Aller au contenu

Sekost

Logo Sekost by YesWeHack - Bleu
Flash offert

Mis à jour le 01/12/2025

 

1 DÉFINITIONS

Dans les présentes CGS, les termes et expressions débutant par une majuscule, qu’ils soient employés au singulier ou au pluriel, au masculin ou au féminin, ont la signification qui leur est donnée ci-après :

Affiliée(s)

Désigne toute entité qui est détenue ou contrôlée, directement ou indirectement, par une partie (également appelée une « Filiale »), ou qui se trouve sous une détention commune ou un contrôle commun avec une partie. Pour éviter toute ambiguïté, et sous réserve du droit applicable, une entité juridique sera réputée contrôler une autre lorsqu’elle, directement ou indirectement : (i) détient plus de 50 % du capital social ; ou (ii) a le pouvoir de nommer ou de révoquer la majorité des membres de l’organe administratif, ou détient la majorité des droits de vote en vertu d’accords conclus avec d’autres actionnaires ; ou (iii) exerce le contrôle de la gestion en raison de droits, d’accords ou d’autres moyens lui permettant d’exercer une influence décisive sur les activités de l’entreprise.

Bon de Commande

Désigne le document de commande (proposition commerciale, devis, etc.) dans un format accepté par les parties et détaillant la nature et les prix de Prestations proposées par SEKOST au Client en réponse à une expression de besoins formulée par ce dernier.

Un Bon de Commande dont la date de validité aurait expiré mais qui aurait été expressément accepté par SEKOST après signature du Client sera opposable aux parties.

Client

Désigne le Client de SEKOST souscrivant, directement ou par intermédiaire, aux Prestations proposées par SEKOST.

Commande

Désigne toute commande de Prestations réalisée par le Client à SEKOST ou à tout intermédiaire de SEKOST et formalisée par l’acceptation expresse d’un Bon de Commande.      

Contrat

Désigne l’ensemble contractuel dont les termes régissent la relation entre SEKOST et le Client pour l’exécution de toute Commande et composé :

Des CGS et

Du Bon de Commande en vigueur.      

Toute modification des termes convenus du Contrat devra faire l’objet d’un avenant signé des deux (2) parties.

Droits de propriété intellectuelle

Désigne les droits attachés aux marques, logos, slogans (sous réserve de leur originalité) dessins et modèles, droit d’auteur, brevets, logiciels, bases de données, programmes informatiques, noms de domaine sur internet et autres signes distinctifs déposés, enregistrés, utilisés ou associés, sans que cette liste soit limitative, ainsi que tout autre droit de propriété intellectuelle enregistrés ou non, comprenant l’ensemble des dépôts (ou droit de déposer auprès de tout office national ou étranger compétent), renouvellements

ou extensions de ces droits ainsi que tous les droits ou formes de protection similaires ou équivalents existants ou à naître partout dans le monde.

Sont également compris dans cette liste les noms commerciaux, dénominations sociales, enseignes, utilisés ou associés.

Informations confidentielles

Désignent toutes les informations échangées entre la SEKOST et le Client, que ce soit sous forme orale ou écrite et quel qu’en soit le support, (et notamment tout document, dossier, objet, enregistrement, donnée, étude, lettre, projet, plan, diagramme, logiciel, matériel, programme ou production, procédés, méthodes, composants) ainsi que les activités, stratégies, produits et services (actuels ou futurs), politiques commerciales, informations ou données financières et juridiques, activités de recherche et développement, projets, secrets des affaires et savoir-faire, personnel concernant directement ou indirectement les parties, toute société ou entité apparentée.

Prestation(s)     

Désigne toute prestation de services et/ou de propriété intellectuelle, réalisée par SEKOST en exécution d’une Commande.

SEKOST ou le Prestataire

Désigne la société SEKOST, Société par Actions Simplifiée au capital de 10 000 €, dont le siège social est situé MAISON DES ENTREPRISES ESPACE CORINNE 4 RUE LOUIS DE BROGLIE 22300 LANNION, immatriculée au RCS de SAINT BRIEUC sous le numéro 907 610 364.

Système d’Information

Désigne les systèmes informatiques et les actifs exposés à l’internet (notamment les domaines, sous-domaines et adresses IPs, etc.) concernés par la Prestation.



2 OBJET

Les présentes CGS constituent le socle de la négociation commerciale et prévalent le cas échéant sur les conditions d’achat du Client, y compris sans s’y limiter à celles figurant dans un Bon de Commande. Le Client reconnaît expressément que toute stipulation contraire sera inopposable à SEKOST.

Les présentes CGS peuvent faire l’objet de modifications ultérieures, la version applicable étant celle en vigueur à la date de début d’exécution de la Prestation.

3 DOMAINE D’APPLICATION

Les dispositions des CGS annulent et remplacent toutes conventions préalables, de quelque nature et sous quelque forme que ce soit, intervenues entre le Client et SEKOST et qui se rapporteraient au même objet ou Prestations.

Le Client reconnaît avoir eu une parfaite information concernant les Prestations prévues à la Commande, notamment leurs caractéristiques essentielles.

Le Client reconnaît également avoir lu et accepté les présentes dispositions. Pour autant, conformément aux dispositions de l’article 1110 du Code civil, si les termes des CGS ne sont pas négociables en l’état, les parties sont libres de négocier et de prévoir expressément et par écrit des dérogations aux présentes dispositions avant la Commande. Si le Client a conclu un contrat distinct avec SEKOST, les termes dudit contrat prévaudront sur les présentes CGS. A défaut, les CGS constituent l’intégralité de l’engagement du Client et de SEKOST et annule et remplace tous les accords écrits et verbaux remis ou échangés entre eux. Les conditions contenues dans un Bon de Commande n’auront aucune force ni aucun effet.

En conséquence, l’engagement du Client au titre du Contrat emporte renonciation à ses éventuelles conditions générales et/ou particulières d’achat ou à tout autre document similaire.

4 PRESTATIONS

Les Prestations consistent en un service automatisé de cartographie et de détection de vulnérabilités du Système d’Information du Client en se basant sur des informations exposées publiquement ainsi que sur les fuites de données connues de SEKOST. Le Client reconnaît que ce service ne permet pas une détection exhaustive des vulnérabilités de l’ensemble des Systèmes d’Information.

Les Prestations portent sur les Systèmes d’Information sélectionnés par le Client dans les limites suivantes :

  • 3 domaines ;
  • 200 sous-domaines, et     
  • 50 adresses IP.     

Pour toutes autres limites, le Client devra contacter SEKOST pour étudier la faisabilité de sa demande qui fera alors l’objet d’une proposition commerciale complémentaire. 

Le Client s’engage et garantit à SEKOST à ne faire réaliser des Prestations que sur un périmètre clair et directement identifiable sur lequel il détient tous les droits pour réaliser les Prestations. Le Client s’engage à indemniser, défendre et dégager SEKOST de toute responsabilité à l’encontre de toute réclamation ou action de tiers, ainsi qu’à l’encontre des jugements, décisions, règlements, pertes, dommages-intérêts, dépenses et coûts (y compris les honoraires raisonnables d’avocat et les frais de justice et dépenses connexes) encourus ou subis par SEKOST qui résultent de la violation ou atteinte aux Droits de propriété intellectuelle de tiers causée par le contenu, les données, les matériels, ou autre contribution du Client soumis, chargé ou fourni de toute autre manière, en lien avec les Prestations.

Les Prestations donneront lieu à la communication à minima d’un livrable au format PDF. Les Prestations peuvent faire l’objet d’une analyse manuelle avant restitution au Client. Dans tous les cas, SEKOST s’engage à informer le Client du mode de réalisation des Prestations. Les Prestations ne correspondent pas à des tests d’intrusion dans le      Système d’Information du Client. Le détail des Prestations est présent en annexe des CGS.

5 ORGANISATION ET ÉQUIPE DE SEKOST

SEKOST demeure seul responsable de la définition des méthodes, des compétences et moyens affectés à la réalisation des Prestations.

SEKOST pourra notamment faire appel aux services de tout sous-traitant, y inclut toute Affiliée, nécessaire à la bonne exécution des Prestations. 

6 ENGAGEMENTS DES PARTIES

6.1 Engagements de SEKOST

Dans le cadre des Prestations, SEKOST s’engage à :

  • Ne commencer les Prestations qu’après une autorisation formelle et écrite du Client ; lorsque les Prestations portent sur des éléments appartenant à une société tierce, le Client reconnaît qu’il relève de sa responsabilité de récupérer l’accord formel et écrit de la société tierce avant le début des Prestations ;
  • Ne communiquer publiquement aucune information relative aux Prestations ;
  • Ne réaliser que des actions strictement en adéquation avec les objectifs des Prestations ;
  • Disposer de toutes les obligations légales et réglementaires nécessaires aux Prestations ;
  • Prévenir le Client en cas de visualisation de données personnelles appartenant au Client et/ou à ses collaborateurs ;
  • Détruire ou restituer toute information ou document relatif au Système d’Information, à la requête du Client, à l’exception de l’archivage des copies conservées dans les systèmes électroniques sécurisés de SEKOST, conformément aux délais légaux. Le cas échéant, le Prestataire s’engage à fournir, sur demande du Client, un procès- verbal de destruction et/ou de restitution ;

SEKOST relève d’une obligation de moyens dans l’exécution de ses Prestations. En particulier, SEKOST intervenant conformément à l’état de l’art, le Client ne pourra ni exiger que les Prestations identifient exhaustivement l’intégralité des Systèmes d’Information du Client inclus dans le périmètre des Prestations, ni recenser l’ensemble des vulnérabilités et expositions potentielles (CVE – Common Vulnerabilities and Exposures) reliées à ses Systèmes d’Information.     

Les Prestations se basant sur l’identification de ressources, SEKOST ne pourra être responsable d’un manque d’identification ou d’une mauvaise identification entraînant l’absence d’identification de vulnérabilités. En ce sens, le Client reconnaît que les Prestations se dérouleront uniquement sur la base de ses déclarations et sur les identifications disponibles publiquement et correspondantes à des identifications basiques.

6.2 Engagements du Client

Dans le cadre des Prestations, le Client s’engage à :

  • Contribuer de bonne foi à la réalisation des Prestations ;
  • Disposer de l’ensemble des droits de propriété et d’accès sur l’ensemble du périmètre des Prestations ;
  • N’utiliser les Prestations que pour leur finalité prévue et s’interdire toute utilisation détournée ou illégitime;     
  • Assurer la gestion et la remédiation des vulnérabilités identifiées par la Prestation; 
  • Prévenir, le cas échéant, tout prestataire tiers concerné par les Prestations et obtenir les autorisations nécessaires.

Particulièrement, le Client autorise le Prestataire, aux seules fins de réaliser les Prestations et pendant la durée des Prestations, d’accéder et de se maintenir dans tout ou partie du périmètre et d’effectuer des traitements de données hébergées, quelle que soit la nature de ces données.

Le Client reconnaît avoir donné son consentement à SEKOST pour la réalisation des Prestations.

7 CONDITIONS FINANCIERES

Les prix des Prestations sont formulés en euros et s’entendent hors taxes (HT).

Le prix des Prestations est celui en vigueur au jour de la Commande et dépend des Prestations demandées.

SEKOST se réserve le droit de modifier les prix de vente des Prestations à tout moment, toutefois les Prestations sont facturées au Client sur la base des prix en vigueur au moment de la validation de la Commande.

8 FACTURATION ET PAIEMENT

Les Prestations fournies par SEKOST, que celles-ci soient réalisées en direct ou par l’intermédiaire d’un distributeur ou revendeur, donnent lieu à l’émission d’une facture dès leur exécution ou mise à disposition effective. 

Pour les ventes directes et sauf stipulation contraire, les factures sont payables à trente (30) jours à compter de leur date d’émission par virement bancaire sur le compte indiqué par le Prestataire. 

La mise à disposition et/ou la réalisation des Prestations vaut acceptation sans réserve par le Client. Toute contestation relative à une facture devra être formulée dans les cinq (5) jours ouvrés à compter de la réception de la facture. Passé ce délai, la facture sera réputée définitivement acceptée et ne pourra plus faire l’objet d’aucune contestation, pour quelque cause que ce soit. Une réclamation en cours ne suspend en aucun cas l’exigibilité ni le paiement des sommes dues.

Tout retard ou défaut de paiement entrainera de plein droit :

  1. L’exigibilité immédiate de toute somme restante due ;
  2. Un intérêt de retard dont le montant est égal au taux d’intérêt appliqué par la Banque centrale européenne à son opération de refinancement la plus récente, majoré de dix (10) points de pourcentage (article L.441-6 du Code de commerce).     

Cette pénalité est calculée sur le montant hors taxes de la somme restante due, et court à compter du jour suivant la date de règlement portée sur la facture, jusqu’à son paiement total, sans qu’aucun rappel ou mise en demeure préalable ne soit nécessaire ;

  1. Le paiement d’une indemnité forfaitaire de quarante (40) euros, conformément à l’article D441-5 du Code de commerce ;
  2. Le droit pour SEKOST de suspendre l’exécution des Prestations en cours et de surseoir à toute nouvelle Commande.

9 DURÉE ET RÉSILIATION

Les présentes CGS entrent en vigueur à la date d’acceptation du Bon de Commande par le Client, soit directement soit par l’intermédiaire d’un Distributeur, ou, à défaut, à la date de première utilisation des Prestations telle que matérialisée par les clics ou doubles clics, les jetons d’horodatage et les données de connexion transmis à SEKOST (la « Date d’Effet »). 

Les CGS demeurent en vigueur pendant la durée initiale mentionnée dans le Bon de Commande ou, à défaut, jusqu’à la complète exécution des Prestations. A l’expiration d’un Bon de Commande, le Client pourra demander le renouvellement des Prestations pour la durée convenue avec SEKOST moyennant un nouveau Bon de Commande. 

En cas de dénonciation d’un Bon de Commande, SEKOST s’engage à exécuter les Prestations convenues jusqu’à l’expiration du Bon de Commande.

Au cas où l’une des parties ne respecterait pas l’une des obligations, l’autre partie devra lui adresser par lettre recommandée avec accusé de réception une sommation d’y remédier. La partie défaillante disposera d’un délai de quinze (15) jours à compter de cette lettre pour se conformer à ses obligations. A défaut, l’autre partie pourra demander la résiliation du Contrat et/ou la suspension de toute Commande en cours.

En cas de manquement du Client à son obligation de payer les Prestations réalisées par SEKOST ou à une quelconque de ses obligations au titre des présentes, SEKOST pourra immédiatement suspendre les Prestations, en tout ou partie, et/ou résilier le Contrat, sans qu’une mise en demeure préalable ou une décision de justice ne soit nécessaire.

À la date de suspension ou de résiliation de la Commande, pour quelque raison que ce soit, SEKOST conservera tous ses droits déjà échus, y compris son droit au paiement immédiat par le Client de toutes les Prestations déjà fournies et des frais supportés par SEKOST jusqu’à la date d’arrêt ou de suspension des Prestations.

10 FORCE MAJEURE

Les parties ne seront pas tenues responsables des retards ou inexécutions de leurs obligations, causés par un événement de Force Majeure. Les événements de Force Majeure s’entendent des événements hors du contrôle des parties, survenant après la date de signature du Bon de Commande. Ils comprennent (sans que cette liste soit limitative) les guerres, les émeutes, les grèves et les autres conflits collectifs du travail, les catastrophes naturelles, les pandémies et épidémies, les intempéries à caractère exceptionnel, les pannes ou l’indisponibilité générale des moyens de transport, les accidents, les incendies, les explosions et les pénuries de courant.

11 PROPRIÉTÉ INTELLECTUELLE

L’ensemble des signes distinctifs, marques, logos, textes, commentaires, illustrations et images du Prestataire sont protégés par le droit d’auteur et les Droits de propriété intellectuelle pour le monde entier et ne peuvent être reproduits, utilisés ou représentés sans l’autorisation expresse de SEKOST sous peine de poursuites judiciaires.

Les Prestations, mêmes celles portant sur de la propriété intellectuelle, ne donnent aucun droit au Client sur le contenu ou la présentation de ceux-ci lesquels restent la propriété exclusive de SEKOST.

Dans le cadre des Prestations, le Prestataire peut être amené à utiliser des éléments de propriété intellectuelle appartenant au Client. Le Client accepte expressément que le Prestataire utilise ces éléments pour la seule réalisation des Prestations.

Le Prestataire s’engage en ce sens à :

  1. Cesser d’utiliser la propriété intellectuelle du Client dès la fin des

Prestations ;

  1. Détruire, à première demande du Client, tous les éléments de propriété intellectuelle appartenant au Client et disponibles sur les ordinateurs, smartphones, réseaux et matériels de stockage appartenant au Prestataire, à l’exception des informations relatives à l’utilisation des Prestations nécessaires au Prestataire pour se conformer à ses obligations légales applicables conformément aux délais légaux.

12 CONFIDENTIALITÉ

Les parties reconnaissent qu’elles seront susceptibles de recevoir des Informations Confidentielles de l’autre partie, dans le cadre des Prestations.

Chaque partie veillera à protéger la confidentialité des Informations Confidentielles qu’elle reçoit avec le même degré de protection qu’elle accorde à ses propres Informations Confidentielles d’importance similaire, et en aucun cas avec un degré de protection moins suffisant.

Ne sont pas considérées comme des Informations Confidentielles, les informations dont la partie réceptrice pourra prouver :

  1. Qu’elles étaient connues de manière licite antérieurement à la date d’un Bon de Commande;
  2. Qu’elles étaient dans le domaine public préalablement à leur communication;
  3. Qu’elles sont accessibles au public par publication ou tout autre moyen de communication, sauf en cas de faute ou de négligence imputable à la partie ayant reçu ces informations;
  4. qu’elles étaient en la possession de l’autre partie au moment de leur communication, et qu’elles n’avaient pas été obtenues, directement ou indirectement, sous le sceau du secret ou en violation d’une obligation de confidentialité;
  5. qu’elles  ont  été  communiquées  aux  parties licitement par des tiers sans obligation de secret ou violation d’obligations de confidentialité;
  6. qu’elles ont été communiquées par application d’une loi, d’un règlement ou d’une ordonnance d’une autorité compétente (y compris d’un organisme régulateur ou gouvernemental ou une autorité boursière), l’une des parties est obligée de la divulguer, à condition que, dans la mesure du possible, l’autre partie ait reçu une notification dans les plus brefs délais afin de lui permettre d’exercer toute voie de recours en vue d’obtenir une mesure de protection;
  7. Qu’elles ont été développées indépendamment par la partie réceptrice et sans utilisation de quelque manière que ce soit des Informations Confidentielles remises par l’autre partie.

En cas de découvertes de contenus illégaux susceptibles d’être qualifiés de crimes, le Client reconnaît que SEKOST pourra avertir les autorités compétentes sans contrevenir à la présente clause.

13 DONNÉES PERSONNELLES

13.1 Données personnelles des parties

Afin de gérer leur relation contractuelle et de remplir leurs obligations comptables et financières, chaque partie traite les Données Personnelles des employés, dirigeants, représentants ou consultants de l’autre partie en tant que Responsable du traitement. Le détail de ces traitements réalisés par SEKOST est disponible dans la Politique de Confidentialité : https://sekost.fr/

13.2 Données personnelles appartenant au client du Client

Dans le cadre des Prestations, SEKOST peut être amenée à avoir accès à des données personnelles      appartenant au Client. L’Annexe 2 du Contrat détaille les informations relatives au traitement des Données Personnelles effectué par SEKOST, en sa qualité de Sous-traitant du Client, conformément au RGPD. Elle expose les finalités des activités de traitement effectuées, les personnes concernées et les données concernées, les destinataires des données, la période de conservation et les droits des personnes concernées.     

14 RESPONSABILITÉS

SEKOST ne peut être tenu responsable :

  • D’une interruption de service involontaire du Système informatique du Client ;
  • De la fuite de données sensibles issue d’une négligence de sécurité du Client ;
  • D’une mauvaise identification des ressources pouvant entraîner des répercussions sur la recherche de vulnérabilités ;
  • De la non-exhaustivité des résultats, SEKOST étant tenue d’une obligation de moyens.

Le Prestataire ne pourra être tenu responsable que des seuls dommages directs subis par le Client et immédiatement consécutifs à un manquement ou à une faute du Prestataire dans l’exécution des Prestations.

Le Prestataire ne pourra être tenu responsable de tous dommages indirects tels que préjudices commerciaux, retards, pertes de chiffre d’affaires, pertes de clientèle, pertes d’exploitation, et de toutes pertes ou dommages indirects subis par le Client, même si de tels dommages résultent de l’exécution ou de la non- exécution des Prestations.

Particulièrement, SEKOST ne sera pas responsable en cas d’incident de cybersécurité lié à une vulnérabilité remontée mais non traitée, ou à une vulnérabilité qui n’aurait pas été identifiée comme telle par SEKOST.

La responsabilité globale du Prestataire envers le Client ne pourra excéder le montant total des sommes effectivement versés par le Client au Prestataire au cours des douze (12) derniers mois précédant la réclamation des dommages.

Sont exclues de ce plafond financier de responsabilité (I) la responsabilité du Prestataire en cas de décès ou de dommages corporels causés par la négligence du Prestataire, et (II) les pertes et dommages résultant de la faute intentionnelle du Prestataire.

Nonobstant ce qui précède, la responsabilité du Prestataire ne pourra être retenue au titre des réclamations qui résulteraient ou qui seraient liées à l’exécution de la      Commande sous réserve que le Client notifie sa réclamation au plus tard douze (12) mois après qu’il ait eu connaissance (ou qu’il aurait dû raisonnablement avoir connaissance) du dommage.

Le Client s’engage à prendre toutes les mesures nécessaires pour éviter ou atténuer le préjudice qu’il pourrait subir en raison du non-respect par le Prestataire de ses engagements. A défaut, le montant des indemnités dues par le Prestataire sera diminué du montant des pertes qui auraient pu être évitées ou atténuées par le Client.

15 ASSURANCES

SEKOST dispose d’une assurance professionnelle spécifique couvrant tout ou partie des éventuels dommages causés lors de la réalisation des Prestations.

16 INDÉPENDANCE

Les parties reconnaissant qu’elles sont et demeureront, pendant toute la durée des Prestations, des professionnels indépendants, assurant chacun les risques de sa propre exploitation.

En conséquence les relations entre les parties ne sauraient en aucun cas (i) placer l’une et l’autre dans un état de subordination, ou (ii) être interprétées comme une forme de contrôle ou de direction ou (iii) désigner l’un quelconque des employés, collaborateurs ou sous-traitant de l’une d’elle affecté à l’exécution du Contrat comme associé, représentant légal ou préposé à quelles que fins que ce soit.

Chacune des parties assumera seule l’intégralité des frais liés à l’exercice de son activité et s’acquittera personnellement des charges sociales et fiscales y afférentes.

SEKOST ne saurait par ailleurs être impliquée de quelque manière que ce soit dans des accords, contrats ou partenariats entre Clients.

17 CESSION

Les présentes CGS lient les parties aux présentes et leurs successeurs et ayants-droits respectifs et s’appliquent à leur profit. Aucune des parties ne peut céder, vendre ou transférer d’une autre manière (« Transfert ») les CGS sans le consentement écrit préalable de l’autre partie, qui ne sera pas retardé ou refusé de manière déraisonnable, sauf qu’aucun consentement ne sera requis si le Transfert est destiné à une Affiliée ou à un successeur d’intérêt par le biais d’une fusion, d’une réorganisation, d’un changement de contrôle, d’une consolidation ou d’un regroupement, ou dans le cadre d’une vente de la totalité ou de la quasi-totalité (50 % ou plus) des actifs de la partie concernée.          

A ce titre, SEKOST se réserve le droit de modifier, à tout moment, sa dénomination sociale, son identité visuelle ou la marque sous laquelle les Prestations sont vendues, notamment à la suite d’une opération de restructuration, de fusion, d’acquisition ou de rebranding. Ces modifications n’auront aucun effet sur la validité, la continuité ou l’exécution des présentes CGS, qui se poursuivront de plein droit.

18 SOUS-TRAITANCE

Dans le cadre des Prestations, SEKOST se réserve la possibilité de faire appel à tout sous-traitant pour la réalisation de tout ou partie des Prestations. Lorsque le sous-traitant est susceptible de traiter des données personnelles du Client, le recrutement est réalisé conformément aux stipulations de l’article 3 de l’Annexe 2.

Elle en informera le Client préalablement et s’engage à ce que chaque sous-traitant dispose des compétences et du degré de sécurité nécessaires pour la réalisation des Prestations.

19 NULLITÉ PARTIELLE

Toute clause des CGS jugée inapplicable, invalide ou illégale pourra être modifiée par accord des parties pour la rendre exécutoire, valide ou légale tout en la gardant similaire en substance.

20 NON RENONCIATION

Le fait qu’une partie n’ait pas sollicité l’application d’une des clauses des présentes      CGS, notamment une prérogative reconnue par celui-ci, ne pourra être considéré ni comme une modification des CGS, ni comme une renonciation expresse ou tacite au droit d’exercer ladite clause dans l’avenir, ou au droit d’exiger l’exécution scrupuleuse des engagements souscrits aux présentes.

21 DOMICILIATION

Pour l’exécution des Prestations et pour tout litige soulevé par l’application des CGS ou son exécution, les parties élisent domicile en leurs sièges sociaux respectifs.

22 LOI APPLICABLE ET ATTRIBUTION DE JURIDICTION

Les présentes CGS sont régies par le droit français.

Tout différend né de l’interprétation ou de l’exécution de tout ou partie des CGS, fera l’objet d’une tentative de règlement amiable, pendant un temps ne pouvant être inférieur à trente (30) jours à compter de la notification du différend par une partie à l’autre partie.

Les parties conviennent à cet effet de se rencontrer pour régler leur différend dans le cadre d’une réunion organisée à l’initiative de l’une quelconque des parties, y associant les personnes dûment habilitées à engager les parties.

A l’issue de cette procédure amiable, compétence expresse est attribuée aux Tribunaux compétents du ressort de la Cour d’appel du siège social de SEKOST, nonobstant pluralité de défendeurs ou appel en garantie, même pour les procédures d’urgence, d’expertise ou les procédures conservatoires en référé ou par requête.

23 ANNEXE 1 – DÉTAIL DES PRESTATIONS

23.1 Flash Cyber

Prestation de prospection/sensibilisation visant à donner une vue d’ensemble rapide de l’exposition en ligne d’une entité à partir du périmètre fourni par le Client.

Prestation consistant en une analyse automatisée, à distance, sans installation ni accès aux systèmes internes 

23.2 Diagnostic Cyber

Prestation d’audit ponctuel de la surface d’attaque publique et de l’hygiène de sécurité réalisé à partir du périmètre fourni par le Client. 

Prestation consistant en une analyse automatisée, à distance, sans installation ni accès aux systèmes internes, complétée par un scoring et une priorisation des actions. 

23.3 Checkup Cyber

Prestation de suivi de l’exposition et du niveau de risque cyber pour permettre de mesurer la progression dans le temps, complété par un scoring et une priorisation des actions. Analyse réalisée à distance, sans déploiement ni accès interne.

24 ANNEXE 2 – PROTECTION DES DONNÉES PERSONNELLES

La présente Annexe a pour objet de fixer les droits et obligations du Client et de SEKOST en matière de protection des Données Personnelles dans le cadre du Contrat. Les Prestations fournies par SEKOST ne sont pas destinées à traiter des Données Personnelles. Toutefois, SEKOST peut être amené à accéder, consulter, reproduire ou stocker toute donnée personnelle accessible depuis les Systèmes d’Information du Client testé dans le cadre des Prestations.

SEKOST agit en tant que Sous-traitant du Client, ayant la qualité de Responsable du traitement, dans le cadre de ses instructions telles que définies ci-dessous et par le RGPD et la loi n° 78-17 du 6 janvier 1978 modifiée.

Pour l’interprétation des notions liées à la protection des Données Personnelles et figurant dans la présente Annexe, il convient de se reporter aux définitions de l’article 4 du RGPD et de l’intégralité du Contrat. 

24.1 Traitements des Données Personnelles

Le Client reconnaît qu’il est de son entière responsabilité de définir les Systèmes d’Information à tester. Par conséquent, l’accès aux Données Personnelles disponibles sur les Systèmes d’Information du Client dans le cadre des Prestations est à la seule discrétion du Client. A ce titre, le Client garantit SEKOST que ces Données Personnelles peuvent être traitées aux fins des Prestations conformément au RGPD. 

En outre, il appartient au Client d’informer les personnes concernées par les traitements susceptibles d’être réalisés par SEKOST.

24.2 Obligations générales

SEKOST s’engage à : 

  • Traiter les Données Personnelles conformément aux instructions documentées du Client et uniquement pour la ou les finalités spécifiques du Traitement, sauf instruction complémentaire du Client.
  • Veiller à ce que son personnel dûment habilité pour traiter les Données Personnelles soit soumis à une obligation de confidentialité et, le cas échéant, sensibilisés aux principes de protection des données.
  • Fournir l’assistance raisonnable requise par le Client et mettre à sa disposition toutes les informations nécessaires pour démontrer le respect de ses obligations en matière de protection des Données Personnelles et permettre au Client d’être en conformité avec le RGPD. En particulier, il assiste le Client et lui communique toute documentation utile pour :
    • la sécurité des Données Personnelles, 
    • la notification d’une Violation de données personnelles, 
    • la réalisation de l’analyse d’impact relative à la protection des données et la consultation de l’autorité de contrôle, lorsque cela est requis.
  • Traiter de manière rapide et adéquate les demandes du Client concernant le Traitement des Données Personnelles conformément à la présente Annexe. 
  • Assister et coopérer avec le Client pour les Traitements de Données Personnelles sous-traités et ce notamment vis-à-vis de l’autorité de contrôle.

Dans la mesure où les instructions du Client vont au-delà de ce qui pourrait être raisonnablement exigé d’un Sous-traitant en vertu de la législation applicable, SEKOST sera en droit à une compensation raisonnable (par exemple pour fournir des volumes étendus d’exercice de droits des Personnes Concernées ou pour fournir des informations plus approfondies en vertu des Articles 7 (Droits des Personnes Concernées) et 8 (Notification des violations de Données Personnelle) de cette Annexe.

24.3 Sous-traitance ultérieure 

SEKOST s’engage à :

  • Recruter exclusivement des Sous-traitants ultérieurs qui présentent des garanties suffisantes quant à la mise en œuvre des mesures de sécurité physiques, techniques et organisationnelles de manière à ce que le(s) Traitement(s) sous-traité(s) réponde(nt) aux exigences du RGPD, compte tenu de l’état de l’art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du/des Traitement(s).
  • Imposer à ses Sous-traitants ultérieurs l’ensemble des exigences clauses de la présente Annexe. 

Les Sous-traitants ultérieurs de SEKOST existants lors de la signature du Contrat sont réputés avoir été autorisés par le Client dans le cadre d’une autorisation générale.

A la signature du présent Contrat, les Sous-traitants ultérieurs autorisés par le Client sont identifiés à l’Article 11 de cette Annexe.

En cas de changement ou de remplacement de Sous-traitants ultérieurs, SEKOST s’engage à : 

  • Informer le Client dans les meilleurs délais. Dans l’hypothèse où le Client émettrait des objections, et si le Sous-traitant ultérieur non agréé par le Client est nécessaire à la fourniture des prestations, objet du Contrat, SEKOST et le Client s’engagent à se rapprocher pour convenir d’une solution acceptée des deux parties.
  • Tenir à jour la liste des Sous-traitants ultérieurs. 
  • Soumettre le Sous-traitant ultérieur aux mêmes obligations en matière de protection des Données Personnelles que celles qui lui sont imposées dans la présente Annexe. 
  • Veiller à ce que le Sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis au titre de la présente Annexe et du RGPD.
  • Fournir au Client sur première demande, une copie du contrat conclu avec le ou les Sous-traitants ultérieurs et de toute modification qui y est apportée ultérieurement. 
  • Imposer à ses Sous-traitants ultérieurs de ne pas transférer les Données Personnelles, objet du Contrat, vers des pays tiers ne présentant pas un niveau de protection équivalent à celui de l’UE sans autorisation écrite préalable du Client. 

SEKOST demeure pleinement responsable devant le Client de tout manquement aux obligations en matière de protection des Données Personnelles qui serait imputable à ses Sous-traitants ultérieurs. SEKOST informe le Client de tout manquement du Sous-traitant ultérieur à ses obligations contractuelles. 

24.4 Transfert de Données Personnelles vers des pays tiers 

SEKOST s’engage à ne pas réaliser de transfert de Données Personnelles vers des pays tiers ou une organisation internationale ne présentant pas un niveau de protection équivalent à celui de l’UE sans autorisation écrite préalable du Client. Tout transfert de données vers un pays tiers ou une organisation internationale par SEKOST n’est effectué que sur la base d’instructions documentées du Client.

En cas de transfert autorisé par le Client, SEKOST s’engage à vérifier l’existence de garanties appropriées permettant d’encadrer ledit transfert de Données Personnelles (clauses contractuelles types de la Commission européenne, Binding Corporate Rules, …).

Dans le cas où SEKOST serait tenu de procéder à un transfert de Données Personnelles vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer préalablement le Client de cette obligation, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

24.5 Sécurité du traitement

SEKOST s’engage à prendre toutes les mesures techniques et organisationnelles appropriées afin de garantir la sécurité, l’intégrité, la disponibilité et la confidentialité des Données Personnelles qu’il traite, dont le recours à la pseudonymisation et au chiffrement des Données Personnelles quand cela est nécessaire. 

Ces mesures assurent au moins à un niveau de sécurité qui tient compte (i) des moyens techniques existants ; (ii) des coûts de mise en œuvre de ces mesures ; (iii) des risques particuliers associés au traitement des Données Personnelles ; et (iv) de la sensibilité des Données Personnelles qui sont traitées.  Les mesures de sécurité mises en œuvre sont disponibles dans la PSSI et le document intitulé « Platform Information Security ».

Lorsque SEKOST est autorisée à accéder aux Données Personnelles conformément au Contrat, de telles opérations de traitement sont confiées aux membres de son personnel dans la mesure strictement nécessaire à l’exécution, à la gestion et au suivi du Contrat. SEKOST s’assurera que ledit personnel soit soumis à une obligation de confidentialité. 

SEKOST s’engage à communiquer au Client, sur demande de ce dernier, toute documentation utile relative à la sécurité des Données Personnelles.

24.6 Données sensibles 

Si le Traitement porte sur des catégories particulières de Données Personnelles au sens de l’article 9 du RGPD, SEKOST applique des limitations spécifiques et/ou des garanties appropriées. 

24.7 Droits des Personnes Concernées

SEKOST s’engage à adresser au Client, à l’adresse de contact indiquée par ce dernier, les demandes d’exercice de droits des Personnes Concernées par le(s) Traitement(s) de Données Personnelles qu’il réalise, dans un délai de QUARANTE-HUIT (48) heures. Il ne donne pas lui-même suite à ces demandes à moins que le Client ne l’y ait expressément autorisé.

SEKOST prête assistance au Client pour lui permettre de remplir son obligation de répondre aux demandes des Personnes Concernées d’exercer leurs droits, en tenant compte de la nature du Traitement. 

24.8 Notification des Violations de Données Personnelles

SEKOST s’engage à notifier au Client toute Violation de Données Personnelles dans les meilleurs délais et au plus tard dans les soixante-douze (72) heures après en avoir pris connaissance. Cette notification contient à minima : 

  • Une description de la nature de la violation constatée (y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et d’enregistrements de Données Personnelles concernées) ;
  • Les coordonnées d’un point de contact auprès duquel des informations supplémentaires peuvent être obtenues au sujet de la violation de Données Personnelles ;
  • Ses conséquences probables et les mesures prises ou les mesures qu’il est proposé de prendre pour remédier à la violation, y compris pour en atténuer les éventuelles conséquences négatives.

Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et, à mesure qu’elles deviennent disponibles, des informations supplémentaires sont communiquées dans les meilleurs délais. 

En cas de Violation de Données Personnelles, SEKOST met à la disposition du Client toute documentation utile afin de lui permettre de notifier cette violation à l’autorité de contrôle compétente, et, le cas échéant, aux Personnes Concernées. 

24.9 Registre/ Délégué à la protection des données du Sous-traitant

Conformément à l’article 30 du RGPD, SEKOST déclare tenir par écrit un registre des Traitements de Données Personnelles réalisés pour le compte du Client susceptible d’être mis à la disposition de l’autorité de contrôle sur demande. 

SEKOST a désigné un Référent interne à la protection des données qui peut être contacté à l’adresse suivante : privacy@sekost.fr.

24.10 Audit

SEKOST s’engage à coopérer avec le Client dans le cadre des audits ou des inspections diligentés par ce dernier ou tout auditeur mandaté en accord avec SEKOST. Les audits peuvent également comprendre des inspections dans les locaux ou les installations physiques de SEKOST et sont, le cas échéant, effectués moyennant un préavis raisonnable de QUINZE (15) jours. Les audits sont réalisés aux frais du Client, une fois par an, pendant les jours ouvrés et les horaires d’ouverture de SEKOST, et ne doivent pas interférer de manière excessive avec l’activité de SEKOST. Lorsqu’il décide d’un audit, le Client peut tenir compte des certifications pertinentes en possession de SEKOST. Le Client fournit à SEKOST une copie du rapport d’audit.

24.11 Instructions du Client relatives aux traitements des Données Personnelles

Diagnostic, analyse et reporting sur la sécurité des Systèmes d’Information du Client

Catégories de personnes concernées

En fonction de la liste des Systèmes d’Information définis par le Client.

Catégories de Données Personnelles

Les adresses IP, les adresses emails, et toutes Données Personnelles accessibles depuis les domaines et sous-domaines définis par le Client.

Finalité du traitement

L’analyse et l’évaluation des périmètres externes déclarés par le Client ainsi que la génération et la transmission des rapports au Client.

Nature du traitement réalisé par SEKOST

L’accès, la consultation et la reproduction des Données Personnelles.

Catégories de destinataires 

Sous-traitant(s) : 

  • DeepL SE, Maarweg 165, 50825 Cologne, Allemagne : le sous-traitant permet la traduction des rapports dans la langue souhaitée ;
  • Mango Technologies, Inc., 350 Tenth Ave Suite 500, San Diego, CA 92101, USA : le sous-traitant met à disposition une solution de gestion de projet (Datacenter dans l’UE) ;
  • OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Irlande : le sous-traitant permet d’enrichir les rapports lors de leur génération ;
  • Zoho Corporation B.V., Beneluxlaan 4B, 3527 HT UTRECHT, The Netherlands : le sous-traitant permet l’intégration des formulaires web ; 
  • Zapier, Inc., 548 Market St. #62411, San Francisco, CA 94104-5401, USA : le sous-traitant permet l’automatisation des workflows.  

Durée de conservation

Les données sont collectées pendant toute la durée d’autorisation des scans puis compilées dans les rapports fournis au Client. Les rapports sont ensuite hébergés pour archivage. 

 

Hébergement des rapports 

Catégories de personnes concernées

Toute personne physique dont les Données Personnelles été collectées dans le cadre du traitement « Diagnostic, analyse et reporting sur la sécurité des Systèmes d’Information du Client »

Catégories de Données Personnelles

Les adresses IP, les adresses emails, et toute Données Personnelles compilées dans les rapports transmis au Client.

Finalité du traitement

L’hébergement des rapports pour les besoins du support Client. 

Nature du traitement réalisé par SEKOST

Le stockage des Données Personnelles contenues dans les rapports. 

Catégories de destinataires 

Sous-traitant(s) : 

  • OVH S.A.S., 2, rue Kellermann, 59100 Roubaix, France: le sous-traitant assure le stockage des rapports (France) et le back-up de 2nd rang (Canada) ;
  • Infomaniak Network SA, Rue Eugène Marziano 25, 1227 Les Acacias (GE), Suisse: le sous-traitant assure le back-up de 1er rang.

Durée de conservation

Les rapports sont archivés sur l’infrastructure dédiée de SEKOST et conservés à des fins probatoires pour une durée de six (6) ans en application de l’article 8 du code de procédure pénale.