Éditeur, pour remonter les Anomalies ;
  • Le Client ou le Partenaire le cas échéant, sont à jour de leurs obligations de paiement à l’égard de l’Editeur ;
  • Si le Logiciel n’est pas déployé dans le Cloud Éditeur, donner à l’Éditeur un accès à distance au Manager via le module « EDR Update » du Logiciel ;
  • Utiliser une version du Logiciel encore sous maintenance au moment où il effectue sa demande de Support.

Installation des mises à jour : L’installation des mises à jour du Manager est réalisée par l’Éditeur depuis le module « EDR Update ». Si le Client ou l’Exploitant a désactivé le module « EDR Update », la mise à jour du Manager est à la charge de l’Exploitant. L’installation des mises à jour des Agents est à la charge de l’Exploitant.

Maintenance évolutive : Au titre de la maintenance évolutive, l’Editeur met à disposition du Client (i) les améliorations apportées aux fonctions et modules couverts par la licence qu’il a souscrite. La maintenance évolutive ne s’étend pas aux nouveaux modules qui seraient à l’avenir proposés par l’Éditeur. Le Client et le Partenaire acceptent que l’Éditeur puisse inclure toute mesure technique de protection utile à contrôler l’utilisation du Logiciel dans le strict respect de la licence consentie. Par ailleurs, le Client et l’Exploitant peuvent solliciter l’Éditeur pour qu’il réalise des améliorations du Logiciel et notamment qu’il développe de nouvelles fonctionnalités ou des API. Les Parties conviennent que l’Éditeur n’aura aucune obligation de réaliser ces développements qui constituent des prestations complémentaires, ni de les intégrer au Logiciel.

Correction des Anomalies : Dès lors qu’un ticket pour une Anomalie est ouvert sur le portail Support, les délais d’intervention sont les suivants :

  • En cas de licence d’Evaluation ou de Démonstration : les Anomalies enregistrées sont ensuite corrigées dans les meilleurs délais ;
  • En cas de Licence d’utilisation, les Anomalies du Logiciel sont ensuite traitées dans les délais suivants :
  Acquittement
du ticket
Qualification de l’anomalie à partir de
la réception du ticket
Proposition d’une solution
de contournement après qualification lorsqu’un contournement existe
Correction
Anomalie
bloquante
1 heure* 1 jour ouvré* 5 jours ouvrés* Correction dans
le prochain hot-fix
Anomalie
non bloquante
1 heure* Meilleurs efforts 10 jours ouvrés* Correction dans la prochaine version mineure du logiciel

*pendant les heures d’ouverture du Support soit de 9:30 – 17:30 CEST, hors jours fériés en France

L’Exploitant et le Client s’engagent à collaborer avec l’Éditeur dans la résolution des Anomalies et Incident de Production notamment en :

  • Fournissant suffisamment d’informations à l’Éditeur pour lui permettre de reproduire l’Anomalie et notamment (i) une description claire et précise de l’Anomalie; (ii) le composant du Logiciel concerné ; (iii) la fonction qui était utilisée lorsque l’Anomalie s’est produite et/ou la séquence d’instructions qui a conduit à l’Anomalie ; (iv) le message d’erreur affiché lors de la survenance de l’Anomalie, le cas échéant; (v) suffisamment de précisions pour permettre à l’Éditeur de qualifier l’Anomalie, déterminer son niveau et mesurer son impact sur les activités du Client ; et (vi) toute autre information concernant l’hébergement, le Logiciel ou l’Anomalie, y compris notamment une copie des données contenues dans la base de données incluse dans le Logiciel ;
  • Apportant les réponses aux questions et demandes de renseignement et garantissant l’accès nécessaire à leurs locaux, équipements et à toute information et/ou Documentation nécessaires ainsi que le cas échéant la disponibilité des Utilisateurs concernés pour faciliter la mise en œuvre des interventions de Support et de Maintenance.

L’Éditeur ne sera pas tenu d’assurer la correction de l’Anomalie dans les cas suivants : (i) non collaboration de l’Exploitant et/ou du Client dans la résolution des anomalies et notamment dans les réponses aux questions et demandes de renseignement, (ii) utilisation du Logiciel non conforme à sa destination ou à sa Documentation, (iii) modification ou tentative de modification non autorisée du Logiciel par le Partenaire, le Client ou un tiers, (iv) non-respect des Prérequis, (v) utilisation de tous progiciels, logiciels ou système d’exploitation non compatibles avec le Logiciel, (vi) défaillance des réseaux de communication. Dans le cas où l’Éditeur accepterait ou serait requis par le Client d’intervenir alors que l’Anomalie résulte directement ou indirectement d’un manquement du Partenaire ou du Client aux obligations figurant aux présentes, l’Exploitant s’engage à payer à l’Éditeur les coûts dus le cas échéant à ce titre au temps passé par le personnel de l’Éditeur ou de ses sous-traitants.

13. Prestations complémentaires

L’Exploitant peut commander auprès de l’Éditeur la fourniture de prestations de services complémentaires qui ne sont pas comprises dans le cadre du contrat tels que (la liste ci-dessous n’étant pas exhaustive) :

  • Le support à l’installation et/ou à la mise à jour du Manager lorsqu’il est installé on-premises ;
  • Le support aux paramétrages particuliers conformément à des spécifications ;
  • La configuration des connecteurs aux solutions tierces ;
    Des formations additionnelles ;
  • La réalisation de développements tels que de nouvelles fonctionnalités, connecteurs ou API.

Ces prestations feront l’objet d’un devis soumis à acceptation de l’Exploitant et d’un bon de commande distinct des présentes signé par les Parties.