Conditions Générales d'Utilisation (CGU)

NIS2facile — Plateforme SaaS de Governance, Risk & Compliance

FXB SOLUTIONS, EURL (Entreprise Unipersonnelle à Responsabilité Limitée) au capital de 10 000 euros, immatriculée au Registre du Commerce et des Sociétés d'Orléans sous le numéro 825 105 935, dont le siège social est situé 25 rue des Bergeronnettes, 45520 Chevilly, France, représentée par Monsieur François-Xavier Bazantay en qualité de Gérant (ci-après « NIS2facile » ou « le Prestataire »).

Numéro de TVA intracommunautaire : FR37 825 105 935
Email : contact@nis2facile.fr | Site : https://www.nis2facile.fr | Application : https://app.nis2facile.fr

Article 1 — Objet

1.1. Les présentes Conditions Générales d'Utilisation (ci-après « CGU ») ont pour objet de définir les conditions dans lesquelles NIS2facile met à disposition du Client sa plateforme de Governance, Risk & Compliance (GRC) accessible en mode SaaS (Software as a Service) à l'adresse https://app.nis2facile.fr (ci-après « le Service »).

1.2. Le Service est destiné exclusivement aux professionnels agissant dans le cadre de leur activité professionnelle (B2B). Il n'est pas destiné aux consommateurs au sens du Code de la consommation.

1.3. Le Service vise à accompagner les entités potentiellement soumises à la directive (UE) 2022/2555 du 14 décembre 2022 relative à des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union (ci-après « directive NIS2 »), en cours de transposition en droit français, dans leur démarche de structuration et d'accompagnement de la conformité cybersécurité.

1.4. Le Service ne se substitue pas aux obligations légales de notification d'incidents de sécurité auprès de l'ANSSI ou de toute autorité compétente. Les présentes CGU constituent le contrat régissant la relation entre NIS2facile et le Client pour l'utilisation du Service. Elles prévalent sur tout autre document commercial, publicitaire ou technique, sauf accord écrit contraire signé par les deux parties.

Article 2 — Définitions

Les termes ci-dessous, lorsqu'ils sont utilisés dans les présentes CGU avec une majuscule, ont la signification suivante :

« Administrateur » : Utilisateur disposant des droits les plus étendus sur le compte de l'Organisation, incluant la gestion de l'abonnement, des paramètres de l'Organisation, des invitations de collaborateurs et l'accès à l'ensemble des fonctionnalités du Service.

« Client » : la personne morale qui souscrit au Service et accepte les présentes CGU. Le Client est représenté par l'Administrateur principal qui crée le compte.

« Contenu Client » : l'ensemble des données, documents, fichiers, réponses d'évaluation, informations et contenus que le Client ou ses Utilisateurs saisissent, téléversent ou génèrent dans le cadre de l'utilisation du Service.

« Contributeur » : Utilisateur disposant de droits de lecture et d'écriture sur les évaluations, les actions et les preuves, sans accès aux paramètres d'Organisation ni à la facturation.

« Données Personnelles » : les données à caractère personnel au sens du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) traitées dans le cadre de l'utilisation du Service.

« Lecteur » : Utilisateur disposant d'un accès en lecture seule à l'ensemble des fonctionnalités du Service, sans possibilité de modification.

« Organisation » : l'entité (entreprise, association, collectivité) créée par le Client dans le Service, regroupant l'ensemble de ses Utilisateurs, données et configurations.

« Plateforme » : l'application web accessible à l'adresse https://app.nis2facile.fr et l'ensemble des interfaces techniques associées.

« Service » : la plateforme SaaS NIS2facile et l'ensemble des fonctionnalités mises à disposition du Client conformément à son Plan d'abonnement, telles que décrites à l'Article 4.

« Plan » ou « Plan d'abonnement » : la formule d'abonnement choisie par le Client parmi les offres proposées par NIS2facile (Starter, Premium, Enterprise), déterminant les fonctionnalités et limites applicables.

« Templates de politiques » : les modèles de documents de politiques de cybersécurité (PSSI, PCA, PRA, etc.) mis à disposition du Client dans le cadre du Service.

« Utilisateur » : toute personne physique disposant d'un compte sur la Plateforme et rattachée à l'Organisation du Client, quel que soit son rôle (Administrateur, Contributeur ou Lecteur).

Article 3 — Acceptation des CGU

3.1. L'utilisation du Service est subordonnée à l'acceptation préalable et sans réserve des présentes CGU. Cette acceptation est matérialisée par la case à cocher « J'accepte les Conditions Générales d'Utilisation » lors de la création du compte.

3.2. L'Administrateur qui crée le compte déclare avoir la capacité juridique et l'autorisation nécessaire pour engager le Client au titre des présentes CGU. Il garantit à NIS2facile qu'il dispose des pouvoirs nécessaires à cet effet.

3.3. Les présentes CGU sont opposables au Client pendant toute la durée d'utilisation du Service et jusqu'à la suppression définitive du compte et des données associées.

3.4. Les CGU en vigueur sont consultables à tout moment sur le site https://www.nis2facile.fr/cgu. Le Client est invité à en conserver une copie.

3.5. L'utilisation du simulateur d'éligibilité NIS2 accessible sans inscription n'est pas soumise à la création d'un compte mais implique l'acceptation des présentes CGU en ce qui concerne les dispositions relatives à la propriété intellectuelle, à la limitation de responsabilité et à la protection des données personnelles.

Article 4 — Description du Service

4.1 Fonctionnalités

Le Service NIS2facile est une plateforme de Governance, Risk & Compliance (GRC) en français, hébergée en France, spécifiquement conçue pour les PME et ETI soumises à la directive NIS2. Le Service comprend, selon le Plan souscrit :

(a) Simulateur d'éligibilité NIS2 : outil d'auto-diagnostic permettant de déterminer si une entité est soumise à la directive NIS2 en fonction de son secteur d'activité, de sa taille et de son chiffre d'affaires, ainsi que sa classification en Entité Essentielle (EE) ou Entité Importante (EI). Ce simulateur est accessible gratuitement, sans inscription.

(b) Évaluation de maturité cybersécurité : auto-évaluation de la maturité de l'Organisation sur les objectifs de sécurité définis par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) dans le cadre de la transposition de la directive NIS2, avec scoring automatique du niveau de conformité global et par objectif.

(c) Plan d'action guidé : génération d'un plan d'action hiérarchisé sur la base des résultats de l'auto-évaluation, incluant la priorisation par niveau de risque, la description des actions à entreprendre, l'attribution de responsabilités, les échéances et le suivi de l'état d'avancement.

(d) Templates de politiques de cybersécurité : modèles pré-rédigés de politiques et procédures de sécurité (PSSI, PCA, PRA, gestion des accès, gestion des incidents, etc.) alignés sur les objectifs ANSSI et les bonnes pratiques ISO 27001, à adapter par le Client à son contexte spécifique.

(e) Collecte et gestion de preuves : téléversement et organisation de documents justificatifs rattachés aux objectifs et actions de conformité, avec gestion des métadonnées, du versionnage et des statuts de validation.

(f) Tableaux de bord et rapports : vue synthétique de l'état de conformité (score global, tendances, risques principaux, échéances), avec export de rapports PDF destinés aux organes de direction (COMEX).

(g) Gestion des incidents (disponibilité selon la feuille de route produit) : déclaration et suivi des incidents de sécurité avec workflow conforme aux délais de notification NIS2 (alerte initiale 24 heures, rapport détaillé 72 heures).

4.2 Ce que le Service n'est PAS

Le Client reconnaît et accepte expressément que :

(a) Le Service est un outil d'aide à la structuration de la démarche de conformité NIS2. Il ne constitue en aucun cas un audit de sécurité, une certification de conformité, un label ou une attestation de conformité à la directive NIS2 ou à tout autre texte réglementaire.

(b) Les résultats de l'auto-évaluation sont indicatifs et basés sur les déclarations du Client. Ils ne constituent pas une évaluation indépendante de la conformité de l'Organisation. NIS2facile ne vérifie pas l'exactitude ni l'exhaustivité des informations fournies par le Client.

(c) Le Service ne constitue pas un conseil juridique, un conseil en cybersécurité ou une prestation de conseil personnalisé. NIS2facile recommande au Client de faire valider sa démarche de conformité par un professionnel qualifié (auditeur en cybersécurité, avocat spécialisé, prestataire qualifié PASSI).

(d) Les Templates de politiques sont des modèles génériques fournis à titre indicatif. Ils doivent être adaptés au contexte spécifique de l'Organisation du Client. NIS2facile ne garantit pas leur adéquation au contexte, à la taille, au secteur d'activité ou aux risques spécifiques du Client.

(e) L'utilisation du Service ne dispense pas le Client de ses obligations légales et réglementaires au titre de la directive NIS2 et de tout autre texte applicable. Le Client reste seul responsable de sa conformité.

(f) Les rapports exportés (PDF ou autres formats) sont destinés à un usage interne et ne constituent pas une preuve formelle opposable à une autorité de contrôle (ANSSI, CNIL ou autre).

4.3 Évolutions du Service

NIS2facile se réserve le droit de faire évoluer les fonctionnalités du Service, d'ajouter de nouvelles fonctionnalités ou d'en retirer, sous réserve de ne pas dégrader substantiellement le Service par rapport au Plan souscrit par le Client. En cas de retrait d'une fonctionnalité significative, le Client sera informé avec un préavis raisonnable d'au moins trente (30) jours.

Article 5 — Inscription et compte utilisateur

5.1 Création du compte

5.1.1. L'accès au Service (hors simulateur d'éligibilité) nécessite la création d'un compte Utilisateur. L'Administrateur principal crée le compte en fournissant : une adresse électronique professionnelle valide, un mot de passe conforme aux exigences de sécurité décrites à l'article 5.3, ainsi que ses nom et prénom.

5.1.2. L'adresse électronique fournie doit être vérifiée par le Client en cliquant sur le lien de vérification envoyé à cette adresse. Tant que l'adresse n'est pas vérifiée, l'accès au Service est limité (consultation du tableau de bord en mode restreint). La souscription à un Plan payant ou à la période d'essai requiert une adresse électronique vérifiée.

5.1.3. Après vérification de son adresse électronique, l'Administrateur complète la création de l'Organisation en renseignant les informations relatives à l'entité (dénomination sociale, numéro SIREN le cas échéant, secteur d'activité, effectif).

5.2 Véracité des informations

Le Client garantit l'exactitude, la sincérité et la mise à jour des informations fournies lors de l'inscription et tout au long de l'utilisation du Service. Toute information inexacte, incomplète ou obsolète peut entraîner la suspension ou la résiliation du compte dans les conditions prévues à l'article 10.

5.3 Sécurité du compte

5.3.1. Le mot de passe doit comporter au minimum douze (12) caractères et inclure au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial.

5.3.2. Le Client est responsable de la préservation de la confidentialité de ses identifiants de connexion. Toute utilisation du Service effectuée à partir du compte du Client est réputée avoir été effectuée par celui-ci.

5.3.3. Le Client s'engage à notifier sans délai NIS2facile de toute utilisation non autorisée de son compte ou de toute atteinte à la sécurité de ses identifiants, à l'adresse support@nis2facile.fr.

5.3.4. NIS2facile met à disposition une fonctionnalité d'authentification à deux facteurs (TOTP — Time-based One-Time Password). Le Client est encouragé à activer cette fonctionnalité pour renforcer la sécurité de ses comptes. L'Administrateur peut rendre l'authentification à deux facteurs obligatoire pour l'ensemble des Utilisateurs de son Organisation.

5.4 Invitation et gestion des Utilisateurs

5.4.1. L'Administrateur peut inviter des Utilisateurs supplémentaires à rejoindre l'Organisation en leur attribuant un rôle (Contributeur ou Lecteur), dans la limite du Plan souscrit (cf. article 7).

5.4.2. L'Administrateur est responsable de la gestion des accès des Utilisateurs de son Organisation. Il s'engage à retirer sans délai les accès des Utilisateurs qui ne sont plus habilités à utiliser le Service.

5.4.3. Les invitations non acceptées expirent automatiquement après sept (7) jours.

Article 6 — Utilisation acceptable du Service

6.1 Usages autorisés

Le Service est destiné exclusivement à un usage professionnel interne du Client, dans le cadre de sa démarche de structuration de la conformité aux réglementations de cybersécurité (directive NIS2, sa transposition française, et les référentiels ANSSI associés).

6.2 Usages interdits

Le Client s'interdit, et s'engage à interdire à ses Utilisateurs :

(a) d'utiliser le Service à des fins illicites, frauduleuses, ou contraires à l'ordre public et aux bonnes mœurs ;

(b) de tenter de contourner, désactiver ou compromettre les mesures de sécurité de la Plateforme, y compris l'isolation multi-tenant, les mécanismes d'authentification ou les contrôles d'accès ;

(c) d'effectuer des tests d'intrusion, des scans de vulnérabilité ou toute opération de sécurité offensive sur la Plateforme sans autorisation écrite préalable de NIS2facile ;

(d) de procéder à l'extraction systématique ou automatisée du contenu de la Plateforme, notamment les référentiels de sécurité, les critères d'évaluation, les algorithmes de scoring ou les Templates de politiques (web scraping, robots, API non autorisées) ;

(e) de décompiler, désassembler, procéder à de l'ingénierie inverse ou tenter de déduire le code source, les algorithmes ou la structure de la base de données du Service ;

(f) de redistribuer, sous-licencier, revendre ou mettre à disposition de tiers le Service ou tout contenu extrait du Service, sous quelque forme que ce soit ;

(g) de stocker dans le Service des données à caractère personnel relevant des catégories particulières (article 9 du RGPD) ou des données relatives aux condamnations pénales (article 10 du RGPD), sauf nécessité impérieuse documentée et mesures de protection supplémentaires convenues avec NIS2facile ;

(h) d'utiliser le Service pour stocker ou transmettre du contenu illicite, diffamatoire, contrefaisant, ou portant atteinte aux droits de tiers ;

(i) de surcharger intentionnellement l'infrastructure du Service (déni de service, envois massifs, requêtes automatisées excessives) ;

(j) d'utiliser les résultats, scores ou rapports générés par le Service pour induire en erreur des tiers quant au niveau de conformité réel de l'Organisation, notamment en les présentant comme une certification ou un audit indépendant.

6.3 Conséquences des violations

6.3.1. Toute violation des présentes règles d'utilisation acceptable peut entraîner, sans mise en demeure préalable en cas de manquement grave, la suspension immédiate de l'accès au Service et, le cas échéant, la résiliation du contrat dans les conditions prévues à l'article 10.2.

6.3.2. Le Client est responsable des dommages causés à NIS2facile, à ses autres clients ou à des tiers du fait de la violation des présentes règles par le Client ou ses Utilisateurs. Le Client s'engage à indemniser NIS2facile de toute réclamation, perte ou dommage résultant d'une telle violation.

Article 7 — Plans et tarification

7.1 Plans disponibles

NIS2facile propose les Plans d'abonnement suivants, dont les prix s'entendent hors taxes (HT) :

7.2 Accès gratuit

Tout Utilisateur disposant d'un compte vérifié bénéficie d'un accès gratuit limité au tableau de bord en lecture seule, permettant de consulter les objectifs de sécurité et les résultats du simulateur d'éligibilité. L'accès aux fonctionnalités d'évaluation, de plan d'action, de collecte de preuves et d'export de rapports est réservé aux Plans payants.

7.3 Rôles et limites

Les Lecteurs sont gratuits et illimités sur tous les Plans, y compris sur l'accès gratuit. Les limites de nombre d'Administrateurs et de Contributeurs indiquées dans le tableau ci-dessus s'appliquent strictement. En cas de passage à un Plan inférieur (downgrade), les Contributeurs excédentaires sont automatiquement rétrogradés en Lecteurs.

7.4 TVA

Les prix indiqués sont hors taxes. La taxe sur la valeur ajoutée (TVA) applicable sera ajoutée au montant HT conformément à la réglementation en vigueur. Pour les clients établis dans un autre État membre de l'Union européenne et disposant d'un numéro de TVA intracommunautaire valide, la TVA ne sera pas facturée conformément à l'article 283 du Code général des impôts (autoliquidation).

7.5 Facturation

La facturation est établie d'avance, au début de chaque période de facturation (mensuelle ou annuelle selon le choix du Client). Les factures sont mises à disposition sous format électronique dans l'espace Client.

7.6 Modification des tarifs

NIS2facile se réserve le droit de modifier ses tarifs à tout moment. Les nouveaux tarifs s'appliquent à tout nouvel abonnement ou renouvellement postérieur à leur publication. Les abonnements en cours restent soumis aux tarifs en vigueur au moment de leur souscription jusqu'à la fin de la période de facturation en cours. En cas de modification tarifaire, le Client sera informé par courrier électronique au moins trente (30) jours avant le prochain renouvellement.

Article 8 — Période d'essai

8.1. NIS2facile propose une période d'essai gratuite de quatorze (14) jours sur le Plan Starter.

8.2. L'activation de la période d'essai nécessite la saisie d'un moyen de paiement valide (carte bancaire). Aucun prélèvement n'est effectué pendant la période d'essai. Le moyen de paiement est enregistré en vue de la facturation automatique à l'issue de la période d'essai.

8.3. Pendant la période d'essai, le Client bénéficie d'un accès au tableau de bord et aux fonctionnalités d'évaluation (auto-évaluation des objectifs de sécurité, scoring). Les fonctionnalités de plan d'action, de collecte de preuves et d'export avancé ne sont pas accessibles pendant la période d'essai.

8.4. À l'issue de la période d'essai, soit le quinzième (15e) jour suivant l'activation, le moyen de paiement sera automatiquement débité du montant correspondant au Plan Starter (59,99 € HT/mois ou 599,88 € HT/an selon l'option choisie). L'ensemble des fonctionnalités du Plan Starter sera alors débloqué.

8.5. Le Client est informé de l'échéance de sa période d'essai par notification dans l'interface et par courrier électronique trois (3) jours avant la fin de la période d'essai.

8.6. Le Client qui souhaite ne pas poursuivre au-delà de la période d'essai peut utiliser le bouton « Annuler l'essai » disponible dans les paramètres du compte ou contacter le support à l'adresse support@nis2facile.fr, avant l'expiration des quatorze (14) jours. En l'absence d'annulation dans ce délai, la facturation automatique s'applique conformément à l'article 8.4.

8.7. Chaque Organisation ne peut bénéficier que d'une seule période d'essai.

Article 9 — Paiement

9.1 Moyens de paiement

Les paiements sont traités par le prestataire de services de paiement Stripe (Stripe Payments Europe, Ltd., société établie en Irlande, agréée en tant qu'établissement de monnaie électronique). Les moyens de paiement acceptés sont la carte bancaire (Visa, Mastercard) et le prélèvement SEPA.

NIS2facile ne collecte ni ne stocke directement les données de paiement du Client. Ces données sont traitées exclusivement par Stripe, dans le respect des normes PCI-DSS.

9.2 Échéances

Le paiement est dû d'avance au début de chaque période de facturation. Pour l'abonnement mensuel, le montant mensuel est prélevé automatiquement à chaque date anniversaire de la souscription. Pour l'abonnement annuel, le montant annuel est prélevé en une seule fois à la date de souscription, puis à chaque date anniversaire.

9.3 Échec de paiement

9.3.1. En cas d'échec du prélèvement automatique (carte expirée, fonds insuffisants, refus de la banque), le Client est informé par courrier électronique et dispose d'un délai de grâce de sept (7) jours pour régulariser sa situation en mettant à jour son moyen de paiement.

9.3.2. Pendant le délai de grâce, le Service reste accessible. Une bannière d'avertissement invite le Client à mettre à jour son moyen de paiement.

9.3.3. En cas de non-régularisation à l'expiration du délai de grâce, après trois (3) tentatives de prélèvement infructueuses, l'abonnement est suspendu. Le Client conserve un accès en lecture seule à ses données et peut se réabonner à tout moment.

9.4 Retard de paiement

Conformément aux articles L441-10 et suivants du Code de commerce, tout retard de paiement entraîne de plein droit l'application de pénalités de retard calculées au taux d'intérêt appliqué par la Banque centrale européenne à son opération de refinancement la plus récente, majoré de dix (10) points de pourcentage, ainsi qu'une indemnité forfaitaire de quarante (40) euros pour frais de recouvrement.

Article 10 — Résiliation

10.1 Résiliation par le Client

10.1.1. Abonnement mensuel : le Client peut résilier son abonnement à tout moment depuis son espace de gestion de compte. La résiliation prend effet à la fin de la période mensuelle en cours déjà payée. Aucun remboursement au prorata n'est dû.

10.1.2. Abonnement annuel : le Client peut résilier son abonnement à tout moment. La résiliation prend effet à la fin de l'année d'abonnement en cours déjà payée. Aucun remboursement au prorata n'est dû pour la période restante.

10.1.3. Période d'essai : les conditions de résiliation pendant la période d'essai sont régies par l'article 8.6.

10.2 Résiliation par NIS2facile

10.2.1. NIS2facile peut résilier l'abonnement du Client avec un préavis de trente (30) jours en cas de : violation des présentes CGU par le Client ; utilisation du Service contraire à sa destination, aux règles d'utilisation acceptable (article 6) ou aux lois en vigueur ; non-paiement persistant malgré les relances prévues à l'article 9.3.

10.2.2. En cas de manquement grave (atteinte à la sécurité de la Plateforme, utilisation frauduleuse, activité illicite), NIS2facile se réserve le droit de suspendre immédiatement l'accès au Service et de résilier le contrat sans préavis ni indemnité.

10.3 Effets de la résiliation

10.3.1. À compter de la date d'effet de la résiliation, le Client bénéficie d'un accès en lecture seule à ses données pendant une durée de trente (30) jours. Pendant cette période, le Client peut exporter ses données conformément à l'article 12.

10.3.2. À l'expiration du délai de trente (30) jours suivant la date d'effet de la résiliation, l'ensemble du Contenu Client et des données de l'Organisation est supprimé de manière définitive et irréversible, sauf obligations légales de conservation (facturation conservée 10 ans conformément à l'article L123-22 du Code de commerce). Les fichiers hébergés sur le stockage objet sont supprimés. Les journaux d'audit sont anonymisés.

10.3.3. Les données de facturation sont conservées conformément aux obligations légales (article L123-22 du Code de commerce) pendant une durée de dix (10) ans.

10.3.4. La résiliation ne donne droit à aucun remboursement des sommes déjà versées, sauf en cas de résiliation par NIS2facile sans motif légitime.

10.4 Réactivation

Tant que les données n'ont pas été supprimées (dans le délai de trente jours post-résiliation), le Client peut se réabonner à tout moment. Ses données sont alors intégralement restaurées.

Article 11 — Propriété intellectuelle

11.1 Propriété du Service

11.1.1. La Plateforme, le Service, leur architecture, leurs bases de données, leur code source et objet, leurs interfaces, leurs contenus rédactionnels (hors Contenu Client), leurs référentiels de sécurité structurés, leurs algorithmes de scoring et l'ensemble des éléments les composant sont et restent la propriété exclusive de FXB SOLUTIONS, protégés par le droit d'auteur, le droit des bases de données et, le cas échéant, le droit des brevets. Les marques NIS2facile et NIS2pratique sont la propriété de FXB SOLUTIONS.

11.1.2. La souscription au Service confère au Client un droit d'utilisation personnel, non exclusif, non cessible et non transférable du Service, pour la durée de l'abonnement et dans la limite du Plan souscrit.

11.1.3. Le Client s'interdit de reproduire, copier, modifier, décompiler, désassembler, extraire tout ou partie du Service, créer des œuvres dérivées, ou permettre à un tiers de le faire, sauf dans les cas expressément autorisés par la loi.

11.2 Propriété du Contenu Client

11.2.1. Le Contenu Client reste la propriété exclusive du Client. NIS2facile n'acquiert aucun droit de propriété sur le Contenu Client.

11.2.2. Le Client concède à NIS2facile une licence limitée, non exclusive et révocable d'hébergement, de stockage et d'affichage du Contenu Client, dans le seul but de fournir le Service. Cette licence prend fin à la résiliation du contrat et à la suppression des données.

11.3 Templates de politiques

11.3.1. Les Templates de politiques mis à disposition dans le cadre du Service sont la propriété intellectuelle de FXB SOLUTIONS.

11.3.2. Le Client bénéficie d'une licence d'utilisation non exclusive, pour ses besoins internes uniquement, lui permettant de télécharger, adapter et utiliser ces Templates dans le cadre de sa démarche de conformité. Cette licence est concédée pour la durée de l'abonnement et pour une période supplémentaire de douze (12) mois suivant la résiliation, afin de permettre l'utilisation des versions déjà téléchargées et adaptées par le Client pour son usage propre. Les Templates adaptés par le Client pour son usage propre restent sa propriété.

11.3.3. Le Client s'interdit de redistribuer, revendre, publier ou mettre à disposition de tiers les Templates sous leur forme originale non adaptée.

Article 12 — Contenu Client et données

12.1 Responsabilité du Client

12.1.1. Le Client est seul responsable du Contenu Client qu'il saisit, téléverse ou génère dans le Service. Il garantit que le Contenu Client ne porte pas atteinte aux droits de tiers, ne contrevient à aucune disposition légale ou réglementaire et ne contient aucun contenu illicite.

12.1.2. NIS2facile ne modifie pas, n'accède pas et n'exploite pas le Contenu Client à des fins autres que la fourniture du Service, sauf obligation légale ou judiciaire.

12.2 Hébergement

Le Contenu Client est hébergé en France, dans les centres de données d'OVH SAS (2 rue Kellermann, 59100 Roubaix), situés à Gravelines et Roubaix. Aucune donnée du Client n'est transférée en dehors de l'Union européenne.

12.3 Sécurité des données

NIS2facile met en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité du Contenu Client, notamment : chiffrement des données en transit (TLS 1.3), isolation des données entre Organisations (architecture multi-tenant), contrôle d'accès basé sur les rôles (RBAC), analyse antivirus des fichiers téléversés, sauvegardes quotidiennes chiffrées avec réplication continue, et journalisation des accès.

12.4 Export des données

Le Client peut, à tout moment pendant la durée de son abonnement et pendant la période de trente (30) jours suivant la résiliation, demander l'export de l'ensemble de ses données au format JSON et PDF, conformément au droit à la portabilité prévu par le RGPD. La demande d'export est adressée à dpo@nis2facile.fr et traitée dans un délai de trente (30) jours.

12.5 Conformité RGPD

Le traitement des Données Personnelles dans le cadre du Service est régi par la politique de confidentialité et par l'accord sur le traitement des données (Data Processing Agreement) conforme à l'article 28 du RGPD, annexé aux présentes CGU (Annexe 1) et en faisant partie intégrante.

Article 13 — Disponibilité et niveaux de service

13.1 Objectif de disponibilité — Plans Starter et Premium

NIS2facile s'efforce d'assurer une disponibilité du Service de 99,5 % sur une base mensuelle, calculée hors périodes de maintenance programmée et cas de force majeure. Cet objectif de disponibilité est un engagement de moyens et non de résultat.

13.2 Engagements de niveaux de service — Plan Enterprise

13.2.1. Le Plan Enterprise fait l'objet de Conditions Particulières définissant des engagements renforcés, incluant notamment :

(a) un engagement de disponibilité de 99,9 % sur une base mensuelle (soit un maximum de 43 minutes d'indisponibilité par mois), hors maintenance programmée et cas de force majeure ;

(b) un mécanisme de crédits de service : en cas de non-respect de l'engagement de disponibilité, le Client bénéficie d'un avoir sur sa prochaine facture calculé comme suit : 5 % du montant mensuel par tranche de 0,1 % de disponibilité en dessous du seuil de 99,9 %, plafonné à 30 % du montant mensuel. Le Client doit adresser sa demande de crédit par écrit dans les trente (30) jours suivant la fin du mois concerné ;

(c) un support technique prioritaire avec les délais de réponse garantis suivants : incident critique (Service totalement indisponible) — quatre (4) heures ouvrées ; incident majeur (fonctionnalité essentielle dégradée) — huit (8) heures ouvrées ; incident mineur (fonctionnalité secondaire affectée) — deux (2) jours ouvrés ;

(d) un interlocuteur technique dédié pour les demandes d'assistance et les escalades ;

(e) un rapport mensuel de disponibilité et de performance sur demande.

13.2.2. Les Conditions Particulières Enterprise sont négociées au cas par cas et prévalent sur le présent article en cas de contradiction.

13.3 Maintenance programmée

Les opérations de maintenance programmée font l'objet d'une notification préalable par courrier électronique et/ou bannière dans l'interface au moins quarante-huit (48) heures à l'avance. Les opérations de maintenance sont planifiées, dans la mesure du possible, en dehors des heures ouvrables (entre 22h et 6h, heure de Paris). Pour les clients Enterprise, les opérations de maintenance programmée nécessitant une interruption de service sont effectuées dans une fenêtre convenue (par défaut : dimanche entre 2h et 6h, heure de Paris) avec un préavis minimum de cinq (5) jours ouvrés.

13.4 Maintenance d'urgence

En cas de faille de sécurité, de risque d'atteinte à l'intégrité des données ou de dysfonctionnement critique, NIS2facile se réserve le droit d'effectuer des opérations de maintenance d'urgence sans préavis. Le Client est informé dès que possible de la nature et de la durée estimée de l'intervention.

13.5 Support

Le support technique est accessible par courrier électronique à l'adresse support@nis2facile.fr. NIS2facile s'efforce de répondre aux demandes dans un délai de deux (2) jours ouvrés pour les Plans Starter et Premium. Les niveaux de support prioritaires applicables au Plan Enterprise sont définis à l'article 13.2.

Article 14 — Limitation de responsabilité

14.1 Absence de garantie de conformité NIS2

Le Client reconnaît et accepte expressément que l'utilisation du Service ne garantit en aucune manière sa conformité à la directive NIS2 ou à tout autre texte réglementaire.

L'auto-évaluation réalisée via le Service est indicative et basée exclusivement sur les déclarations du Client. Elle ne saurait se substituer à un audit de sécurité réalisé par un professionnel qualifié. Le Client demeure seul responsable de sa conformité réglementaire et des décisions qu'il prend sur la base des résultats fournis par le Service.

NIS2facile aide à structurer la démarche de conformité du Client. NIS2facile ne protège pas et ne saurait protéger le Client, ses dirigeants ou ses employés contre les sanctions, amendes ou responsabilités découlant d'un défaut de conformité.

14.2 Plafonnement de la responsabilité

14.2.1. La responsabilité totale de NIS2facile au titre des présentes CGU, toutes causes confondues, est limitée aux sommes effectivement versées par le Client à NIS2facile au cours des douze (12) mois précédant l'événement donnant lieu à responsabilité.

14.2.2. Ce plafond s'applique que la responsabilité soit contractuelle, délictuelle ou quasi-délictuelle, et quel que soit le fondement juridique de la réclamation.

14.2.3. Cette limitation ne s'applique pas en cas de faute lourde ou dolosive de NIS2facile.

14.3 Exclusion des dommages indirects

NIS2facile ne pourra en aucun cas être tenue responsable des dommages indirects subis par le Client, notamment : perte de chiffre d'affaires, perte de bénéfices, perte de clientèle, perte de données (au-delà de celles hébergées par NIS2facile), perte d'image, préjudice commercial, coût de substitution, sanctions ou amendes infligées par une autorité compétente (ANSSI, CNIL ou autre), même si NIS2facile a été informée de la possibilité de tels dommages.

14.4 Exclusion des sanctions NIS2

Le Client reconnaît expressément que NIS2facile ne peut en aucun cas être tenue responsable des sanctions administratives, financières ou pénales infligées au Client, à ses dirigeants ou à ses employés par une autorité compétente (ANSSI, CNIL ou autre) au titre de la directive NIS2, de sa transposition française ou de tout autre texte réglementaire. La responsabilité personnelle des dirigeants au titre de la directive NIS2 et de la Loi Résilience relève exclusivement de l'Organisation du Client.

14.5 Exclusions de responsabilité

NIS2facile n'est pas responsable :

(a) de l'exactitude, de l'exhaustivité ou de la pertinence des informations saisies par le Client dans le Service ;

(b) des conséquences de l'utilisation par le Client des résultats, scores, recommandations ou templates fournis par le Service ;

(c) de l'inadéquation des Templates de politiques au contexte spécifique du Client ;

(d) des décisions prises par le Client ou ses dirigeants sur la base des informations fournies par le Service ;

(e) des dommages résultant d'une utilisation non conforme du Service par le Client ou d'une violation des règles d'utilisation acceptable (article 6) ;

(f) des interruptions de service imputables à l'opérateur de télécommunications, au fournisseur d'accès à Internet du Client ou à tout tiers.

Article 15 — Garanties et exclusions

15.1 Fourniture en l'état

Le Service est fourni « en l'état » et « selon disponibilité ». NIS2facile ne garantit pas que le Service répondra aux besoins spécifiques du Client ni qu'il fonctionnera de manière ininterrompue ou exempte d'erreurs.

15.2 Pas de garantie de résultat

NIS2facile ne fournit aucune garantie de résultat quant à l'atteinte par le Client d'un quelconque niveau de conformité à la directive NIS2 ou à tout autre texte réglementaire. Le Service est un outil d'accompagnement ; il ne se substitue ni à un audit formel ni à un accompagnement par un professionnel qualifié.

15.3 Templates de politiques

Les Templates de politiques sont des modèles génériques rédigés sur la base des objectifs ANSSI et des bonnes pratiques reconnues. Ils ne constituent pas des documents juridiques garantis. Le Client est seul responsable de leur adaptation à son contexte et NIS2facile recommande de les faire valider par un professionnel qualifié (RSSI, consultant en cybersécurité, avocat spécialisé) avant leur mise en application.

15.4 Garanties légales

Les présentes exclusions de garantie s'entendent sans préjudice des garanties légales impératives applicables en droit français.

Article 16 — Force majeure

16.1. Aucune des parties ne sera tenue responsable de l'inexécution ou du retard dans l'exécution de l'une de ses obligations si cette inexécution ou ce retard résulte d'un cas de force majeure au sens de l'article 1218 du Code civil.

16.2. Sont notamment considérés comme des cas de force majeure, sans que cette liste soit limitative : les catastrophes naturelles, les guerres, les actes de terrorisme, les émeutes, les pandémies, les cyberattaques d'ampleur nationale ou systémique, les grèves générales, les décisions gouvernementales ou réglementaires, les défaillances des réseaux de télécommunications ou d'énergie, les défaillances de l'infrastructure nationale d'hébergement, et les défaillances des prestataires d'hébergement indépendantes de la volonté de NIS2facile.

16.3. La partie affectée par un cas de force majeure en informe l'autre partie dans les meilleurs délais et s'efforce de limiter les conséquences de l'événement.

16.4. Si le cas de force majeure se prolonge au-delà de quatre-vingt-dix (90) jours, chaque partie pourra résilier le contrat de plein droit, par notification écrite à l'autre partie, sans indemnité. Les sommes versées d'avance pour la période non exécutée seront remboursées au Client au prorata.

Article 17 — Évolution du cadre réglementaire

17.1. Le Service est conçu sur la base de la directive (UE) 2022/2555 (NIS2), de sa transposition française en cours (Loi Résilience) et des référentiels ANSSI publiés à la date de dernière mise à jour des présentes CGU. Le Client reconnaît que le cadre réglementaire applicable est susceptible d'évoluer.

17.2. En cas d'évolution substantielle du cadre réglementaire (promulgation de décrets d'application, publication de nouveaux référentiels ANSSI, modification significative des obligations NIS2), NIS2facile s'engage à adapter le Service dans un délai raisonnable pour refléter les nouvelles exigences, dans la mesure où ces adaptations relèvent de la même nature fonctionnelle que le Service souscrit.

17.3. Si une évolution réglementaire rend le Service inadapté ou obsolète de manière substantielle et que NIS2facile n'est pas en mesure d'adapter le Service dans un délai de six (6) mois suivant l'entrée en vigueur du texte concerné, chaque partie pourra résilier le contrat par notification écrite à l'autre partie avec un préavis de trente (30) jours. L'abonnement en cours reste valable aux conditions souscrites jusqu'à la date d'effet de la résiliation ; les sommes versées d'avance pour la période postérieure à la date d'effet de la résiliation seront remboursées au Client au prorata.

17.4. NIS2facile informera le Client des évolutions réglementaires significatives dont elle a connaissance et qui impactent le Service, par courrier électronique et/ou notification dans l'interface, dans un délai raisonnable.

Article 18 — Données personnelles

18.1. NIS2facile collecte et traite des Données Personnelles dans le cadre de la fourniture du Service, en qualité de responsable de traitement pour les données de gestion de la relation Client, et en qualité de sous-traitant pour les Données Personnelles que le Client intègre dans le Contenu Client.

18.2. Les modalités de collecte, de traitement, de conservation et de protection des Données Personnelles sont détaillées dans la politique de confidentialité.

18.3. Le Client dispose des droits d'accès, de rectification, d'effacement, de portabilité, d'opposition et de limitation prévus par le RGPD, exerçables auprès du référent protection des données à l'adresse dpo@nis2facile.fr.

18.4. En cas de violation de Données Personnelles au sens de l'article 4 du RGPD, NIS2facile informera le Client dans les meilleurs délais et au plus tard dans les quarante-huit (48) heures suivant la prise de connaissance de la violation. NIS2facile s'engage à assister raisonnablement le Client dans ses obligations de notification à la CNIL ou à l'ANSSI, notamment en fournissant les informations nécessaires sur la nature, les circonstances et les conséquences de la violation.

18.5. Les conditions dans lesquelles NIS2facile traite les Données Personnelles pour le compte du Client en qualité de sous-traitant sont définies dans l'accord sur le traitement des données (Data Processing Agreement — DPA) annexé aux présentes CGU (Annexe 1) et en faisant partie intégrante, conformément à l'article 28 du RGPD.

Article 19 — Confidentialité

19.1. Chaque partie s'engage à traiter comme confidentielles les informations de l'autre partie qui ne sont pas publiquement accessibles et dont elle pourrait avoir connaissance dans le cadre de l'exécution du contrat (ci-après « Informations Confidentielles »).

19.2. Sont notamment considérées comme Informations Confidentielles : les données du Client hébergées sur la Plateforme, les résultats d'évaluation, les plans d'action, les preuves de conformité, les informations commerciales et financières, les savoir-faire techniques, et plus généralement toute information identifiée comme confidentielle ou dont la nature confidentielle est raisonnablement apparente.

19.3. L'obligation de confidentialité ne s'applique pas aux informations qui : (a) étaient déjà connues de la partie réceptrice au moment de leur communication ; (b) sont ou deviennent publiquement accessibles sans fait imputable à la partie réceptrice ; (c) sont communiquées par un tiers de manière licite et sans obligation de confidentialité ; (d) sont développées de manière indépendante par la partie réceptrice ; (e) doivent être divulguées en vertu d'une obligation légale, réglementaire ou judiciaire, sous réserve d'en informer l'autre partie dans les meilleurs délais.

19.4. L'obligation de confidentialité s'applique pendant toute la durée du contrat et pendant une durée de cinq (5) ans après sa cessation, quelle qu'en soit la cause.

Article 20 — Modification des CGU

20.1. NIS2facile se réserve le droit de modifier les présentes CGU à tout moment.

20.2. En cas de modification substantielle (notamment des conditions de prix, de résiliation, de responsabilité ou de traitement des données), le Client sera informé par courrier électronique et par notification dans l'interface du Service au moins trente (30) jours avant l'entrée en vigueur des nouvelles CGU.

20.3. La poursuite de l'utilisation du Service après l'entrée en vigueur des modifications vaut acceptation des CGU modifiées.

20.4. Si le Client n'accepte pas les modifications, il peut résilier son abonnement avant l'entrée en vigueur des nouvelles CGU, dans les conditions prévues à l'article 10.1. Le cas échéant, les CGU antérieures resteront applicables jusqu'à la fin de la période de facturation en cours.

20.5. La date de dernière mise à jour des CGU est indiquée en en-tête du présent document.

Article 21 — Droit applicable et juridiction

21.1. Les présentes CGU sont régies par le droit français.

21.2. Les parties s'engagent à rechercher une solution amiable à tout différend relatif à l'interprétation ou à l'exécution des présentes CGU. En cas d'échec de la tentative de résolution amiable dans un délai de trente (30) jours à compter de la notification du différend par l'une des parties à l'autre, le litige sera soumis à la compétence exclusive du Tribunal de commerce d'Orléans.

21.3. La nullité d'une clause des présentes CGU n'entraîne pas la nullité de l'ensemble des CGU. La clause déclarée nulle sera réputée non écrite et les autres dispositions continueront de s'appliquer.

21.4. Le fait pour NIS2facile de ne pas se prévaloir d'un manquement du Client à l'une de ses obligations ne saurait être interprété comme une renonciation à l'obligation en cause.

Article 22 — Contact

Annexe 1 : Data Processing Agreement (DPA) — Document séparé, partie intégrante des présentes CGU