Conditions Générales d’Utilisation

1. Objet

Les présentes Conditions Générales d’Utilisation, ci-après les “CGU”, ont pour objet de définir les conditions d’accès et d’utilisation du site, de l’application et des services CYDEN.

CYDEN est un service SaaS d’aide à la décision en cybersécurité destiné aux professionnels. Le service permet notamment d’analyser l’exposition numérique et cyber d’un utilisateur ou d’une organisation, de produire des indicateurs, des scores, des recommandations et des rapports d’aide à la décision.

Le service CYDEN repose notamment sur la création d’un profil d’exposition cyber. Ce profil peut être construit à partir des informations renseignées par l’utilisateur et d’une recherche OSINT passive, dans les conditions prévues aux présentes CGU.

2. Définitions

“CYDEN” désigne [RAISON_SOCIALE_CYDEN], éditrice du service.

“Service” désigne le site, l’application, les interfaces, tableaux de bord, API éventuelles, rapports, analyses, recommandations et fonctionnalités proposés par CYDEN.

“Client” désigne toute personne morale ou tout professionnel ayant souscrit au Service.

“Utilisateur” désigne toute personne physique utilisant le Service pour son propre compte professionnel ou pour le compte d’un Client.

“Compte” désigne l’espace personnel ou professionnel permettant d’accéder au Service.

“OSINT passive” désigne une méthode de collecte, consultation, analyse et recoupement d’informations accessibles publiquement en ligne ou issues de sources ouvertes, sans intrusion, sans contournement d’accès, sans scan actif non autorisé, sans phishing, sans tentative de connexion, sans exploitation de vulnérabilité et sans interaction offensive avec des systèmes tiers.

“Profil d’exposition cyber” désigne l’analyse générée par CYDEN à partir des informations fournies par l’Utilisateur, des données relatives à son organisation, des données techniques liées au Service et des données issues d’une recherche OSINT passive.

“SIREN/SIRET” désigne l’identifiant de l’organisation renseigné par l’Utilisateur lors de l’inscription ou de l’utilisation du Service.

3. Clientèle professionnelle

Le Service est réservé aux professionnels, entreprises, organisations, associations, administrations ou indépendants agissant pour les besoins de leur activité professionnelle.

CYDEN ne s’adresse pas aux consommateurs au sens du Code de la consommation, sauf stipulation expresse contraire.

4. Acceptation des CGU

L’accès au Service implique l’acceptation des présentes CGU.

Lors du premier écran d’inscription, avant l’onboarding, l’Utilisateur renseigne notamment son adresse e-mail professionnelle et son SIREN/SIRET. Il doit ensuite cocher une case unique, obligatoire et non précochée.

Cette case permet :

• d’accepter les présentes CGU ;
• de reconnaître avoir pris connaissance de la Politique de confidentialité ;
• d’autoriser CYDEN à traiter les données personnelles nécessaires au Service ;
• d’autoriser CYDEN à lancer une recherche OSINT passive afin de créer le Profil d’exposition cyber.

Le bouton permettant de créer le compte, de s’inscrire ou de continuer l’onboarding reste grisé et non cliquable tant que cette case n’est pas cochée.

Le texte de la case unique est le suivant :

“J’ai lu et j’accepte les Conditions Générales d’Utilisation de CYDEN, incluant les conditions de recherche OSINT passive et de traitement de mes données personnelles. Je reconnais avoir pris connaissance de la Politique de confidentialité. J’autorise CYDEN à utiliser mon adresse e-mail professionnelle, mon SIREN/SIRET, les informations renseignées lors de mon inscription et les informations me concernant ou concernant mon organisation accessibles publiquement en ligne ou issues de sources ouvertes, afin de lancer une recherche OSINT passive, créer mon profil d’exposition cyber et générer des recommandations de cybersécurité.”

L’Utilisateur reconnaît que, sans cette acceptation, CYDEN ne peut pas créer le Profil d’exposition cyber ni fournir le Service dans ses fonctionnalités essentielles.

Si l’Utilisateur agit pour le compte d’un Client, il déclare être autorisé à utiliser le Service au nom de ce Client et à renseigner les informations relatives à l’organisation concernée.

5. Inscription et création du Compte

Pour créer un Compte, l’Utilisateur doit fournir des informations exactes, complètes et à jour, notamment :

• son adresse e-mail professionnelle ;
• son nom et prénom lorsque demandés ;
• son organisation ;
• son SIREN/SIRET ;
• toute information nécessaire à la création du Profil d’exposition cyber.

L’Utilisateur s’engage à ne pas fournir d’informations fausses, trompeuses, incomplètes ou obtenues illicitement.

CYDEN peut refuser, suspendre ou supprimer un Compte en cas :

• de violation des CGU ;
• de suspicion d’usage frauduleux ;
• d’informations manifestement inexactes ;
• de risque juridique ou de sécurité ;
• d’utilisation contraire à la Charte d’utilisation acceptable ;
• de non-paiement lorsque le Service est payant.

6. Identifiants et sécurité du Compte

L’Utilisateur est responsable de la confidentialité de ses identifiants, mots de passe, clés d’API ou moyens d’authentification.

L’Utilisateur doit informer CYDEN sans délai en cas de compromission, suspicion de compromission ou utilisation non autorisée de son Compte, à l’adresse contact@cyden.io.

CYDEN recommande l’utilisation de mots de passe robustes et, lorsque disponible, de l’authentification multifacteur.

7. Description du Service

CYDEN fournit un service d’aide à la décision en cybersécurité.

Le Service peut inclure notamment :

• la collecte d’informations déclaratives fournies par l’Utilisateur ou le Client ;
• l’analyse de signaux d’exposition cyber ;
• la génération de tableaux de bord, scores, cartographies, alertes ou recommandations ;
• la production de rapports ;
• la recherche OSINT passive ;
• des fonctionnalités de suivi, de priorisation et d’aide à la remédiation.

Les résultats fournis par CYDEN sont des outils d’aide à la décision. Ils ne remplacent pas :

• l’expertise humaine ;
• un audit de cybersécurité complet ;
• un test d’intrusion ;
• une certification ;
• une analyse juridique ;
• une décision de gestion prise par le Client.

8. OSINT passive et données personnelles

L’Utilisateur reconnaît que certaines fonctionnalités essentielles du Service reposent sur la construction d’un Profil d’exposition cyber.

Afin de créer ce profil, CYDEN peut utiliser :

• l’adresse e-mail professionnelle de l’Utilisateur ;
• le SIREN/SIRET renseigné ;
• le nom, prénom, fonction ou organisation lorsque ces informations sont renseignées ;
• les informations déclarées lors de l’inscription ;
• les informations techniques liées à l’utilisation du Service ;
• les informations concernant l’Utilisateur ou son organisation accessibles publiquement en ligne ;
• les informations issues de sources ouvertes ;
• les signaux publics d’exposition numérique ou cyber ;
• les résultats de services légitimes d’information sur compromissions ou exposition cyber, sans collecte volontaire de mots de passe en clair.

La recherche OSINT passive a pour finalités :

• d’identifier des signaux d’exposition numérique ;
• d’évaluer certains risques cyber associés à l’adresse e-mail professionnelle, au domaine ou à l’organisation ;
• de créer un Profil d’exposition cyber ;
• de générer des recommandations de cybersécurité ;
• d’aider l’Utilisateur ou le Client à prioriser des mesures de remédiation.

CYDEN s’engage à limiter cette recherche à des opérations passives.

Sont expressément exclus du Service standard :

• les tests d’intrusion ;
• l’exploitation de vulnérabilités ;
• les scans actifs non autorisés ;
• les tentatives d’authentification ;
• le phishing ou les simulations de phishing ;
• l’ingénierie sociale ;
• le contournement de mesures techniques ;
• l’accès à des espaces non publics ;
• l’interaction offensive avec des systèmes tiers.

9. Traitements de données personnelles intégrés aux CGU

Les données personnelles traitées par CYDEN dans le cadre du Service peuvent comprendre :

• les données d’identification ;
• les coordonnées professionnelles ;
• les informations relatives à l’organisation ;
• le SIREN/SIRET ;
• les données de compte ;
• les données de connexion ;
• les journaux d’utilisation ;
• les données nécessaires à la facturation ;
• les données issues de sources ouvertes ou publiquement accessibles dans le cadre de l’OSINT passive ;
• les analyses, scores, rapports et recommandations générés par CYDEN.

Les finalités principales des traitements sont :

• créer et gérer le Compte ;
• fournir le Service ;
• construire le Profil d’exposition cyber ;
• générer des recommandations ;
• assurer la sécurité du Service ;
• gérer la relation commerciale ;
• fournir le support ;
• respecter les obligations légales ;
• prévenir les abus et usages illicites ;
• améliorer le Service.

Les bases légales peuvent être, selon les traitements :

• l’exécution du contrat ou de mesures précontractuelles ;
• l’intérêt légitime de CYDEN à fournir, améliorer et sécuriser son Service ;
• le consentement ou l’autorisation exprimée par l’Utilisateur lors de l’inscription pour la recherche OSINT passive ;
• le respect d’obligations légales.

Les traitements sont détaillés dans la Politique de confidentialité accessible à l’adresse /legal/confidentialite.

10. Preuve de l’acceptation et de l’autorisation OSINT

CYDEN conserve une preuve de l’acceptation de la case unique cochée par l’Utilisateur.

Cette preuve peut comprendre :

• l’identifiant de l’Utilisateur ou l’identifiant temporaire d’inscription ;
• l’adresse e-mail ;
• le SIREN/SIRET ;
• la date et l’heure de l’acceptation ;
• la version des CGU ;
• la version de la Politique de confidentialité ;
• la version du texte de la case ;
• le texte exact accepté ;
• l’adresse IP lorsque disponible ;
• le user agent lorsque disponible ;
• la source de l’acceptation.

Cette journalisation a pour finalité de démontrer l’information, l’acceptation contractuelle et l’autorisation donnée par l’Utilisateur.

11. Retrait de l’autorisation OSINT

L’Utilisateur peut retirer son autorisation relative à la recherche OSINT passive en écrivant à contact@cyden.io ou via son Compte lorsque cette fonctionnalité est disponible.

Le retrait n’affecte pas la licéité des traitements réalisés avant ce retrait.

Compte tenu de la nature du Service, le retrait de cette autorisation peut entraîner :

• l’impossibilité de créer le Profil d’exposition cyber ;
• la désactivation du Profil d’exposition cyber ;
• la limitation de certaines fonctionnalités ;
• ou, lorsque le Service ne peut plus être fourni, la résiliation ou la suspension du Compte concerné.

Après retrait, CYDEN ne lance plus de nouvelle recherche OSINT passive concernant l’Utilisateur, sauf autre base légale applicable ou obligation légale.

CYDEN peut conserver certaines données lorsque cela est nécessaire pour :

• respecter une obligation légale ;
• assurer la sécurité du Service ;
• prévenir les abus ;
• gérer la facturation ;
• gérer un litige ;
• démontrer la conformité ;
• conserver la preuve de l’acceptation ou du retrait.

12. Utilisations interdites

L’Utilisateur s’interdit de :

• utiliser le Service à des fins illicites, offensives, frauduleuses ou malveillantes ;
• rechercher, collecter ou traiter des données concernant des personnes ou organisations sans droit ni autorisation ;
• détourner le Service pour mener des attaques, scans non autorisés, intrusions, phishing ou campagnes d’ingénierie sociale ;
• tenter de compromettre, désassembler, copier ou contourner les protections du Service ;
• utiliser le Service pour générer ou faciliter des contenus ou actions portant atteinte à des tiers ;
• fournir à CYDEN des informations fausses, trompeuses ou obtenues illicitement ;
• porter atteinte à la disponibilité, l’intégrité ou la sécurité du Service.

13. Responsabilités de l’Utilisateur et du Client

L’Utilisateur et le Client sont responsables :

• de l’exactitude des informations communiquées à CYDEN ;
• de leur droit à soumettre un périmètre, un domaine, une adresse e-mail, un SIREN/SIRET ou un actif numérique à analyse ;
• de l’interprétation et de l’utilisation des résultats fournis par le Service ;
• de la mise en œuvre effective des recommandations de cybersécurité ;
• du respect des lois applicables à leur propre utilisation du Service.

14. Résultats, scores et recommandations

Les scores, indicateurs, alertes, rapports et recommandations générés par CYDEN sont fournis à titre d’aide à la décision.

CYDEN ne garantit pas que les résultats soient exhaustifs, exempts d’erreurs ou suffisants pour prévenir tout incident de sécurité.

L’Utilisateur doit faire preuve de discernement et, lorsque nécessaire, solliciter une expertise humaine complémentaire.

15. Disponibilité du Service

CYDEN met en œuvre des efforts raisonnables pour assurer la disponibilité du Service.

CYDEN peut suspendre temporairement l’accès au Service pour maintenance, évolution, sécurité, urgence technique ou force majeure.

CYDEN ne garantit pas une disponibilité permanente et ininterrompue, sauf engagement contraire prévu dans un contrat ou une offre spécifique.

16. Propriété intellectuelle

Le Service, ses logiciels, interfaces, algorithmes, modèles, marques, logos, contenus, bases de données, documentations, rapports génériques et éléments graphiques sont la propriété de CYDEN ou de ses partenaires.

Les CGU n’emportent aucune cession de droits de propriété intellectuelle au profit de l’Utilisateur ou du Client.

Sous réserve du paiement applicable et du respect des CGU, CYDEN concède au Client et à ses Utilisateurs un droit personnel, non exclusif, non cessible et limité d’utilisation du Service pendant la durée de l’abonnement.

17. Données et contenus fournis par l’Utilisateur

L’Utilisateur conserve les droits qu’il détient sur les données, contenus et informations qu’il transmet à CYDEN.

L’Utilisateur accorde à CYDEN les droits nécessaires pour héberger, traiter, analyser, afficher et restituer ces données dans le cadre du Service.

L’Utilisateur garantit qu’il dispose des droits et autorisations nécessaires pour transmettre ces données à CYDEN.

18. Confidentialité

Chaque partie s’engage à préserver la confidentialité des informations non publiques reçues dans le cadre de l’utilisation du Service.

Cette obligation ne s’applique pas aux informations déjà publiques, reçues légitimement d’un tiers, développées indépendamment ou devant être communiquées en application d’une obligation légale.

19. Suspension et suppression du Compte

CYDEN peut suspendre ou supprimer un Compte en cas :

• de violation des CGU ;
• de non-paiement ;
• de retrait de l’autorisation OSINT lorsque le Service ne peut plus être fourni ;
• de risque de sécurité ;
• d’utilisation abusive ou frauduleuse ;
• de demande légitime du Client administrateur ;
• d’obligation légale.

20. Modification des CGU

CYDEN peut modifier les CGU afin de tenir compte des évolutions du Service, de la réglementation ou de ses pratiques.

Les Utilisateurs seront informés des modifications substantielles par tout moyen approprié.

En cas de modification substantielle concernant l’OSINT passive, les données personnelles ou les finalités de traitement, CYDEN pourra demander à l’Utilisateur de renouveler son acceptation.

21. Contact

Pour toute question relative aux CGU, à l’OSINT passive ou aux données personnelles, l’Utilisateur peut contacter CYDEN à l’adresse suivante : contact@cyden.io.

22. Droit applicable et juridiction

Les CGU sont régies par le droit français.

En cas de litige, les parties s’efforceront de rechercher une solution amiable. À défaut, et sous réserve des règles impératives applicables, le litige relèvera de la compétence des juridictions françaises compétentes.