Conditions générales de vente

Dernière mise à jour : 12/01/2022

1. Préambule

1. La société Arsen Consulting est une société par actions simplifiée au capital de 16 500,00 euros, immatriculée au registre du commerce et des sociétés de Paris sous le numéro 881 923 775, dont le siège social est situé au 25 rue de Ponthieu, 75 008 Paris, France, et représentée par son Président, Monsieur Thomas Le Coz, ou son Directeur général, Monsieur Alexandre Esser, ayant tous pouvoirs aux fins des présentes.

2. La société Arsen Consulting met à disposition de ses clients des services SaaS leur permettant de concevoir, paramétrer et mettre en œuvre des campagnes de tests auprès de leurs salariés aux fins d’évaluer, notamment dans le temps, leur résilience face à des cyber attaques de type phishing, et de les sensibiliser sur les bons comportements à adopter face à de telles attaques. Les clients de la société Arsen Consulting disposent ainsi d’un outil permettant de mesurer le risque associé aux comportements de leurs salariés et de mettre en place des actions de sensibilisation en vue de diminuer ce risque.

3. Le client est un professionnel  qui s’est montré intéressé par les services SaaS proposés par la société Arsen Consulting.

4. La société Arsen Consulting a remis au client une offre afin de répondre aux besoins exprimés par le client et a mis à disposition du client à cette occasion un lien hypertexte permettant d’accéder au présent contrat et ses annexes et de le télécharger.

5. Après avoir pris étudié de manière approfondie les caractéristiques des services SaaS sur la base de l’offre transmise par la société Arsen Consulting, le client s’est assuré préalablement à la conclusion des présentes que les caractéristiques qu’il a retenues des services SaaS ainsi que ladite proposition sont en adéquation avec ses besoins.

6. Le client a ensuite émis un bon de commande précisant notamment le périmètre des services SaaS souscrits, la volumétrie des destinataires des campagnes de tests envisagées, les utilisateurs des services SaaS ainsi que le prix de ces derniers selon les termes de la proposition technique et financière de la société Arsen Consulting.

7. La société Arsen Consulting a reçu et accepté ledit bon de commande et remis au client (i) une facture ainsi que (ii) les identifiant et mot de passe temporaires de l’utilisateur désigné par le client permettant d’accepter les termes du présent contrat et les conditions générales d’utilisation du portail SaaS et des services SaaS et d’accéder aux services SaaS par le biais du portail SaaS.

8. L’acceptation du présent contrat et des conditions générales d’utilisation susvisées par l’utilisateur est un préalable à l’accès et à l’utilisation des services SaaS souscrits par le client, ce dont le client a été informé par le biais de l’offre transmise par la société Arsen Consulting.

9. Les parties conviennent de procéder à un échange permanent d’informations, en vue de contribuer à la réussite du présent contrat et d’éviter la génération de difficultés préjudiciables aux intérêts des deux parties.

2. Définition

10. Les termes ci-dessous définis auront entre les parties la signification suivante :

  • « bon de commande » : document contractuel permettant au client de commander directement des services SaaS. Le bon de commande se réfère au présent contrat et est accepté par un représentant du client dûment habilité à cet effet ;
  • « campagne de tests » : les campagnes conçues au moyen des services SaaS et destinées à tester la résilience des destinataires en situation de cyber attaques de types phishing. Une campagne de tests démarre au premier courriel adressé à un destinataire et s’achève au plus tard trois (3) mois à compter après l’envoi du dernier courriel à un destinataire ;
  • « conditions générales d’utilisation » : conditions générales d’utilisation du portail SaaS et et des services SaaS devant être acceptées et respectées par l’utilisateur ;
  • « credential harvesting » : une cyber attaque visant à récupérer des identifiants de connexion en simulant par exemple un faux portail de connexion auprès de salariés ciblés du client ;
  • « cyber attaque » : désigne au sens du présent contrat des pratiques de credential harvesting et de phishing, à l’exclusion de toutes autres cyber attaques ;
  • « destinataires » : les salariés du client qui font l’objet d’une campagne de tests dans le cadre de la mise en œuvre, par le client, des services SaaS ;
  • « documentation » : documentation de toute nature se rapportant aux services SaaS, notamment aux conditions d’utilisation, à la description des fonctionnalités et, de façon générale, se rapportant aux informations techniques nécessaires ou utiles à leur utilisation, disponible sur le portail de la société Arsen Consulting ou adressée par la société Arsen Consulting au client par courrier  ;
  • « données » : ensemble des informations de toutes natures communiquées par le client sous son entière responsabilité, hébergées par la société Arsen Consulting et destinées à être traitées dans le cadre de la mise en œuvre des services SaaS ;
  • « double clic positif » : le clic est la formulation électronique de l’acceptation du client ; par le premier clic, le client valide sa commande de services SaaS et du présent contrat, y compris ses annexes, et par le second clic, le client confirme cette acceptation.
  • « flux » : transmission d’informations composées des données du client et du résultat des traitements par les services SaaS ;
  • « identifiants de connexion » : identifiant et mot de passe confiés au client et attribués de manière personnelle et confidentielle au nombre d’utilisateurs stipulé dans le bon de commande, permettant l’accès par lesdits utilisateurs aux services SaaS depuis une connexion sécurisée au portail SaaS ; les identifiants de connexion du client lui seront communiqués par courrier électronique à l’adresse renseignée par le client  ;
  • « phishing » : une cyber attaque visant à compromettre un salarié du client en le manipulant, en lui soustrayant par exemple des informations confidentielles appartenant à l’entreprise dans lequel il travaille ou encore en lui faisant installer un logiciel malveillant sur ses outils de travail (ordinateur, tablette ou téléphone portable) ;
  • « portail SaaS » : service électronique interactif mis en ligne sur internet par la société Arsen Consulting accessible à l’adresse https://support.arsen.co et permettant au client d’accéder aux services SaaS ;
  • « prestations » : les prestations réalisées par la société Arsen Consulting telles que visées à l’article « Objet » ;
  • « services SaaS » : ensemble des services diffusés en ligne via le portail SaaS décrits en annexe « Description des services SaaS » et souscrits en tout ou partie par le client au moyen d’un bon de commande. Les services SaaS sont spécifiés à l’article « Spécifications des services SaaS » ;
  • « utilisateur » : personne physique salariée du client ayant l’autorisation d’accéder aux services SaaS, objet des présentes, et étant le contact privilégié côté client de la société Arsen Consulting. Le nombre et l’identité des utilisateurs sont désignés au bon de commande. Les utilisateurs doivent être habilités à représenter le client pour les besoins du contrat.

3. Objet

11. Le présent contrat a pour objet de définir les conditions dans lesquelles la société Arsen Consulting :
• concède au client qui l’accepte un droit d’accès et d’utilisation des services SaaS ;
• assure des services d’assistance technique et de maintenance corrective des services SaaS.

12. Toute autre prestation non prévue au présent contrat fera l’objet d’un devis et d’un contrat séparé.

4. Documents

13. Les documents contractuels sont, par ordre de priorité décroissant :

• le présent contrat et ses annexes, hors annexe sur les conditions financières ;
• le bon de commande correspondant aux services SaaS souscrits et accepté par la société Arsen Consulting ;
• l’annexe sur les conditions financières.

Les parties excluent expressément l’application de tout autre document à la fourniture des services SaaS, en ce compris les conditions générales d’achat du client pouvant notamment figurer au dos d’un bon de commande

14. En cas de contradiction entre des documents de nature différente ou de rang différent, il est expressément convenu entre les parties que les dispositions contenues dans le document de rang supérieur prévaudront pour les obligations se trouvant en conflit d’interprétation. En cas de contradiction entre les termes des documents de même ordre, les derniers documents en date prévaudront sur les autres.

15. Nonobstant les règles d’interprétation des contrats définies dans le Code civil, il sera fait application de critères de rang selon les principes suivants :

• obligation par obligation ;
• ou, à défaut, alinéa par alinéa ;
• ou, à défaut, article par article.

5. Offre et acceptation

16. Le présent contrat est un contrat conclu par voie électronique entre la société Arsen Consulting et le client, tous deux professionnels. En conséquence, conformément à l’article 1127-3 du Code civil, les parties sont expressément convenues de déroger aux dispositions :

• des 1° à 5° de l’article 1127-1 du Code civil, le contenu de l’offre de la société Arsen Consulting étant précisé en préambule du présent contrat ;
• de l’article 1127-2 du Code civil, le processus d’acceptation de l’offre et donc de conclusion du présent contrat étant le suivant :

Étape n°1 : Création d’un accès à l’espace client du portail SaaS comprenant nécessairement l’acceptation par un procédé dit de du présent contrat et de ses annexes et des conditions générales d’utilisation du portail SaaS et des services SaaS.

A cette fin, le client s’engage à désigner un utilisateur ayant tous pouvoirs pour réitérer l’engagement du client aux fins des présentes.

Le « double clic » consiste pour l’utilisateur à cocher la case correspondant à chaque document susvisé puis à confirmer ce choix en cliquant sur le bouton « En cliquant sur ce bouton, je reconnais avoir pris connaissance de l’intégralité de contrat de services SaaS et de ses annexes ainsi que des conditions générales d’utilisation du portail SaaS et des services SaaS ».

6. Opposabilité

17. La version du contrat opposable au client est celle acceptée par celui-ci au moment de la validation par la société Arsen Consulting du bon de commande du client auquel elle est annexée.18. Cette version est accessible en permanence par le client sur son espace client du portail SaaS

7. Durée

19. Le présent contrat est conclu pour une durée initiale un (1) an à compter de la validation du bon de commande transmis par la société Arsen Consulting.

20. Le présent contrat a une durée initiale d’un an à compter de l’entrée en vigueur du contrat.

21.Le contrat est tacitement reconduit par période annuelle à la date anniversaire du contrat, sauf dénonciation par l’une ou l’autre des parties respectant un préavis d’un (1) mois , notifiée par lettre recommandée avec avis de réception.

8. Spécifications des services SaaS

8.1. Périmètre

22. Le périmètre des services SaaS est détaillé en annexe « Description des services SaaS ».

8.2. Hébergement

23. Les services SaaS et le portail SaaS sont hébergés sur les serveurs externalisés auprès d’un prestataire désigné par la société Arsen Consulting et présentant des niveaux de garanties et de sécurité équivalents.

24. Le prestataire en charge de l’hébergement desdits serveurs est Google Cloud Platform.

25. Les centres d’hébergement sont situés aux emplacements suivants :

• Paris, France ;
• Francfort, Allemagne ;

26. La société Arsen Consulting met à la disposition du client uniquement un accès distant aux services SaaS et au portail SaaS, afin de permettre le traitement des données transmises par le client à la société Arsen Consulting via cet accès.

27. La société Arsen Consulting assure l’acheminement des flux vers les services SaaS hébergés via une connexion au portail SaaS.

28. La société Arsen Consulting hébergera des données du client sur ses serveurs, ainsi que leur traitement, dans la limite des volumétries définies en annexe « Conditions financières »  et au bon de commande.

29. En cas d’augmentation de l’espace disponible nécessaire à l’hébergement des données du client, les parties se rapprocheront afin de définir les conditions, notamment financières, de l’octroi par la société Arsen Consulting d’un espace complémentaire pour l’hébergement des données du client.

8.3. Hébergement et sauvegarde des données du client

30. Les données du client nécessaires à l’exécution des services SaaS seront périodiquement sauvegardées sur les serveurs hébergeant lesdits services et le portail SaaS.

31. A l’issue d’un délai de trois (3) mois  à compter de la fin des relations contractuelles entre les parties, pour quelque raison que ce soit, les sauvegardes des données du client réalisées par la société Arsen Consulting seront détruites, la société Arsen Consulting s’engageant à n’en conserver aucune copie.

32. La société Arsen Consulting ne saurait être tenue responsable des conséquences dommageables pour le client ou des tiers de la perte, de la détérioration ou de la destruction des données du client.

33. Il appartient en conséquence au client de réaliser des copies de sauvegarde de ses données confiées à la société Arsen Consulting et des résultats obtenus à l’occasion de chaque campagne de tests et, plus généralement, au moyen de la mise en œuvre des services SaaS.

8.4. Documentation

34. La documentation relative aux services SaaS est disponible en ligne.

8.5. Préconisations matérielles

35. Le client s’engage à respecter les préconisations de la société Arsen Consulting relatives aux matériels et dispositifs (notamment en matière de télécommunications) nécessaires à l’utilisation des services définis à l’article « Périmètre ».

36. La société Arsen Consulting peut, le cas échéant et sur demande du client, procéder à l’audit des installations du client préalablement à tout déploiement, afin d’évaluer l’adéquation de ces installations avec les préconisations matérielles et proposer, le cas échéant, des modifications ou évolutions permettant de se conformer aux prérequis. Cet audit technique fera l’objet d’une facturation complémentaire.

8.6. Identification

37. Dès l’entrée en vigueur des présentes et sous réserve des paiements correspondant aux services SaaS souscrits, la société Arsen Consulting concédera au client un droit d’utilisation à distance du portail SaaS, des services SaaS, ainsi que la création d’une base de données regroupant l’ensemble des données correspondant à la mise en œuvre des services SaaS demandés par la société Arsen Consulting.

38. Pour ce faire, la société Arsen Consulting fournira au client un identifiant et un mot de passe permettant aux utilisateurs désignés par cette dernière d’accéder aux services Saas, objet des présentes.

39. L’identification des utilisateurs du client au moyen de l’identifiant et du mot de passe qui leur ont été adressés vaut de manière irréfragable imputabilité des opérations effectuées au moyen de ce mot de passe et de cet identifiant.

40. L’identification et le mot de passe fournis par la société Arsen Consulting au client sont confidentiels, uniques et personnels. Le client est seul responsable de leur utilisation par les utilisateurs qu’il aura désigné et se porte fort du respect par ces derniers des règles élémentaires de sécurité et de confidentialité.

8.7. Utilisation des services SaaS

41. La société Arsen Consulting s’engage à rendre accessible 7 jours sur 7 et 24 heures sur 24 les services SaaS, à compter de la signature du présent contrat.

42. La société Arsen Consulting se réserve toutefois le droit de restreindre, totalement ou partiellement, l’accès aux services SaaS afin d’assurer la maintenance, dans le cadre de prestations programmées, de sa configuration informatique et des infrastructures mises en œuvre pour la fourniture des services SaaS.

43. Dans la mesure du possible, la société Arsen Consulting tentera de ne pas rendre indisponibles les services SaaS pendant un temps excessif et à réaliser les prestations de maintenance en dehors des horaires normaux de travail et le weekend.

44. A défaut de transmission par le client des données nécessaires pour assurer les prestations objets du présent contrat, la responsabilité de la société Arsen Consulting ne saurait être engagée en cas de retard.

8.8. Evolution des services

45. La société Arsen Consulting se réserve la possibilité de faire évoluer les services SaaS accessibles via le portail SaaS, en vue d’une amélioration de ses services.

46. D’une manière générale, la société Arsen Consulting se réserve le droit de prendre et mettre en œuvre toute décision technique visant à l’amélioration des services SaaS, sous réserve d’en assurer la continuité et la compatibilité ascendante.

8.9. Arrêt des services SaaS

47. Dans le cas où la société Arsen Consulting serait amenée à faire des interventions programmées sur le portail, la société Arsen Consulting s’efforcera d’informer par message électronique le client, dans un délai d’au moins 24 heures avant la date prévue pour ces interventions et tentera de ne pas rendre indisponible l’accès au service pendant un temps excessif.

48. La société Arsen Consulting n’est pas responsable des dommages de toute nature qui peuvent résulter d’une indisponibilité temporaire de tout ou partie du portail de diffusion des services Saas.

8.10. Suspension des services SaaS

49. En cas de non-respect de ses obligations par le client, ou en cas de suspicion d’une utilisation frauduleuse des services SaaS, la société Arsen Consulting se réserve le droit de suspendre de plein droit et sans préavis l’accès à tout ou partie des services Saas.

50. L’accès aux services sera suspendu pendant le temps nécessaire à la réalisation des vérifications et jusqu’à ce que la cause de la suspension ait disparu.

8.11. Télécommunications

51. Le client fait son affaire personnelle de l’accès au portail SaaS de la société Arsen Consulting.

52. Les spécifications en matière de télécommunications nécessaires à l’utilisation des applications informatiques figurent dans la documentation en ligne sur le portail.

53. Les coûts d’accès au serveur de la société Arsen Consulting seront à la charge exclusive du client qui fait son affaire personnelle de souscrire les abonnements de télécommunications nécessaires.

8.12. Preuve

54. Les registres informatisés, conservés dans les systèmes informatiques de la société Arsen Consulting dans des conditions raisonnables de sécurité, seront considérés comme les preuves de communication et d’envoi des formulaires d’inscription, ainsi que des différentes transmissions des informations par le client à la société Arsen Consulting permettant à celle-ci d’assurer les traitements souhaités par le client.

55. L’archivage des différents formulaires d’inscription et de renseignement doit être effectué sur un support fidèle et durable.

56. En cas de conflit entre les registres informatisés de la société Arsen Consulting et tout document sur support écrit ou fichier électronique du client, il est expressément convenu entre les parties que les registres informatisés de la société Arsen Consulting primeront sur les documents du client et seront seuls admis à titre de preuve.

8.13. Engagements de niveaux de services

57. La société Arsen Consulting s’engage à faire ses meilleurs efforts pour réaliser les prestations décrites dans les conditions prévues aux présentes.

58. Les engagements de niveaux de services (SLA) relatifs à l’accessibilité et aux performances des services SaaS figurent à l’annexe « Engagements de niveaux de services ».

9. Données à caractère personnel

9.1. Responsables de traitement disjoints

59. Chacune des parties est libre de déterminer les finalités et les moyens des traitements qu’elles réalisent.

60. Les traitements visés par le présent article sont les suivants  :

•  pour la société Arsen Consulting, la gestion de l’accès et de l’utilisation des services SaaS par l’utilisateur du client ainsi que des demandes de ce dernier dans le cadre de l’assistance technique et la maintenance corrective visées en annexe « Engagements de niveaux de service » (nom, prénom, adresse email, identifiants des utilisateurs) ;
•  pour le client : de réaliser l’ensemble des traitements sur la base des résultats obtenus au moyen de la mise en œuvre des services SaaS.

61. Chacune des parties garantit l’autre d’avoir mis en œuvre les prérequis juridiques nécessaires au présent contrat et permettant la communication des données dans le respect de la réglementation applicable en matière de protection, en particulier notamment les formalités, l’information des personnes et le cas échéant le recueil de consentement lorsque celui-ci est nécessaire.

62. Une partie n’intervient d’aucune manière dans les traitements réalisés et opérés par l’autre partie, sauf dans l’hypothèse d’une sous-traitance de traitement telle que visée au présent article « Données à caractère personnel ».

63. Chacune des parties s’engage à respecter la législation et la réglementation en vigueur applicables au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (règlement général sur la protection des données ou « RGPD ») applicable à compter du 25 mai 2018 et la loi française n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée (ci-après la « réglementation applicable sur la protection des données personnelles »).

64. Chacune des parties est responsable de l’intégralité des obligations légales et réglementaires lui incombant au titre de la protection des données à caractère personnel.

65. Une partie ne pourra pas être tenue pour responsable du manquement aux obligations auxquelles l’autre était astreinte à titre personnel.

66. A ce titre chacune des parties fait son affaire personnelle des éventuelles sanctions ou conséquences financières qu’elle pourrait supporter du fait de son absence de conformité à la réglementation relative à la protection des données.

9.2. Sous-traitance

67. Conformément à la réglementation applicable sur la protection des données, le client est qualifié de « Responsable de traitement » et la société Arsen Consulting, qui est amenée à traiter des données à caractère personnel pour le compte et sur les instructions du client, est qualifiée de « Sous-traitant ».

68. L’annexe « Données à caractère personnel » du présent contrat décrit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel traitées, ainsi que les catégories de personnes concernées par le traitement réalisé par la société Arsen Consulting pour le compte du client dans le cadre du présent contrat.

69. Le client, s’agissant des données à caractère personnel dont il est responsable et notamment celles auxquelles la société Arsen Consulting aurait accès au titre de l’exécution des présentes, est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

70. Le client s’engage en outre à : documenter par écrit toute instruction concernant le traitement des données par la société Arsen Consulting ;veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par la réglementation applicable sur la protection des données personnelles et, plus généralement, à la loi applicable, notamment en matière de droit du travail ;superviser le traitement.

71. La société Arsen Consulting ne peut agir que sur instruction du client et s’oblige à prendre toutes les mesures nécessaires au respect par elle-même et par son personnel de ces obligations et notamment, sauf instruction contraire du client, à :

  • ne pas traiter, consulter les données ou les fichiers contenus à d’autres fins que l’exécution du présent contrat ;
  • ne pas insérer dans les fichiers des données étrangères ;
  • ne pas consulter ou traiter de données autres que celles concernées par les prestations et ce, même si l’accès à ces données est techniquement possible ;
  • ne pas divulguer, sous quelque forme que ce soit, tout ou partie des données concernées ;
  • ne pas prendre copie ou de stocker, quelles qu’en soit la forme et la finalité, tout ou partie des informations ou données contenues sur les supports ou documents qui lui ont été confiés ou recueillies par elle au cours de l’exécution du contrat ;
  • informer immédiatement le client si, selon elle, une instruction constitue manifestement une violation de la réglementation applicable sur la protection des données personnelles.

A cet égard, la société Arsen Consulting se réserve le droit de suspendre, sans aucune responsabilité de sa part, le traitement jusqu’à la modification par le client de ladite instruction de manière à ce qu’elle ne viole plus ladite réglementation. Cette suspension ne donne lieu à aucun remboursement du prix des services SaaS objets du présent contrat pour la période de suspension.


72. Les parties conviennent de définir la notion d’instruction comme étant acquise lorsque la société Arsen Consulting agit dans le cadre de l’exécution des présentes.

73. La société Arsen Consulting s’engage à prendre toute mesure utile afin de garantir que les personnes physiques agissant sous son autorité et ayant accès aux données personnelles ne les traitent pas, excepté sur instruction du client, à moins d’y être obligées par une disposition impérative résultant du droit communautaire ou du droit d’un Etat membre de l’Union européenne applicable aux traitements objet des présentes. La société Arsen Consulting veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité des données ou soient soumises à une obligation légale appropriée de confidentialité.

74. La société Arsen Consulting s’engage, au regard de la nature des données et des risques présentés par le traitement, et compte l’état des connaissances, les coûts de mise en œuvre et la nature, portée, contexte et les finalités du traitement ainsi que les risques pour les droits et libertés des personnes physiques, à prendre les mesures techniques et organisationnelles appropriées pour préserver la sécurité des données et notamment empêcher toute déformation, altération, endommagement, destruction de manière fortuite ou illicite, perte, divulgation et/ou tout accès par des tiers non autorisés préalablement.

75. Il appartient au client de s’assurer que les mesures de sécurité et de confidentialité offertes par la société Arsen Consulting sont en adéquation avec le niveau de précaution que le client doit prendre au regard de son obligation de sécurité des données à caractère personnel dont il est responsable, et que les garanties présentées par la société Arsen Consulting à cet effet sont suffisantes.

76. La société Arsen Consulting s’engage à maintenir les mesures de sécurité et de confidentialité des données tout au cours de l’exécution des présentes. En tout état de cause, en cas de changement de ces mesures elle s’engage à les remplacer par des mesures d’une performance équivalente et à en informer immédiatement le client.

77. La société Arsen Consulting s’engage à notifier au client, dans les meilleurs délais après en avoir pris connaissance toute violation de donnée à caractère personnel soit toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

78. Cette notification doit préciser, dans la mesure du possible, la nature et les conséquences de la violation des données, les mesures déjà prises ou celles qui sont proposées pour y remédier. La société Arsen Consulting s’engage à collaborer activement avec le client pour qu’ils soient en mesure de répondre à leurs obligations réglementaires et contractuelles. Il revient uniquement au client, en tant que responsable du traitement, de notifier cette violation de données à l’autorité de contrôle compétente ainsi que, le cas échéant, à la personne concernée.

79. La société Arsen Consulting ne peut sous-traiter, au sens de la réglementation applicable en matière de données personnelles, tout ou partie des prestations, notamment vers un pays qui n’est pas situé dans le cadre de l’Union européenne sans l’autorisation préalable, écrite et expresse du client. Le client autorise par les présentes le(s) sous-traitant(s) identifié(s) en annexe « Données à caractère personnel » à procéder au traitement des données personnelles. La société Arsen Consulting notifiera au client par écrit toute modification envisagée de la liste des sous-traitants autorisés. Le Client devra notifier Le Prestataire par écrit toute objection à ces modifications, dans les plus brefs délais et, en tout état de cause, dans un délai maximum de cinq (5) jours ouvrés. La société Arsen Consulting devra exiger de ces sous-traitants qu’ils soient tenus contractuellement de respecter les mêmes obligations en matière de protection des données que celles prévues au titre du présent contrat.

80. La société Arsen Consulting fournit au client une assistance raisonnable afin de permettre :

  • la gestion des demandes des personnes concernées par les traitements tendant à l’exercice de leurs droits ;
  • la réalisation de toute analyse d’impact que le client déciderait d’effectuer, afin d’évaluer les risques qu’un traitement fait peser sur les droits et libertés des personnes et d’identifier les mesures à mettre en œuvre pour faire face à ces risques, et la consultation de l’autorité de contrôle ;
  • plus généralement, le respect des obligations pesant sur le client au regard de la réglementation applicable sur la protection des données personnelles, telles que notamment ses obligations de notification à l’autorité de contrôle et de communication d’une violation de données aux personnes concernées.

81. Le client prendra à sa charge les coûts raisonnables occasionnés par cette assistance.

82. A la fin des prestations, la société Arsen Consulting devra restituer ou supprimer toutes données à caractère personnel à première demande du client.

83. Les parties s’appuieront sur les clauses contractuelles types pour les transferts de données à caractère personnel vers des sous-traitants établis dans des pays tiers en date du 5 février 2010 (2010/87/UE) et leurs éventuelles modifications ultérieures en cas de transfert vers un pays situé hors de l’Union européenne ou qui n’est pas reconnu comme fournissant un niveau adéquat de protection.

10. Sécurité

10.1. Sécurité logique

84. La société Arsen Consulting s’engage à mettre en œuvre l’ensemble des moyens techniques conformes à l’état de l’art, nécessaires pour assurer la sécurité logique de l’accès aux services SaaS et aux données hébergées et empêcher toute intrusion de personnes non autorisées, quelles que soient la nature ou la technique employée.

85. La société Arsen Consulting s’engage à mettre en œuvre l’ensemble des moyens techniques conformes à l’état de l’art, nécessaires pour assurer la sécurité logique de l’accès aux services SaaS et aux données hébergées et empêcher toute intrusion de personnes non autorisées, quelles que soient la nature ou la technique employée.

86. Le client s’engage à respecter les procédures et règles de sécurité indiquées dans la documentation.

87. La société Arsen Consulting ne saurait être tenue responsable en cas de non-respect des procédures et règles de sécurité par le client.

10.2. Sécurité physique

88. La société Arsen Consulting s’engage à limiter les accès au centre serveur, à sa plate-forme sécurisée et à mettre en œuvre une procédure interne permettant de s’assurer qu’aucune personne étrangère au service ne peut accéder à ce local.

89. La société Arsen Consulting ne saurait être tenue responsable de toute défaillance de l’opérateur de télécommunications.

11. Maintenance du service

11.1. Assistance technique

90. Les utilisateurs pourront poser à la société Arsen Consulting des questions relatives au fonctionnement des services SaaS, à l’exclusion de toute autre personne, y compris les destinataires des campagnes de tests.

91. Le client s’engage donc à désigner des personnes compétentes et qualifiées pour l’utilisation des services SaaS.

92. La société Arsen Consulting met à disposition des utilisateurs une adresse email permettant de contacter l’assistance technique, pendant ses horaires d’ouverture, du lundi au vendredi, à l’exclusion des jours fériés , de 9h à 17h.

93. Les questions posées par les utilisateurs doivent être claires, précises et, si nécessaire, documentées, afin de permettre une bonne prise en charge par l’assistance technique. Les utilisateurs doivent par ailleurs se référer à la documentation des services SaaS, disponible en ligne, avant de solliciter l’assistance technique.

94. Les réponses sont apportées par la société Arsen Consulting, sous forme de réponse par courrier électronique.

95. Les modalités de l’assistance technique sont détaillées en annexe « Engagements de niveaux de services ».

11.2. Maintenance corrective

96. La prestation de maintenance corrective consiste en la correction de toute anomalie reproductible qui apparaît dans l’utilisation de l’accès distant des services SaaS, ainsi que dans les différents traitements pouvant être réalisés par ces derniers.

97. Il appartient au client de se reporter à la documentation avant chaque appel téléphonique, afin de pouvoir décrire de façon précise et exhaustive les problèmes rencontrés.

98. Les modalités de la maintenance corrective sont détaillées en annexe « Engagements de niveaux de services ».

11.3. Maintenance évolutive

99. Des mises à jour des services SaaS pourront être installées par la société Arsen Consulting sur son serveur, au fur et à mesure de leur disponibilité.

100. Ces mises à jour, qui sont décidées unilatéralement par la société Arsen Consulting, seront mises à disposition du client par accès distant depuis son serveur sans coût supplémentaire.

11.4. Maintenance réglementaire

101. Les différentes mises à jour auront pour objet de procéder à l’ensemble des modifications rendues nécessaires par les évolutions légales ou réglementaires correspondant aux traitements relatifs à la mise en œuvre des services SaaS.

11.5. Exclusions

102. Les prestations de maintenance non expressément visées aux présentes ne sont pas inclues dans le périmètre des prestations de maintenance.

103. La maintenance ne sera pas assurée dans les cas suivants, sans  :

  • absence de formation préalable des utilisateurs ;
  • version utilisée ne correspondant pas à celle en cours ou la précédente ;
  • refus de la part du client d’accepter une mise à jour proposée par la société Arsen Consulting ;
  • utilisation de l’accès distant de manière non conforme à la documentation ;
  • intervention non autorisée du client ou d’un tiers ;
  • anomalie générée par le matériel du client ou ses équipements d’accès.

104. Dans ces hypothèses, le client ne pourra réclamer aucune indemnité ni aucun remboursement des sommes déjà versées au titre du présent contrat.

12. Obligations du client

105. Le client s’engage à :

  • utiliser les services SaaS conformément aux présentes et à la loi applicable, en particulier en matière de protection des données à caractère personnel et en matière de droit du travail ;
  • fournir un set de données complet à la société Arsen Consulting au démarrage des services SaaS et le mettre à jour ;
  • vérifier la licéité des données confiées à la société Arsen Consulting au titre du présent contrat ;
  • collaborer avec la société Arsen Consulting, notamment en lui fournissant toutes les informations et données nécessaires à la bonne exécution du présent contrat ;
  • contrôler les résultats fournis.

13. Conformité

106. Le client s’engage à tester les services SaaS objet des présentes avant toute utilisation professionnelle, et en tout état de cause dans un délai maximum d’un mois à compter de la délivrance par la société Arsen Consulting des identifiants de connexion.

107. L’utilisation des services SaaS, à des fins autres que la vérification de la conformité à la documentation, vaut recette définitive desdits services.

14. Conditions financières

14.1. Prix et facturation

108. Le prix et les modalités de facturation sont définis à l’annexe « Conditions financières ».

109. Les prix sont définis hors taxes et sont majorés des taxes, notamment de la TVA en vigueur au jour de la facturation.

14.2. Révision des prix

110. Les prix sont révisés annuellement selon la formule suivante :

  • P(t) = P (t-1) x [ (S(t) / S(t-1) ], dans laquelle :
    • P(t-1) est le prix de base ou le prix correspondant à la dernière révision ;
    • P(t) est le prix après révision ;
    • S(t-1) est le dernier indice Syntec connu à la date de signature ;
    • S(t) est l’indice Syntec publié à la date de signature du contrat où l’indice correspond à la date de la dernière révision.

111. EN CAS DE DISPARITION DE L’INDICE DE RÉVISION ET À DÉFAUT D’ACCORD SUR UN NOUVEL INDICE, COMPÉTENCE EXPRESSE EST ATTRIBUÉE À MONSIEUR LE PRÉSIDENT DU TRIBUNAL COMPÉTENT POUR DÉFINIR UN INDICE QUI S’INTÉGRERA DANS LA FORMULE DE RÉVISION.

112. Cet indice devra être choisi de telle sorte qu’il soit le plus proche possible de l’indice disparu et qu’il respecte l’esprit que les parties ont entendu définir lors de l’établissement de cette clause de révision.

14.3. Intérêts de retard et indemnités de frais

113. Tout retard ou non-paiement de tout ou partie d’une facture émise par la société Arsen Consulting dans les trente (30) jours suivants son émission, sans qu’aucun rappel ne soit nécessaire , entraînera l’exigibilité de pénalités de retard. Le taux d’intérêt sera celui appliqué par la Banque centrale européenne à son opération de refinancement la plus récente majoré de 10 points de pourcentage. Ce taux est le taux en vigueur au 1er janvier de l’année en question pour le premier semestre de l’année concernée. Pour le second semestre de l’année concernée, il est le taux en vigueur au 1er juillet de l’année en question.

114. Ces pénalités seront calculées sur le montant TTC figurant sur la facture et ce, sans préjudice du droit de la société Arsen Consulting à réclamer l’indemnisation de son préjudice lié au retard ou au non-paiement. Les pénalités seront dues à compter du jour suivant la date d’exigibilité de la facture et jusqu’au jour de son encaissement par la société Arsen Consulting.

115. Enfin, tout client en situation de retard de paiement est de plein droit débiteur d’une indemnité forfaitaire pour frais de recouvrement, fixée à 40 euros. Si les frais de recouvrement étaient supérieurs, la société Arsen Consulting pourrait demander une indemnisation complémentaire sur justification. Toutefois, la société Arsen Consulting ne pourra invoquer le bénéfice de ces indemnités lorsque l’ouverture d’une procédure de sauvegarde, de redressement ou de liquidation judiciaire interdit le paiement à son échéance de la créance qui lui est due.

15. Garanties

15.1. Garanties de la société Arsen Consulting

116. La société Arsen Consulting garantit au client la possibilité d’accéder à distance aux applications informatiques selon le taux de disponibilité et les niveaux de services définis à l’article « Spécifications des services Saas ».

117. Sauf stipulation contraire figurant dans le présent contrat ou un bon de commande, la société Arsen Consulting ne consent aucune autre garantie expresse ou implicite, écrite ou orale, relative à l’aptitude ou au bon fonctionnement des services SaaS par référence à une utilisation particulière, et ce même si la société Arsen Consulting a été informée de ladite utilisation.

118. De même, toute garantie des vices cachés ainsi que toute garantie de conformité à l’état de l’art ou de conformité des services SaaS aux réglementations ou aux normes sectorielles du client (en France ou à l’étranger) est expressément exclue.

15.2. Garanties du client

119. Le client garantit la société Arsen Consulting qu’elle dispose de l’ensemble des droits attachés à ses données.

120. Le client garantit la société Arsen Consulting contre toutes actions, réclamations, revendications, oppositions, de la part de toute personne invoquant un droit de toute nature sur les données du client auquel l’exécution du présent contrat aurait porté atteinte.

121. Dans ce cas, les indemnisations et frais de toute nature supportés par la société Arsen Consulting pour assurer sa défense, y compris les frais de conseil, ainsi que tous les dommages et intérêts éventuellement prononcés contre elle, seront pris en charge par le client.

16. Responsabilité

16.1. Responsabilité de la société Arsen Consulting

122. D’un commun accord, les parties conviennent expressément que :

  • la société Arsen Consulting est tenue à une obligation de moyen au titre du présent contrat, et que
  • sa responsabilité ne pourra être engagée par le client qu’en cas de faute prouvée.

123. La responsabilité de la société Arsen Consulting ne saurait être engagée en raison des perturbations ou dommages inhérents à internet et présentant les caractéristiques d’un événement de force majeure.

16.2. Responsabilité du client

124. Le client s’engage à utiliser les services SaaS sous sa responsabilité exclusive. Il est seul responsable de l’utilisation conforme des services SaaS aux stipulations du présent contrat, à la documentation associée par les utilisateurs et à la loi applicable, en particulier en matière de données à caractère personnel et en matière de droit du travail.

125. Dans le cadre de l’utilisation des services SaaS, le client saisit dans le portail SaaS ses propres données. La société Arsen Consulting met seulement à disposition l’outil technique. Le client est par conséquent responsable des données qu’il saisit, de leur traitement et de l’utilisation des résultats de ce traitement, et de toutes les conséquences directes ou indirectes qui pourraient en découler. En toute hypothèse, le client est responsable :

  • de l’adéquation des services SaaS à ses besoins propres, notamment sur la base des indications fournies dans la documentation et dans le bon de commande ;
  • de la compatibilité de son matériel et de son environnement logiciel avec les services SaaS ;
  • des données hébergées par la société Arsen Consulting au titre du présent contrat. Il appartient au client de vérifier la licéité de ses données. Le client garantit la licéité de ses données et que celles-ci ne contreviennent pas aux droits de tiers.

127. Le client garantit également la société Arsen Consulting contre toute action d’un utilisateur ou d’un tiers, fondée sur le fonctionnement des services SaaS.

128. Le client devra mettre en œuvre des moyens techniques aux fins de pouvoir suspendre les accès aux services SaaS  par les utilisateurs en cas d’accès ou de tentative d’accès non autorisé, de faille de sécurité, ou de violation par le bénéficiaire ou l’utilisateur des engagements contractuels. Il s’engage à procéder immédiatement à une telle suspension lorsqu’il a connaissance d’une violation ou d’une tentative de violation par un bénéficiaire des droits de propriété intellectuelle attachés aux services SaaS.

129. Le client admet que la société Arsen Consulting ne peut être tenue responsable et qu’aucune indemnité ne pourra lui être demandée au titre des retards ou conséquences dommageables résultant notamment :

  • des perturbations ou dommages inhérents à un réseau de communications électroniques ;
  • des dommages matériels que pourraient subir tous équipements du client connectés aux services SaaS, ceux-ci étant sous l’entière responsabilité du client;
  • de la conformité du client à ses obligations légales et réglementaires. À ce titre, il est rappelé qu’il appartient au client de vérifier conformément aux usages de sa profession, les résultats obtenus à l’aide des services SaaS, et de développer les procédures d’exploitation, de mettre en place les points de contrôle et les mécanismes de sécurité appropriés au traitement de données à caractère personnel, dans le cadre de ses activités ;
  • du fait exclusif du client ou d’un tiers, notamment dans les cas ci-après :
    • détérioration ou destruction accidentelle des données du client par le client ou un utilisateur au moyen des données d’identification remises au client ;
    • transmission d’informations inexactes ou incomplètes communiquées par le client à la société Arsen Consulting;
    • mauvaise utilisation des services SaaS par un utilisateur, faute, négligence, omission ou défaillance de sa part, non-respect des conseils donnés, faute, négligence ou omission d’un tiers sur lequel la société Arsen Consulting n’a aucun pouvoir de contrôle ou de surveillance ;
    • demande d’interruption temporaire ou définitive d’activité émanant d’une autorité administrative ou judiciaire compétente ;
  • d’une contamination par virus ou autres éléments nuisibles, des données et/ou logiciels du client, dès l’instant où les mesures de sécurité incombant à la société Arsen Consulting et mises en place par la société Arsen Consulting sont conformes au contrat ;
  • du préjudice subi par un tiers du fait des données hébergées, dont le client a seul la maîtrise.

17. Préjudice

130. D’un commun accord, les parties conviennent que la responsabilité de la société Arsen Consulting n’est engagée que pour les conséquences des dommages directs et qu’est exclue l’indemnisation des dommages indirects.

131. Sont considérés comme dommages indirects les pertes de données, de temps, de bénéfices, de chiffre d’affaires, de marges, pertes de commandes, de clients, d’exploitation, de revenus, d’actions commerciales ou encore l’atteinte à l’image de marque, les résultats escomptés et l’action de tiers.

132. Le préjudice de la société Arsen Consulting est, d’un commun accord, limitée aux sommes effectivement versées par le client.

133. La présente clause reste applicable en cas de nullité, de résolution, de résiliation, de caducité ou d’anéantissement des présentes relations contractuelles.

18. Assurances

134. Chaque partie atteste avoir souscrit une police d’assurance auprès d’une compagnie d’assurance notoirement solvable et établie en France pour toutes les conséquences pécuniaires de sa responsabilité civile professionnelle, délictuelle et/ou contractuelle du fait de dommages corporels, matériels et immatériels causés à l’autre partie et à tout tiers dans le cadre de l’exécution du présent contrat.

135. À ce titre, chaque partie s’engage à acquitter les primes et cotisations afférentes à ladite police d’assurance et de manière générale, à respecter l’ensemble des obligations, afin de couvrir l’ensemble des activités relatives au présent contrat.

19. Propriété

19.1. Propriété des services

136. Les services SaaS, le portail SaaS, ainsi que la documentation y afférente sont la propriété de la société Arsen Consulting, conformément aux dispositions du Code de la propriété intellectuelle.

137. Tous les éléments composant les services SaaS, le portail SaaS, y compris les interfaces mises à la disposition du client dans le cadre de l’exécution des présentes, les documentations et toutes autres informations remises par la société Arsen Consulting au client sont et restent la propriété exclusive de la société Arsen Consulting ou de ses partenaires.

138. En conséquence, le client s’interdit tout agissement et tout acte susceptible de porter atteinte directement ou non aux droits de propriété intellectuelle sur les applications informatiques, ainsi que, d’une manière générale, sur les marques associées.

139. La société Arsen Consulting concède au client, qui l’accepte, une licence personnelle, non-exclusive et non cessible d’utilisation les services SaaS, le portail SaaS et la documentation associée, pour le nombre d’utilisateurs prévus dans le bon de commande , pour toute la durée du présent contrat.

140. Ce droit d’utilisation s’effectue par accès distant à partir de la connexion du client au serveur de la société Arsen Consulting depuis son serveur et uniquement pour l’utilisation des fonctionnalités du portail SaaS hébergé dans le cadre de l’utilisation des Services SaaS et pour l’exploitation par le client du résultat des traitements.

141. Toute utilisation non expressément autorisée par la société Arsen Consulting au titre des présentes est illicite, conformément aux dispositions de l’article L.122-6 du Code de la propriété intellectuelle.

142. Ainsi, est-il notamment interdit au client de procéder à :

  • toute représentation, diffusion ou distribution des services SaaS et du portail SaaS, que ce soit à titre onéreux ou gracieux et notamment toute mise en réseau ;
  • toute forme d’utilisation des services SaaS et du portail SaaS, de quelque façon que ce soit, aux fins de conception, de réalisation, de diffusion ou de commercialisation de services ou portails similaires, équivalents de substitution ;
  • l’adaptation, la modification, la transformation, l’arrangement des services SaaS et du portail SaaS, pour quelque raison que ce soit, y compris pour corriger des erreurs ;
  • toute transcription directe ou indirecte, toute traduction dans d’autres langues des services SaaS et du portail SaaS;
  • toute utilisation pour un traitement non autorisé par le client ;
  • toute modification ou contournement du code de protection tel que, notamment, les codes d’accès ou identifiant.

19.2. Savoir-faire

143. La société Arsen Consulting conservera la propriété des méthodes et du savoir-faire ou des outils qui lui sont propres ayant servi à exécuter les prestations.

20. Sous-traitance

144. Le présent contrat pourra faire l’objet d’une sous-traitance de la part de la société Arsen Consulting sur autorisation expresse du client.

21. Références commerciales

145. La société Arsen Consulting pourra citer le nom du client à titre de référence commerciale conformément aux usages commerciaux.

22. Confidentialité

146. Dans le cadre des présentes, sont réputés confidentiels les services SaaS de la société Arsen Consulting, y inclus notamment les fonctionnalités proposées, le modèle de données, l’interface graphique, ainsi que les idées, principes, savoir-faire, méthode à la base des services SaaS, les algorithmes, l’organisation des données, la navigation, et tout autre élément inclus dans les services SaaS, ci-après dénommés « les informations confidentielles ».

147. Le client s’engage à ce que les informations confidentielles :

  • soient protégées et gardées strictement confidentielles ;
  • soient traitées avec le même degré de protection qu’il accorde à ses propres informations confidentielles de même importance ;
  • ne soient pas divulguées, ni susceptibles de l’être directement ou indirectement à tout tiers ;
  • ne soient divulguées de manière interne qu’aux seuls membres de son personnel ayant à en connaître le contenu ;
  • ne soient utilisées que dans le cadre de l’exécution du présent contrat exclusivement et ne soient jamais utilisées aux fins de créer un service concurrent ou similaire ;
  • ne soient ni copiées, ni reproduites, ni dupliquées totalement ou partiellement.

148. Le client s’engage en outre à :

  • ne pas porter atteinte, en aucune façon, au droit de propriété intellectuelle ;
  • maintenir les formules de copyright et autres mentions en droit de propriété figurant sur les différents éléments et documents communiqués, qu’il s’agisse d’originaux ou de copies.

149. De son côté, la société Arsen Consulting s’engage à respecter la confidentialité des données du client dans les conditions prévues au présent contrat et dans ses annexes.

23. Non-concurrence

150. Le client s’engage vis-à-vis de la société Arsen Consulting à ne pas développer, directement ou indirectement, un service identique ou similaire, concurrent, aux services SaaS objet du présent contrat et ce pendant toute la durée du contrat et postérieurement à sa rupture, quelle qu’en soit la cause, pendant une durée d’un (1) an, sur le territoire de la France métropolitaine et des DOM-TOM.

151. Les parties reconnaissent que la présente obligation n’est pas disproportionnée et correspond à la volonté expresse des parties.

152. En cas de violation de la présente obligation, le client s’engage à verser à la société Arsen Consulting une indemnité d’un montant de 150 000 euros.

153. Cette indemnité est due, nonobstant les dommages et intérêts éventuels résultant du préjudice subi.

24. Résolution-Résiliation

154. En cas de manquement par l’une des parties à quelconque obligation des présentes non réparé dans un délai de trente (30) jours à compter de l’envoi d’une lettre recommandée avec avis de réception notifiant le manquement en cause, l’autre partie pourra prononcer de plein droit la résiliation ou la résolution du contrat sans préjudice de tous dommages et intérêts auxquelles elle pourrait prétendre en vertu des présentes.

155. En cas de résiliation anticipée du contrat, pour quelque raison que ce soit, la totalité des sommes réglées à la société Arsen Consulting lui restera acquise.

25. Réversibilité

156. En cas de cessation des relations contractuelles, pour quelque cause que ce soit, la société Arsen Consulting restituera dans un délai raisonnable au client l’ensemble des informations confidentielles transmis par ce dernier dans le cadre des présentes et procèdera à la destruction des données à caractère personnel confiées par le client dans les conditions prévues en annexe « Données à caractère personnel ».

157. Dans ce cadre, l’accès distant aux services SaaS depuis le portail SaaS accordé au client ne sera plus autorisé et ce dernier s’engage à ne plus l’utiliser ou tenter de l’utiliser, y compris via ses utilisateurs.

26. Force majeure

158. Dans un premier temps, les cas de force majeure suspendront l’exécution du contrat.

159. Si les cas de force majeure ont une durée d’existence supérieure à deux mois, le présent contrat sera résilié automatiquement, sauf accord contraire des parties.

160. De façon expresse, sont considérés comme cas de force majeure ou cas fortuits, ceux habituellement retenus par la jurisprudence des cours et tribunaux français, ainsi que les événements suivants :

  • la guerre, l’émeute, l’état d’urgence de toutes natures et notamment sanitaire ou environnemental, l’incendie, les pandémies, les grèves internes ou externes, lock out, occupation des locaux, intempéries, tremblement de terre, inondation, dégât des eaux, explosion chimique et situation d’air gravement pollué mettant en danger les personnes physiques et les animaux, restrictions légales ou gouvernementales, modifications légales ou réglementaires des formes de commercialisation, les accidents de toutes natures, épidémie, pandémie, maladie touchant plus de 10% du personnel dans un période de deux mois consécutifs, l’absence de fourniture d’énergie, l’arrêt partiel ou total du réseau Internet, le cryptage des données résultant d‘une fraude informatique et, de manière plus générale, des réseaux de télécommunications privés ou publics, les blocage de routes et les impossibilités d’approvisionnement en fournitures et tout autre cas indépendant de la volonté expresse des parties empêchant l’exécution normale de la présente convention.

27. Tolérance

161. Les parties conviennent réciproquement que le fait pour l’une des parties de tolérer une situation n’a pas pour effet d’accorder à l’autre partie des droits acquis.

162. De plus, une telle tolérance ne peut être interprétée comme une renonciation à faire valoir les droits en cause.

28. Sincérité

163. Les parties déclarent sincères les présents engagements.

164. À ce titre, elles déclarent ne disposer d’aucun élément à leur connaissance qui, s’il avait été communiqué, aurait modifié le consentement de l’autre partie.

29. Indépendance des parties

165. Les parties reconnaissent agir chacune pour leur propre compte comme des parties indépendantes l’une de l’autre et déclarent expressément qu’elles sont et demeureront, pendant toute la durée du présent contrat, des professionnels indépendants.

166. Le présent contrat ne constitue ni une association, ni une franchise, ni un mandat donné par l’une des parties à l’autre partie et ne saurait en aucun cas être interprété comme un contrat d’agence commerciale, ni de représentation quelconque.

167. Aucune des parties ne peut prendre un engagement au nom et pour le compte de l’autre partie.

168. En outre, chacune des parties demeure seule responsable de ses actes, allégations, engagements, prestations, produits et personnels.

30. Titres

169. En cas de difficultés d’interprétation résultant d’une contradiction entre l’un quelconque des titres figurant en tête des clauses et l’une quelconque des clauses, les titres seront déclarés inexistants.

31. Nullité

170. Si une ou plusieurs stipulations du présent contrat sont tenues pour non valides ou déclarées comme telles en application d’une loi, d’un règlement ou à la suite d’une décision passée en force de chose jugée d’une juridiction compétente, les autres stipulations garderont toute leur force et leur portée.

32. Intégralité

171. Ce contrat annule et remplace tous quasi-contrats, engagements implicites et explicites, promesses ayant le même objet que les présentes.

172. Toutefois, la présente clause n’a pas pour objet d’empêcher l’utilisation desdits documents mais d’évaluer sur le plan juridique la qualité des consentements échangés lors de la formation des présentes.

33. Conciliation

173. En cas de difficulté de toute nature et avant toute procédure juridictionnelle, chacune des parties s’engage à désigner deux personnes de sa société, de niveau « Direction générale ».

174. Ces personnes devront se réunir à l’initiative de la partie la plus diligente dans les huit jours à compter de la réception de la lettre de demande de réunion de conciliation.

175. L’ordre du jour est fixé par la partie qui prend l’initiative de la conciliation.

176. Les décisions, si elles sont arrêtées d’un commun accord, ont valeur contractuelle.

177. Cette clause continue à s’appliquer malgré l’éventuelle nullité, résolution, résiliation ou d’anéantissement des présentes relations contractuelles.

34. Cession du contrat

178. Le présent contrat ne pourra faire l’objet d’une cession totale ou partielle, à titre onéreux ou gracieux, par l’une des parties, sans l’accord écrit et préalable de l’autre partie.

35. Domiciliation

179. Pour l’exécution de la présente convention et sauf dispositions particulières, les parties conviennent de s’adresser toute correspondance à leur siège social respectif.

180. Tout changement d’adresse devra être signalé à l’autre partie par lettre recommandée avec accusé de réception.

36. Loi applicable

181. Le présent contrat est régi par la loi française.

182. Il en est ainsi pour les règles de fond et les règles de forme et ce, nonobstant les lieux d’exécution des obligations substantielles ou accessoires.

37. Prescription

183. Toutes les actions judiciaires entre les parties sont prescrites, sauf dispositions contraires d’ordre public, si elles n’ont été introduites dans un délai d’un (1) an à compter du terme de chacune des campagnes de tests menée par le client au moyen des services SaaS.

38. Liste des annexes

184. Les annexes sont les suivantes :

  • Annexe 1 : Description des Services SaaS ;
  • Annexe 2 : Conditions financières ;
  • Annexe 3 : Engagements de niveaux de services ;
  • Annexe 4 : Données à caractère personnel.

Annexe 1 : Description des Services SaaS

Les services SaaS sont les suivants  :

  • Conception et paramétrage de campagnes de sensibilisation au phishing et aux enjeux liés à la cybersécurité de l’entreprise ;
  • Lancement des campagnes de sensibilisation sur la base du fichier d’adresses emails professionnelles des destinataires objets des campagnes de tests concernés selon les paramètres définis par le client ;
  • Mise à disposition d’un catalogue de scénarios de campagne de sensibilisation actualisé, suivant les tendances des attaques de phishing
  • Création et édition de scénarios afin de personnaliser les campagnes de sensibilisation en fonction de ses destinataires ;
  • Mise en place de programmes micro-learning « just-in-time » distribués en cas d’actions compromettantes effectuées par les destinataires de la ou des campagnes de tests ;
  • Mise en place d’un tableau de bord de suivi de la résilience des destinataires dans le temps avec un résultat (« score ») permettant d’évaluer le niveau de sécurité atteint à la fin de chaque campagne de sensibilisation et en moyenne à la fin de la période de tests ;

Les services SaaS souscrits par le client sont définis au bon de commande.

Annexe 2 : Conditions financières

1. Prix

185. Il est défini par l’application au moment de l’achat d’un plan payant, suivant le nombre de d’adresses email de destinataires chargées dans l’application.

186. Le prix est payable d’avance au moment de l’activation du plan d’utilisation payant.

2. Facturation

2.1. Adresse de facturation

  • L’adresse de facturation est définie par le client dans son espace membre et sera reportée  sur les factures émises au moment du paiement.

2.2. Délai de paiement

187. Le paiement est instantané.

Annexe 3 : Engagements de niveaux de services

1. Hébergement

La volumétrie souscrite par le client est précisée au bon de commande.

2. Disponibilité

  • Taux mensuel minimal de disponibilité des services : 95% (hors maintenance).
  • Plage horaire de disponibilité : 24h/24 – 7j/ 7 (hors maintenance).

3. Assistance technique

  • Adresse email de l’assistance technique de la société Arsen Consulting : support@arsen.co
  • Heures d’ouverture : Du lundi au vendredi (hors jours fériés), de 9h à 17h
  • Délai de prise en charge de la demande : 4h à compter de la réception de la demande à l’adresse email précisée ci-dessus.

4. Maintenance corrective

  • Délai de prise en charge : 4h à compter de la réception ;
  • Définition du niveau de gravité :
  • Gravité 1 ou anomalie bloquante : anomalie qui, unitairement ou cumulée, rend le fonctionnement des services impossible ou entraîne des pertes de données significative, ou empêche l’exploitation normale des services SaaS ;
  • Gravité 2 ou anomalie majeure : anomalie qui, unitairement ou cumulée, a des répercussions négatives, sur la qualité des services SaaS, représentant une gêne importante ou provoquant des limitations ou restrictions dans l’utilisation d’une ou plusieurs fonctionnalités des services SaaS et notamment une dégradation de ses ou leurs performances mais permettant néanmoins un fonctionnement au moins partiel des services SaaS ;
  • Gravité 3 ou anomalie mineure : toute autre anomalie détectée sur les services n’ayant pas d’incidence sur l’utilisation ou l’exploitation des fonctionnalités des services SaaS, non classée bloquante ou majeure.
  • Délai de correction à compter de la prise en charge de la demande :
Gravité
Délai solution définitive
Délai solution de contournement
Gravité 1
48 heures ouvrées
4 heures ouvrées
Gravité 2
4 jours ouvrés
8 heures ouvrées
Gravité 3
7 jours ouvrés
2 jours ouvrés

Annexe 4 : Données à caractère personnel

188.La présente annexe fait partie intégrante du contrat et avec l’article « Données à caractère personnel » fait office de contrat écrit de traitement des données entre la société Arsen Consulting, sous-traitant de données à caractère personnel, et le client, responsable du traitement.

189. La société Arsen Consulting est autorisée à traiter des données à caractère personnel pour le compte du client dans le cadre de l’exécution des services SaaS souscrits par le client.

190. Objet & finalités. Le traitement de données à caractère personnel réalisé par la société Arsen Consulting a pour objet et finalité exclusif :la mise en œuvre des services SaaS conformément aux présentes.

191. Nature. Les opérations réalisées sur ces données sont les suivantes :

  • l’utilisation des données téléchargées sur le portail SaaS par le client dans le cadre des services SaaS, plus précisément pour :
    • le lancement des campagnes de tests qui est réalisé au travers de l’envoi d’emailing aux adresses emails professionnels des destinataires ;
    • la création de rapports permettant d’évaluer le niveau de sécurité face au risque de phishing ;
  • la conservation des données sur des serveurs externalisés
  • la destruction des données
  • la structuration de la donnée de manière à déduire le niveau de sécurité face au risque de phishing ;
  • l’extraction de la donnée pour éditer des rapports exploitables par le client ;

192. Durée. Par principe, et sauf instruction contraire du client, la durée du traitement réalisée par la société Arsen Consulting est limitée à la durée d’utilisation des services SaaS, et ne peut en tout état de cause, excéder trois (3) mois à compter :

  • de la dernière utilisation du service SaaS ;
  • du terme des relations contractuelles s’agissant de la conservation puis de la destruction des données.

193. Type de données. Les données à caractère personnel traitées par la société Arsen Consulting concernent les catégories suivantes de données :

  • les données relatives à l’identité des destinataires : nom, prénom
  • les données relatives à la vie professionnelle des destinataires : adresse email professionnelle

194. Catégories de personnes concernées. Les données à caractère personnel objet des traitements concernent les catégories suivantes de personnes :

  • les salariés du client (« destinataire » au sens du présent contrat et non au sens de la réglementation applicable en matière de données personnelles).

195. Liste des sous-traitants autorisés. Les sous-traitants autorisés par le client à procéder à tout ou partie du traitement des données personnelles sont les suivants :

  • Hébergeur de l’application : Google, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
  • Service d’envoi d’emails : Mailgun, 112 E Pecan St #1135, San Antonio, TX 78205, United States