Conditions générales d'utilisation et de vente - logiciels

Accord de Traitement des Données (DPA)
Politique de Sécurité Informatique
CGU – CGV – DPA – Annexes A & B

 

PARTIE I

CONDITIONS GÉNÉRALES D’UTILISATION

Article 1 – Objet et champ d’application

Les présentes Conditions Générales d’Utilisation (ci-après « CGU ») régissent l’accès et l’utilisation de toute solution logicielle éditée, hébergée ou mise à disposition par INTELIXA, qu’il s’agisse d’une plateforme SaaS standard, d’un CRM sur mesure ou d’un LMS. Toute connexion ou utilisation emporte acceptation sans réserve des présentes CGU.

Article 2 – Définitions

Au sens des présentes CGU et CGV :

  • « Éditeur » : INTELIXA, SASU immatriculée au RCS de Lyon n° 983 348 038, 5 rue de Jéricho, 69009 Lyon.
  • « Client » : toute personne morale ou physique ayant conclu un contrat commercial avec l’Éditeur.
  • « Utilisateur » : toute personne physique accédant à la plateforme, qu’elle soit le Client, un collaborateur, un apprenant ou un partenaire autorisé par le Client.
  • « Apprenant » : utilisateur final inscrit par le Client à un parcours de formation sur la plateforme LMS.
  • « Plateforme » : l’ensemble des applications, interfaces et modules CRM/LMS mis à disposition par l’Éditeur.
  • « Socle CRM/LMS » : le logiciel de base développé et détenu par l’Éditeur, sur lequel repose toute solution proposée.
  • « Développement spécifique » : tout module ou fonctionnalité conçu sur commande pour un Client particulier, financé par ce dernier.
  • « Contenu pédagogique » : tout document, vidéo, quiz, parcours ou ressource créé, importé ou généré par le Client sur la plateforme LMS.
  • « Contenu généré par IA » : tout contenu produit avec l’assistance d’un module d’intelligence artificielle intégré ou connecté à la plateforme.
  • « Données » : l’ensemble des informations saisies, importées ou générées par le Client ou les Utilisateurs dans la plateforme.
  • « Licence d’usage » : droit personnel, non exclusif et non cessible accordé au Client d’utiliser la plateforme pour la durée du contrat.
  • « Sous-traitant technique » : toute personne physique ou morale à laquelle l’Éditeur confie tout ou partie des développements informatiques.

Article 3 – Reconnaissance du modèle SaaS

Le Client déclare expressément avoir pris connaissance et compris que :

  • la plateforme est mise à disposition dans le cadre d’un modèle SaaS impliquant le versement d’un abonnement mensuel récurrent pour l’accès à la plateforme et aux services associés ;
  • le Socle CRM/LMS demeure la propriété exclusive de l’Éditeur et ne sera jamais cédé dans le cadre d’un abonnement ;
  • l’accès à la plateforme, y compris aux développements spécifiques, est conditionné au maintien d’un abonnement actif et à jour ;
  • les développements sur mesure sont réalisés en phases successives, chacune faisant l’objet d’un devis distinct et d’un engagement indépendant ;
  • les coûts récurrents liés à l’abonnement s’ajoutent aux coûts ponctuels de développement et constituent un engagement financier distinct.

À noter : La signature de tout devis INTELIXA vaut reconnaissance express de ces éléments et renonciation à tout recours fondé sur une méconnaissance du modèle économique proposé.

Article 4 – Accès à la plateforme

4.1 Conditions d’accès

L’accès est réservé aux Clients ayant un contrat en vigueur et aux Utilisateurs autorisés par le Client. Chaque Utilisateur dispose d’identifiants personnels et confidentiels dont il est seul responsable.

4.2 Sécurité des accès

Le Client est seul responsable de la gestion des droits d’accès au sein de son organisation. Il s’engage à désactiver sans délai les accès de tout Utilisateur n’ayant plus vocation à accéder à la plateforme. Le partage d’identifiants entre plusieurs personnes est strictement interdit, sauf autorisation contractuelle expresse et écrite de l’Éditeur. L’Éditeur ne saurait être tenu responsable d’un accès non autorisé résultant d’une négligence ou d’un partage d’identifiants par le Client.

4.3 Sécurité informatique

L’Éditeur met en œuvre des mesures techniques et organisationnelles raisonnables destinées à assurer la sécurité, l’intégrité et la confidentialité des Données hébergées sur la Plateforme, conformément à l’état de l’art et aux exigences du RGPD. Ces mesures sont détaillées à l’Annexe B. Elles peuvent notamment inclure :

  • chiffrement des flux de données (TLS/HTTPS) ;
  • journalisation des accès et actions sensibles (logs) ;
  • segmentation des environnements de production et de préproduction ;
  • sauvegardes automatiques avec réplication ;
  • contrôle des accès administrateurs avec principe du moindre privilège ;
  • mises à jour de sécurité régulières ;
  • dispositifs de détection d’activités anormales.

Le Client reconnaît que la sécurité d’un système informatique dépend également des mesures mises en œuvre de son côté. À ce titre, le Client s’engage à :

  • maintenir la confidentialité de ses identifiants et ne pas les partager ;
  • utiliser des mots de passe robustes et les renouveler régulièrement ;
  • limiter les accès aux seules personnes autorisées et maintenir les habilitations à jour ;
  • sécuriser les équipements utilisés pour accéder à la Plateforme ;
  • maintenir à jour ses systèmes d’exploitation, navigateurs et antivirus ;
  • signaler sans délai à l’Éditeur tout accès suspect, compromission ou incident de sécurité constaté.

L’Éditeur ne saurait être tenu responsable des incidents de sécurité résultant :

  • d’une négligence du Client ou de ses Utilisateurs (mot de passe faible, équipement non sécurisé, absence de mise à jour) ;
  • d’un partage volontaire ou involontaire des identifiants par le Client ;
  • d’une compromission des postes ou systèmes du Client (phishing, ransomware, malware) ;
  • d’une utilisation non conforme de la Plateforme ;
  • d’une cyberattaque ne résultant pas d’une faute démontrée de l’Éditeur.

À noter : L’Éditeur s’engage sur des mesures raisonnables conformément à l’état de l’art, non sur une obligation d’inviolabilité absolue du système, qui ne saurait être garantie par aucun opérateur.

4.4 Authentification renforcée (MFA)

L’Éditeur peut imposer, pour tout ou partie des accès à la Plateforme, l’utilisation d’une authentification multifacteur (MFA) lorsqu’elle est disponible et activée. Le refus ou la désactivation volontaire par le Client d’un dispositif de sécurité recommandé ou imposé par l’Éditeur engage la responsabilité exclusive du Client pour tout incident de sécurité lié à ce refus ou à cette désactivation.

4.5 Disponibilité et SLA

L’Éditeur s’engage à assurer une disponibilité de la plateforme de 99,5 % mesurée sur une base mensuelle, hors maintenance planifiée, force majeure et dépendances tierces. En cas de dépassement imputable à l’Éditeur, un avoir d’un mois d’abonnement maximum est accordé sur demande écrite. Les niveaux de service détaillés sont définis à l’Annexe A.

4.6 Limites d’utilisation

L’accès est consenti dans les limites du contrat : nombre d’utilisateurs actifs, volume de données et espace média. Sauf stipulation contraire, le stockage média inclus est de 1 To. Au-delà, une facturation complémentaire de 20 € HT/To/mois s’applique après notification et délai de 30 jours.

4.7 Environnements de test et préproduction

Pour les projets de développement sur mesure, l’Éditeur met à disposition un environnement de préproduction isolé de la production. Les données en préproduction ne bénéficient pas des mêmes garanties de sauvegarde. L’Éditeur décline toute responsabilité pour la perte de données en environnement de préproduction.

4.8 Preuve numérique

Les parties conviennent que les journaux de connexion (logs), les emails échangés via les adresses officielles, les devis signés et les accusés de réception électroniques constituent des éléments de preuve recevables entre elles en cas de litige, conformément aux articles 1366 et 1367 du Code civil.

Article 5 – Utilisation acceptable

5.1 Engagements généraux

L’Utilisateur s’engage à utiliser la plateforme conformément à sa destination et aux lois en vigueur. Sont notamment interdits :

  • le reverse engineering, la décompilation ou l’extraction du code source ;
  • l’introduction de virus, malwares ou tout contenu nuisible ;
  • l’extraction automatique de données (scraping) sans autorisation écrite préalable ;
  • la revente ou sous-licence de l’accès à la plateforme sans accord contractuel ;
  • toute utilisation à des fins illicites ou contraires à l’ordre public.

5.2 Responsabilité des contenus

Le Client est seul et entièrement responsable de l’ensemble des contenus qu’il crée, importe, publie ou diffuse sur la plateforme. Il garantit :

  • détenir tous les droits de propriété intellectuelle nécessaires ;
  • leur conformité aux référentiels applicables, notamment Qualiopi ;
  • leur exactitude et leur adéquation aux objectifs pédagogiques ;
  • l’absence d’atteinte aux droits de tiers, à la vie privée ou à l’ordre public.

L’Éditeur ne procède à aucune vérification des contenus déposés par le Client et ne saurait être tenu responsable de leur contenu, exactitude ou conformité réglementaire. À ce titre, l’Éditeur bénéficie du régime de responsabilité limitée des hébergeurs prévu par la LCEN (loi n° 2004-575 du 21 juin 2004).

5.3 Contenus générés par intelligence artificielle

La plateforme peut intégrer ou se connecter à des modules d’intelligence artificielle permettant au Client de générer des contenus pédagogiques. Le Client reconnait et accepte expressément que :

  • tout contenu généré par IA doit être vérifié, validé et assumé par le Client avant toute diffusion aux Apprenants ;
  • l’Éditeur ne garantit ni l’exactitude, ni la conformité pédagogique ou réglementaire des contenus produits par IA ;
  • la responsabilité pédagogique, juridique et Qualiopi des contenus générés par IA incombe exclusivement au Client ;
  • l’utilisation de l’IA ne dispense pas le Client de ses obligations en tant qu’organisme de formation ;
  • le Client s’engage à ne pas soumettre aux modules d’intelligence artificielle des données sensibles, stratégiques, confidentielles ou soumises à un secret légal (secret médical, secret des affaires, données biométriques, etc.) sans avoir préalablement vérifié les conditions de traitement applicables au service d’IA concerné.

⚠ Important : L’IA est un outil d’assistance. Le Client reste l’auteur et le responsable de tout contenu diffusé sur sa plateforme, quelle qu’en soit l’origine. Les données injectées dans un prompt peuvent être traitées par des services tiers : le Client en assume entièrement la responsabilité.

5.4 Évolutions du Socle CRM/LMS

L’Éditeur se réserve le droit de faire évoluer le Socle dans le cadre de son développement produit. Si une évolution entraînait la suppression d’une fonctionnalité utilisée par le Client, ce dernier en serait informé avec un préavis de 60 jours. L’Éditeur s’engage à proposer une solution alternative ou une compensation.

Article 6 – Spécificités LMS et formation

6.1 Apprenants

Le Client est seul responsable de l’inscription, de la gestion et du suivi de ses Apprenants. Il s’engage à les informer des traitements les concernant. En cas de traitement de données de mineurs, le Client s’assure d’obtenir le consentement parental requis.

6.2 Conformité Qualiopi

L’Éditeur conçoit les fonctionnalités LMS en tenant compte des exigences du référentiel Qualiopi. Toutefois, la conformité effective de l’organisme de formation relève exclusivement de la responsabilité du Client. L’Éditeur ne saurait être tenu responsable d’un échec d’audit Qualiopi.

6.3 Conservation des résultats et certifications

Les résultats, certifications et documents pédagogiques sont conservés pendant la durée du contrat. Une durée spécifique est définie avec le Client selon ses obligations légales ; à défaut, 5 ans par défaut. L’exportation est possible à tout moment sans frais.

6.4 Multi-sites et multi-établissements

Tout déploiement sur plusieurs sites ou entités juridiques distinctes fait l’objet d’un avenant au contrat, pouvant donner lieu à une facturation complémentaire.

Article 7 – Intégrations tierces

La plateforme peut s’interfacer avec des services tiers (Stripe, Pennylane, WhatsApp Business, OpenAI, Make, Zapier, n8n, outils de signature électronique, etc.). L’Éditeur ne saurait être tenu responsable d’une interruption, modification ou suppression d’une API tierce, ni des conditions générales de ces services. En cas d’impact majeur, l’Éditeur en informe le Client et propose, sur devis séparé, une mise à jour de l’intégration.

Le Client reconnaît expressément que l’activation d’intégrations tierces peut entraîner des flux de données hors de la Plateforme, y compris vers des serveurs situés hors de l’Union Européenne. Ces flux relèvent de la responsabilité exclusive du Client en tant que Responsable de traitement. L’Éditeur ne saurait être tenu responsable des incidents de sécurité, pertes de données ou violations imputables à un service tiers activé ou autorisé par le Client.

À noter : Le Client reste responsable de la conformité RGPD des transferts de données vers tout service tiers qu’il choisit d’activer, indépendamment de l’Éditeur.

Article 8 – Propriété intellectuelle

8.1 Droits de l’Éditeur

Le Socle CRM/LMS, son architecture, son code source, ses interfaces et l’ensemble de ses composants sont et demeurent la propriété exclusive de l’Éditeur. Aucune cession de propriété intellectuelle sur le Socle n’est opérée par le simple accès à la plateforme.

8.2 Propriété des améliorations du Socle

Toute amélioration du Socle CRM/LMS réalisée au cours du projet, même inspirée des besoins du Client, demeure la propriété exclusive de l’Éditeur. Seul le code source des développements spécifiques intégralement financés par le Client est concerné par l’article 8.3.

8.3 Droits du Client sur les développements spécifiques

  • Paramétrage : aucun droit de propriété intellectuelle particulier.
  • Adaptation du Socle : droit d’usage permanent et non exclusif pour le Client.
  • Développements intégralement financés : droit d’usage permanent ; code source remis en cas de résiliation. L’Éditeur conserve le droit de réutiliser concepts et savoir-faire, à l’exclusion du code source propre au Client.

8.4 Droits du Client sur ses contenus et données

Le Client demeure seul propriétaire de ses données et contenus pédagogiques. L’Éditeur ne revendique aucun droit et s’interdit de les exploiter à d’autres fins.

Article 9 – Confidentialité

Chaque partie garde strictement confidentiels les informations et documents de l’autre partie accessibles dans le cadre du contrat, notamment les process métier et données du Client, ainsi que le code source et le savoir-faire de l’Éditeur. Cette obligation s’applique pendant la durée du contrat et cinq (5) ans après son terme.

Article 10 – Responsabilité et garanties

10.1 Limitation générale

La responsabilité de l’Éditeur est limitée aux dommages directs prouvés résultant d’une faute avérée. Sont exclus les dommages indirects, pertes d’exploitation, manque à gagner, perte de données ou atteinte à l’image. Le plafond est fixé au montant des sommes perçues du Client au cours des douze (12) mois précédant le fait générateur. Ce plafond est justifié par l’économie du contrat et ne crée pas de déséquilibre significatif au sens de l’article L. 442-1 du Code de commerce.

10.2 Exclusions

L’Éditeur ne saurait être tenu responsable des dommages résultant des contenus du Client, des contenus IA non vérifiés, de la non-conformité Qualiopi, des incidents de sécurité imputables au Client ou à des services tiers activés par le Client, ni du non-respect par le Client de ses obligations légales.

10.3 Violations de données personnelles

Par exception au plafond de l’article 10.1, en cas de violation de données personnelles directement imputable à une faute de l’Éditeur, sa responsabilité est engagée conformément au RGPD sans plafonnement contractuel. L’Éditeur dispose d’une assurance RC pro adaptée, dont il fournit l’attestation annuelle sur demande.

10.4 Force majeure

L’Éditeur n’est pas responsable des manquements résultant d’un cas de force majeure au sens de l’article 1218 du Code civil, incluant notamment : pannes des fournisseurs d’infrastructure cloud, cyberattaques de grande ampleur, défaillances réseau, catastrophes naturelles ou décisions des autorités publiques.

10.5 Clause de hardship exclue

Les parties renoncent expressément à se prévaloir de l’article 1195 du Code civil relatif à l’imprévision. Chaque partie assume les risques économiques inhérents au contrat.

Article 11 – Modification des CGU

L’Éditeur peut modifier les présentes CGU avec un préavis de 30 jours par email. L’utilisation continue après ce délai vaut acceptation. La version applicable est celle en vigueur à la date de signature du devis.

Article 12 – Droit applicable et juridiction

Les présentes CGU sont soumises au droit français. En cas de litige, les parties s’engagent à saisir préalablement le CMAP (www.cmap.fr) dans un délai de 30 jours. À défaut, le Tribunal de Commerce de Lyon est seul compétent.

PARTIE II

CONDITIONS GÉNÉRALES DE VENTE

Article 13 – Formation du contrat

13.1 Devis et acceptation

Toute prestation fait l’objet d’un devis valable 30 jours. Le contrat est formé par la signature précédée de la mention « bon pour accord ». La signature emporte acceptation sans réserve des présentes CGV dans leur version en vigueur à la date de signature.

13.2 Nature des prestations

  • Accès SaaS standard : mise à disposition de la plateforme via abonnement, sans développement spécifique.
  • Développement sur mesure CRM/LMS : réalisation de fonctionnalités spécifiques en phases successives reposant sur le Socle CRM/LMS.

13.3 Indépendance des phases

Chaque devis de phase constitue un engagement indépendant. La résiliation d’une phase en cours ne dispense pas le Client du paiement des travaux réalisés.

À noter : Une phase signée et en cours d’exécution ne peut être annulée sans indemnisation de l’Éditeur.

Article 14 – Prix et conditions de paiement

14.1 Prix

Les prix sont indiqués hors taxes (HT). La TVA applicable est celle en vigueur à la date de facturation. Les tarifs d’abonnement peuvent être révisés au-delà de la période de garantie tarifaire selon l’indice Syntec.

14.2 Acompte – phase signée et démarrée

Un acompte de 30 % HT est exigible à la signature et conditionne le démarrage des travaux. Il ne constitue pas des arrhes au sens de l’article 1590 C.civ. En cas d’annulation après démarrage effectif, l’acompte est acquis à l’Éditeur à titre d’indemnisation forfaitaire minimale, sans préjudice des indemnités complémentaires.

14.3 Acompte signé non versé

L’Éditeur n’est pas tenu de démarrer sans versement de l’acompte. Si le Client renonce après signature sans versement, une indemnité forfaitaire de 20 % du montant HT est due. Elle est exigible dans les 30 jours suivant la notification de renonciation par LRAR ou email avec accusé de réception. Passé ce délai, des pénalités au taux légal majoré de 5 points courent de plein droit.

14.4 Modalités de paiement

Factures payables à 30 jours date de facture par virement. En cas de retard : pénalités au taux BCE majoré de 10 points dès le premier jour, plus indemnité forfaitaire de recouvrement de 40 €.

14.5 Droit de rétention

Conformément à l’article 2286 du Code civil, l’Éditeur bénéficie d’un droit de rétention sur les livrables non remis tant que les sommes dues en principal, intérêts et frais ne sont pas intégralement réglées.

14.6 Clause résolutoire

En cas de non-paiement demeuré sans effet 15 jours après mise en demeure par LRAR, le contrat sera résolu de plein droit, sans intervention judiciaire, à la discrétion de l’Éditeur. La résolution n’efface pas les sommes dues et entraîne l’application des dispositions de l’article 19 (réversibilité).

14.7 Suspension pour impayé

Indépendamment de la clause résolutoire, l’Éditeur peut suspendre l’intégralité des accès après mise en demeure restée sans effet 15 jours. La suspension ne donne lieu à aucun remboursement.

Article 15 – Exécution des prestations

15.1 Délais

Délais indicatifs dans les devis. En cas de retard imputable à l’Éditeur de plus de 30 jours calendaires sur un jalon convenu, le Client bénéficie d’une remise de 5 %, plafonnée à 15 % du montant de la phase. Tout retard du Client suspend équivalemment les délais de l’Éditeur.

15.2 Collaboration du Client

Le Client désigne un interlocuteur référent, fournit les informations nécessaires dans les délais convenus et formule ses retours par écrit.

15.3 Migration de données

La migration fait l’objet d’un devis distinct et d’un audit préalable. Le Client est seul responsable de la qualité des données source fournies.

15.4 Formation et onboarding

Toute formation fait l’objet d’un devis distinct ou est incluse dans le périmètre explicité au contrat. Toute formation supplémentaire est facturable aux conditions tarifaires en vigueur.

15.5 Recette et validation

Après chaque livraison, le Client dispose de 15 jours ouvrés pour formuler ses retours par écrit. Passé ce délai sans retour, la livraison est réputée acceptée. Les réserves relevant du périmètre initial sont corrigées sans frais.

15.6 Garantie après livraison

Garantie de conformité de 3 mois après recette. Les dysfonctionnements résultant d’une utilisation non conforme, de modifications du Client ou de défaillances tierces sont exclus.

Article 16 – Maintenance

16.1 Définitions

  • Maintenance corrective : correction des anomalies affectant le fonctionnement normal en production.
  • Maintenance préventive : mises à jour de sécurité et correctifs système, inclus dans tout abonnement.
  • Maintenance évolutive : ajout de fonctionnalités ou modifications du périmètre, sur devis séparé.

16.2 Plages d’intervention

Interventions en jours ouvrés (lundi–vendredi, 9h–18h, heure de Paris). Maintenance planifiée notifiée 48 h à l’avance. Interventions hors heures ouvrées majorées de 50 %.

16.3 Niveaux de criticité

  • Niveau 1 – Critique (plateforme inaccessible, données corrompues) : prise en charge sous 4 h ouvrées, résolution sous 24 h ouvrées (offre Maintenance).
  • Niveau 2 – Majeur (fonctionnalité principale inopérante) : prise en charge sous 48 h ouvrées.
  • Niveau 3 – Mineur (anomalie avec contournement) : traité dans les mises à jour planifiées.

16.4 Sauvegardes et restauration

Sauvegardes automatiques quotidiennes conservées 30 jours avec réplication. Démarrage de la restauration sous 4 h ouvrées en cas de sinistre.

Article 17 – Abonnement et services récurrents

17.1 Contenu

L’abonnement couvre hébergement sécurisé, sauvegardes, maintenance préventive et support selon le niveau choisi. La maintenance évolutive, la migration et les intégrations complémentaires sont hors abonnement.

17.2 Accès conditionné

L’accès à la plateforme et aux développements spécifiques est conditionné au maintien d’un abonnement actif et à jour.

17.3 Durée et résiliation

Abonnement renouvelable tacitement. Résiliation par notification écrite avec un préavis de 3 mois. Les mensualités restantes d’une période d’engagement sont dues en cas de résiliation anticipée.

17.4 Garantie tarifaire

Tarifs garantis 24 mois. Révision notifiée 60 jours à l’avance, plafonnée à la variation de l’indice Syntec.

Article 18 – Sous-traitance technique et continuité

18.1 Recours à des sous-traitants

L’Éditeur peut faire appel à des sous-traitants techniques et demeure seul responsable à l’égard du Client. Ses sous-traitants sont liés par des obligations équivalentes de confidentialité et de protection des données.

18.2 Continuité en cas de défaillance du sous-traitant

En cas de défaillance du sous-traitant principal, l’Éditeur s’engage à :

  • notifier le Client dans les 15 jours ouvrés ;
  • proposer un plan de continuité dans les 30 jours ;
  • maintenir l’accès aux fonctionnalités livrées pendant toute la transition.

18.3 Documentation technique

L’Éditeur livre à chaque réception de phase une documentation technique permettant à un développeur tiers compétent de comprendre, maintenir et faire évoluer les développements sans assistance du sous-traitant initial. Cette documentation constitue un livrable contractuel.

18.4 Séquestre du code source (escrow)

Sur demande écrite du Client, les parties peuvent convenir du dépôt du code source auprès d’un tiers séquestraire. Les conditions et frais font l’objet d’un avenant. En l’absence d’accord de séquestre, les garanties de l’article 19 s’appliquent.

18.5 Continuité en cas de cessation d’activité

En cas de cessation d’activité prévisible, l’Éditeur s’engage à notifier le Client avec un préavis de 6 mois, à lui remettre immédiatement ses données, le code source des développements spécifiques et la documentation technique, et à maintenir la plateforme jusqu’à la fin du préavis.

Article 19 – Réversibilité et continuité de service

19.1 Continuité 12 mois

En cas de résiliation, l’accès est maintenu 12 mois aux conditions tarifaires en vigueur.

19.2 Remise des données

L’intégralité des données (données applicatives, contenus pédagogiques, résultats Apprenants) est remise en format standard (CSV, SQL ou équivalent) sans frais dans les 30 jours suivant la demande.

19.3 Remise du code source

Le code source des développements spécifiques financés par le Client est remis avec documentation technique dans les 30 jours suivant la fin de la période de continuité. Cette remise ne vaut pas cession de PI sur le Socle.

À noter : Le Socle CRM/LMS reste propriété exclusive de l’Éditeur. Sa réutilisation sans contrat actif est interdite, même après remise du code source des développements spécifiques.

Article 20 – Infrastructure et hébergement

Hébergement sur serveurs en France ou en UE, conformes au RGPD. Sauvegardes quotidiennes avec réplication. Deux environnements distincts (préproduction et production). Le nom de domaine du Client reste sous son administration exclusive.

Article 21 – Cession du contrat

Contrat conclu intuitu personae. Cession impossible sans accord écrit préalable de l’Éditeur. En cas de changement de contrôle du Client, l’Éditeur doit être informé dans les 30 jours et peut maintenir ou résilier le contrat avec un préavis de 3 mois.

Article 22 – Anti-débauchage

Pendant la durée du contrat et 24 mois après, le Client ne recrute, ne sollicite ni n’incite à quitter l’Éditeur aucun collaborateur ou sous-traitant ayant travaillé sur le projet. En cas de violation, indemnité forfaitaire de 12 mois de rémunération brute annuelle de la personne concernée, proportionnée au préjudice réel subi.

Article 23 – Référence commerciale

Sauf opposition écrite dans les 30 jours suivant la signature, l’Éditeur est autorisé à mentionner le nom et le logo du Client dans ses supports commerciaux à titre de référence, sans divulgation de données confidentielles.

Article 24 – Audit d’usage

L’Éditeur peut vérifier la conformité d’utilisation sur notification avec préavis de 15 jours ouvrés, dans la limite d’une fois par an sauf suspicion avérée.

Article 25 – Apport d’affaires

Toute rémunération d’apport d’affaires fait l’objet d’un contrat distinct écrit négocié entre les parties.

Article 26 – Dispositions générales

26.1 Intégralité

Les présentes CGU/CGV, le devis signé et ses annexes constituent l’intégralité de l’accord. Le devis signé prévaut en cas de contradiction.

26.2 Indépendance des clauses

Si une clause était déclarée nulle, les autres restent en vigueur. Les parties s’engagent à la remplacer par une stipulation aussi proche que possible de l’intention initiale.

26.3 Non-renonciation

Le fait de ne pas se prévaloir d’un manquement ne constitue pas une renonciation à s’en prévaloir dans le futur.

26.4 Médiation et juridiction

En cas de litige, les parties saisissent préalablement le CMAP (www.cmap.fr) dans les 30 jours. À défaut, le Tribunal de Commerce de Lyon est seul compétent.

PARTIE III

ACCORD DE TRAITEMENT DES DONNÉES PERSONNELLES (DPA)

Le présent Accord de Traitement des Données (DPA) est conclu conformément à l’article 28 du RGPD. Il complète les CGU et CGV et s’y substitue en cas de contradiction sur la protection des données.

Article D1 – Qualification des parties

  • Le Client : Responsable de traitement, il détermine les finalités et moyens des traitements.
  • INTELIXA : Sous-traitant, il traite les données sur instruction du Client conformément à l’art. 28 RGPD.

Article D2 – Nature et finalités des traitements

INTELIXA traite les données nécessaires à l’exécution des services. Les catégories concernées :

  • données d’identification (nom, prénom, email, téléphone) des Utilisateurs et Apprenants ;
  • données pédagogiques (résultats, émargements, certifications, absences) ;
  • données financières (statuts de paiement, modes de financement) ;
  • données de connexion et logs techniques (IP, horodatage, actions).

Article D3 – Obligations du Sous-traitant

INTELIXA s’engage à :

  • traiter les données uniquement sur instruction documentée du Client ;
  • garantir la confidentialité et habiliter uniquement les personnes nécessaires ;
  • mettre en œuvre des mesures techniques et organisationnelles appropriées (chiffrement, contrôle d’accès, journalisation, détaillées à l’Annexe B) ;
  • ne pas transférer les données hors UE sans garanties adéquates ;
  • notifier le Client dans les 72 h en cas de violation (art. 33 RGPD) ;
  • assister le Client dans l’exercice des droits des personnes concernées ;
  • fournir toute information nécessaire pour démontrer le respect du DPA ;
  • permettre des audits du Client sur préavis écrit de 30 jours.

Article D4 – Sous-traitance ultérieure

INTELIXA informe le Client de tout recours à un sous-traitant ultérieur. Le Client peut s’y opposer dans les 15 jours suivant la notification. Les sous-traitants actuels sont les prestataires d’hébergement (serveurs en France ou en UE).

Article D5 – Durée de conservation et suppression

  • Conservation pendant la durée du contrat.
  • À l’expiration : export en format standard dans les 30 jours, suppression sécurisée dans les 60 jours sur demande.
  • Attestation de suppression fournie sur demande.

Article D6 – Obligations du Responsable de traitement

Le Client s’engage à définir des finalités légitimes, informer les Utilisateurs et Apprenants, obtenir les consentements nécessaires (notamment pour les mineurs), ne pas soumettre INTELIXA à des instructions illicites et définir les durées de conservation selon ses obligations légales.

Article D7 – Droit applicable

DPA régi par le droit français et le RGPD. Recours possible à la CNIL (www.cnil.fr) en cas de litige.

PARTIE ANNEXE A

ACCORD DE NIVEAU DE SERVICE (SLA)

A1 – Disponibilité garantie

Disponibilité de 99,5 % mesurée mensuellement, hors maintenance planifiée, force majeure et défaillances tierces. En cas de non-respect imputable à l’Éditeur, un avoir d’un mois d’abonnement maximum est accordé sur demande écrite formulée dans les 30 jours.

A2 – Niveaux de criticité et délais

  • Niveau 1 – Critique (plateforme inaccessible, données corrompues) : prise en charge sous 4 h ouvrées, résolution sous 24 h ouvrées (offre Maintenance).
  • Niveau 2 – Majeur (fonctionnalité principale inopérante) : prise en charge sous 48 h ouvrées.
  • Niveau 3 – Mineur (anomalie avec contournement) : traité dans les mises à jour planifiées.

Délais en jours ouvrés (lundi–vendredi, 9h–18h, heure de Paris). Offre Hébergement seule : Niveaux 2 et 3 uniquement.

A3 – Maintenance planifiée

De préférence hors heures ouvrées (20h–6h ou week-end). Notification 48 h à l’avance, sauf urgence sécurité.

A4 – Sauvegardes

Sauvegardes automatiques quotidiennes conservées 30 jours avec réplication. Démarrage de la restauration sous 4 h ouvrées en cas de sinistre.

A5 – Procédure de remontée des incidents

Signalement par email à contact@intelixa.fr avec description précise, captures d’écran si disponibles et classification de criticité estimée. L’Éditeur accuse réception et confirme ou ajuste la classification.

PARTIE ANNEXE B

POLITIQUE DE SÉCURITÉ INFORMATIQUE

La présente Politique de Sécurité décrit les mesures techniques et organisationnelles mises en œuvre par INTELIXA pour protéger la Plateforme, les Données et les systèmes hébergés. Ces mesures sont conformes à l’état de l’art et aux exigences du RGPD. Elles constituent une obligation de moyens et non de résultat.

B1 – Hébergement et infrastructure

La Plateforme est hébergée sur des serveurs situés en France ou au sein de l’Union Européenne, chez des prestataires certifiés ISO 27001 ou équivalent. L’hébergement est réalisé dans des datacenter à accès sécurisé, redondants et climatiquement contrôlés. Aucune donnée n’est hébergée hors Union Européenne sans garanties adéquates au sens du RGPD.

B2 – Chiffrement

L’ensemble des flux de données entre les Utilisateurs et la Plateforme est chiffré via TLS 1.2 minimum (HTTPS). Les sauvegardes sont chiffrées en transit et au repos. Les mots de passe des Utilisateurs sont stockés sous forme hachée avec sel (algorithme conforme à l’état de l’art – bcrypt ou équivalent). Les tokens d’authentification sont générés selon des standards reconnus (OAuth 2.0, JWT).

B3 – Contrôle des accès et gestion des habilitations

L’accès aux systèmes d’INTELIXA est régi par le principe du moindre privilège : chaque personne ne dispose que des droits strictement nécessaires à ses fonctions. Les accès administrateurs à l’infrastructure sont nominatifs, logés et révisés régulièrement. Toute personne quittant l’organisation ou changeant de rôle voit ses accès révoqués immédiatement.

B4 – Authentification renforcée (MFA)

L’authentification multifacteur (MFA) est mise en œuvre pour tous les accès administrateurs à l’infrastructure. Elle est disponible pour les Utilisateurs de la Plateforme et peut être rendue obligatoire par l’Éditeur ou par le Client pour ses propres Utilisateurs. Le refus ou la désactivation du MFA par le Client engage sa responsabilité exclusive pour les incidents en résultant.

B5 – Journalisation (logs)

L’Éditeur maintient des journaux (logs) des accès, des actions sensibles et des événements de sécurité sur la Plateforme. Ces logs sont conservés pendant une durée minimale de 90 jours. Ils sont utilisés pour la détection d’activités anormales, la résolution d’incidents et, le cas échéant, la constitution de preuves en cas de litige. Les logs d’accès constituent des éléments de preuve recevables entre les parties.

B6 – Gestion des mises à jour et patch management

L’Éditeur applique les correctifs de sécurité critiques dès leur disponibilité et au plus tard dans les 72 heures suivant leur publication pour les vulnérabilités classées critiques (CVSS ≥ 9.0). Les correctifs importants (CVSS 7.0–8.9) sont appliqués dans les 7 jours. Les mises à jour standard sont réalisées lors des fenêtres de maintenance planifiées. Les systèmes d’exploitation, serveurs applicatifs, bases de données et dépendances tierces sont maintenus à jour.

B7 – Politique de mots de passe

Les mots de passe des comptes administrateurs INTELIXA doivent comporter au minimum 12 caractères, inclure des caractères majuscules, minuscules, chiffres et spéciaux, et être renouvelés tous les 90 jours. L’utilisation d’un gestionnaire de mots de passe est imposée en interne. Le Client est invité à appliquer une politique équivalente pour ses propres Utilisateurs ; à défaut, la responsabilité des incidents liés à des mots de passe insuffisants lui incombe.

B8 – Détection et réponse aux incidents

L’Éditeur met en œuvre des dispositifs de surveillance et de détection d’activités anormales (accès inhabituels, tentatives de brute force, transferts de données suspects). En cas d’incident de sécurité availéré :

  • confinement immédiat : isolation des systèmes compromis ;
  • notification du Client dans les 72 heures si des données personnelles sont concernées (art. 33 RGPD) ;
  • analyse post-incident et mise en œuvre de mesures correctives ;
  • rapport d’incident remis au Client sur demande.

B9 – Plan de reprise d’activité (PRA) et plan de continuité (PCA)

L’Éditeur maintient un Plan de Reprise d’Activité (PRA) définissant les procédures à mettre en œuvre en cas de sinistre majeur (incendie, panne généralisée, cyberattaque). Ce plan inclut :

  • un objectif de point de reprise (RPO) de 24 heures maximum : les données perdues entre le dernier point de sauvegarde et le sinistre ne dépassent pas 24 heures ;
  • un objectif de durée de reprise (RTO) de 48 heures maximum : le service est rétabli dans ce délai en cas de sinistre majeur ;
  • des sauvegardes répliquées sur plusieurs sites géographiques ;
  • des tests de restauration réalisés au moins une fois par an.

Le PRA est testé et mis à jour annuellement. Les résultats des tests sont disponibles sur demande du Client.

B10 – Sécurité des développements

Les développements réalisés par l’Éditeur et ses sous-traitants suivent des pratiques de développement sécurisé, notamment :

  • séparation stricte des environnements de développement, de préproduction et de production ;
  • revètement des développements avant mise en production (code review) ;
  • interdiction d’utiliser des données de production réelles en environnement de test ;
  • gestion des dépendances et vérification régulière des vulnérabilités connues (CVE).

B11 – Gestion des sous-traitants et fournisseurs

Tout sous-traitant technique d’INTELIXA est tenu de respecter des exigences de sécurité et de confidentialité équivalentes aux présentes. Un accord de sous-traitance au sens de l’art. 28 RGPD est signé avec chaque sous-traitant traitant des données personnelles. La liste des sous-traitants traitant des données personnelles est disponible sur demande du Client.

B12 – Sensibilisation et formation

Les collaborateurs et sous-traitants d’INTELIXA ayant accès aux systèmes ou aux données sont sensibilisés aux bonnes pratiques de sécurité informatique (phishing, gestion des mots de passe, signalement des incidents). Cette sensibilisation est renouvelée régulièrement.

B13 – Responsabilités partagées

La sécurité de la Plateforme repose sur un modèle de responsabilité partagée : l’Éditeur est responsable de la sécurité de l’infrastructure, du code et des données hébergées ; le Client est responsable de la sécurité de ses accès, équipements, données source et de l’usage qu’il fait de la Plateforme. L’Éditeur ne saurait être tenu responsable des incidents résultant d’une défaillance relevant de la responsabilité du Client.

Obligation de moyens : Les mesures décrites dans la présente annexe constituent une obligation de moyens conformément à l’état de l’art. Aucun système ne peut garantir une sécurité absolue. L’Éditeur s’engage à mettre en œuvre et à maintenir ces mesures avec diligence.

ACCEPTATION

Les présentes CGU, CGV, DPA et Annexes sont acceptées par le Client à la signature de tout devis émis par INTELIXA, valant acceptation sans réserve de l’ensemble des présentes conditions dans leur version en vigueur à la date de signature. Le document à jour est consultable sur www.intelixa.fr.