Conditions generales d utilisation et de maintenance Mailinblack (CGUM)
En date du 01/10/2024
La société Mailinblack, société anonyme, immatriculée sous le numéro B 449 002 104 RCS Marseille, dont le siège social est 4 place Sadi Carnot, 13002 Marseille (ci-après dénommée « Mailinblack ») est le créateur, développeur et éditeur des Produits Mailinblack.
L’utilisation des Produits Mailinblack et de leur documentation est régie par les présentes conditions générales d’utilisation et de maintenance (ci-après dénommées « CGUM »), à l’exclusion de tous autres documents tels que prospectus, catalogues, documentations émanant de Mailinblack ou du Distributeur, qui ne sont donnés qu’à titre d’information et n’ont qu’une valeur indicative.
En conséquence, le fait de passer commande auprès de Mailinblack ou du Distributeur suppose l’adhésion entière et sans réserve du Client aux présentes CGUM et ce, malgré toute stipulation contraire (réputée dépourvue de valeur et inapplicable) figurant sur les bons de commande du Client ou sur ses conditions générales d’achat ou sur tout document émanant du Client. Aucune condition particulière ou contraire ne peut prévaloir sur les présentes CGUM quel que soit le moment où elle aura pu être portée à la connaissance de Mailinblack ou du Distributeur, sauf acceptation expresse et écrite de la part de Mailinblack.
En sus des droits et restrictions prévues aux présentes CGUM, toutes autres indications ou restrictions contenues dans les instructions d’installation et d’utilisation des Produits Mailinblack ou les notes de mise à jour régissent leur utilisation et sont incorporées aux présentes par référence.
1. Définitions
« Client » signifie la personne physique ou morale agissant à des fins professionnelles, qui commande le Produit. L’acceptation des présentes CGUM par un préposé est réputée faite au nom et pour le compte du Client par une personne dûment habilitée.
« Cloud » désigne la configuration dans laquelle le Produit et les Données sont hébergés par Mailinblack et accessibles à distance par l’Utilisateur.
« Commande » signifie, selon le cas, toute proposition commerciale émanant de Mailinblack ou du Distributeur et acceptée par le Client ou tout bon de commande émis par le Client et accepté par Mailinblack ou le Distributeur. La Commande est considérée comme annexée aux présentes CGUM par référence.
« Distributeur » signifie la personne physique ou morale, revendeur de Mailinblack, auprès duquel le Client a passé commande et qui a fourni le Produit au Client.
« Documentation » signifie la documentation papier ou électronique incluant les manuels d’installation et/ou d’accès et d’utilisation relatifs aux Produits.
« Données » désigne les données, informations et documents créés ou utilisés par le Client ou les Utilisateurs dans le cadre de l’utilisation du Produit, et le cas échéant stockés et hébergés par Mailinblack (Cloud) ou par le Client (On-Premise), qui demeurent la propriété du Client.
« On-Premise » signifie la configuration dans laquelle le Produit et les Données sont hébergés par le Client dans son environnement ou sous son contrôle et sa responsabilité.
« Produit » signifie le(s) produit(s) logiciel(s) (sous leur forme exécutable) (et, de manière exceptionnelle le matériel) la Documentation y afférant pour lesquels le Client a passé Commande. La définition des Produits inclut toutes mises à jour, nouvelles versions, corrections et améliorations fournies directement par Mailinblack ou via le Distributeur.
« Prérequis » signifie l’infrastructure, comprenant le matériel informatique et l’environnement logiciel, et toute autre spécification ou instruction, au sein de laquelle le Produit est installé (On-Premise) et/ou à partir desquels les Utilisateurs peuvent accéder et utiliser le Produit et que le Client doit mettre en œuvre pour permettre l’installation (On-Premise) et/ou l’utilisation correctes du Produit. Les Prérequis sont communiqués au Client par le Distributeur ou Mailinblack et peuvent évoluer en cours d’utilisation du Produit.
« Services » signifient les services fournis par Mailinblack associés aux Produits tels que décrits dans les présentes CGUM. Tout autre Service fourni par Mailinblack fera l’objet d’un accord écrit séparé.
« Utilisateur » désigne les préposés ou collaborateurs du Client dûment autorisés à utiliser le Produit, dont le Client se porte fort du respect des CGUM. Les Utilisateurs pourront avoir la qualité de simple utilisateur ou d’utilisateur administrateur.
2. Objet des présentes CGUM et description des produits
Les Produits sont des solutions de cybersécurité, à savoir :
- « Protect » : solution de sécurisation des messageries électroniques (anti-spam, anti-malware, anti-phishing et anti-spearphishing) permettant d’authentifier les expéditeurs des emails reçus par les Utilisateurs et « Protect Out », option de Protect permettant d’utiliser les adresses IP de Mailinblack pour l’envoi des emails par les Utilisateurs.
- « Cyber Coach » : produit de simulation de campagnes et de sensibilisation aux e-attaques de phishing.
- "Cyber Academy" : solution de formation à la cybersécurité via une plateforme de formation en ligne.
- "Sikker" : solution de gestion et de stockage sécurisés des secrets, notamment des mots de passe de l’Utilisateur
Les Produits sont mis à disposition selon les configurations Cloud ou On-Premise.
À la demande du Client et sous réserve d’acceptation de Mailinblack, Mailinblack pourra fournir au Client un serveur sur lequel le Produit sera installé. Dans ce cas, le serveur sera vendu au Client au prix mentionné dans la Commande et deviendra la propriété du Client. Mailinblack ne donne pas d’autre garantie que la garantie éventuellement concédée par le fabricant sur ce matériel, et n’aura aucune obligation de maintenance à l’égard dudit matériel.
Les Produits et Services pourront être commercialisés au Client soit par Mailinblack, soit par le Distributeur. En cas de commercialisation par un Distributeur, ce dernier est responsable, en toute hypothèse, des obligations liées à la Commande du Produit. Les prestations d’assistance et de maintenance et les prestations d’hébergement (Cloud) pourront être réalisées par Mailinblack ou le Distributeur, sous sa responsabilité, selon ce qui a été convenu avec le Client.
Lorsque le Distributeur ou tout autre tiers est en charge des Services et notamment de l’installation, l’hébergement et/ou le support ou tout autre service afférents aux Produits et aux Données, celui-ci fournit ces services sous sa propre responsabilité, à l’exclusion de toute responsabilité de Mailinblack.
Ainsi, les présentes CGUM ont vocation à régir d’une part, les modalités et conditions dans lesquelles Mailinblack concède les droits d’utilisation sur le Produit, héberge et met à disposition le Produit et les Données (Cloud), et d’autre part, les conditions dans lesquelles le Client et/ou les Utilisateurs installe(nt), exécute(nt) (On-Premise) et/ou accède(nt) et utilise(nt) le Produit.
Les présentes CGUM ont également pour objet de définir les modalités et conditions dans lesquelles Mailinblack fournit les Services, notamment l’assistance, la garantie et la maintenance afférentes à la mise à disposition dudit Produit et le cas échéant, assure l’hébergement du Produit et des Données (Cloud) lorsque ces prestations sont réalisées par Mailinblack. Le Service Level Agreement Standard de Mailinblack (SaaS) figure en annexe des présentes CGUM.
Sauf disposition expresse contraire, les CGUM n’incluent pas l’installation, la configuration, l’adaptation, la personnalisation, ni l’adéquation du Produit aux besoins spécifiques du Client qui reconnaît avoir choisi le Produit sous sa responsabilité, en fonction de ses besoins et contraintes.
Les CGUM, la Commande, la Convention de formation (pour l’utilisation et le financement du Produit Cyber Academy) et le cas échéant tout autre document visé dans ces CGUM ou annexé par les Parties constitue le « Contrat ».
Les dispositions relatives aux Données à caractère personnel traitées dans le cadre de l’utilisation du Produit figurent en Annexe des présentes CGUM.
Mailinblack pourra modifier les Services ou les fonctionnalités comprises dans les différentes offres ou Produits, ou les présentes CGUM, à la fin de la période de souscription en cours ou avec un préavis de deux mois (ce délai ne sera pas applicable en cas de mise à jour mineure du Produit n’impactant pas une fonctionnalité substantielle du Produit, ou visant à améliorer la sécurité). En cas de désaccord du Client, ce dernier pourra résilier le contrat.
2.1. Description de Protect
Les courriels reçus par les Utilisateurs transitent par le serveur de Mailinblack avant d’être acheminés et stockés sur le système de messagerie du Client s’ils proviennent d’une source authentifiée.
Lors de la réception d’un email provenant d’un expéditeur non connu, un email lui sera adressé permettant de s’authentifier par l’intermédiaire d’un lien et d’un captcha (ou équivalent) à remplir. Cet email pourra être personnalisé par l’Utilisateur administrateur sur le Produit.
La source (expéditeur, email ou nom de domaine) peut également être authentifiée manuellement par l’Utilisateur sur le Produit.
Les courriels provenant d’une source non authentifiée restent en attente d’authentification sur le serveur de Mailinblack pendant une durée classiquement de 30 jours à compter du lendemain à 0h00 du jour où le courriel a été réceptionné.
Une fois qu’une source est authentifiée, tous les courriels provenant de cette source sont immédiatement délivrés sur le système de messagerie de l’Utilisateur après transit via le serveur de Mailinblack.
Les emails en attente stockés sur le serveur de Mailinblack en attente d’authentification et la liste des expéditeurs autorisés ou bannis sont accessibles par chaque utilisateur sur le Produit.
Le Client reconnaît avoir pris connaissance de la présentation commerciale et technique décrivant le Produit mise à sa disposition (notamment sur le site Internet de Mailinblack), s’engage à toujours respecter les Prérequis (et instructions et recommandations ainsi que toutes mises à jour communiquées ultérieurement) pour une installation (On-Premise) et à mettre en place la redirection de son flux de courriels (MX) vers le Produit (SaaS), un accès et une utilisation correctes du Produit et accepte notamment que (i) le Produit ne constitue en aucun cas un outil ou une prestation de stockage, d’archivage et/ou d’hébergement de données immatérielles, pour lesquelles Mailinblack ou le Distributeur ne saurait assumer une quelconque responsabilité (le Client fera son affaire personnelle du traitement, de la sauvegarde, du stockage et de l’archivage quotidienne de ses données) et que (ii) si l’expéditeur d’un courriel ne s’identifie pas ou si l’Utilisateur n’autorise pas la source au cours du délai paramétré pour recevoir l’authentification, ledit courriel est considéré comme un courrier électronique non-sollicité et est supprimé au terme dudit délai sans possibilité de restauration. Le Client reconnaît et accepte ce mécanisme et renonce à rechercher la responsabilité de Mailinblack ou du Distributeur en cas de non-acheminement de données de ce fait.
En particulier, le Produit permet au Client de faire transiter tout courriel envoyé vers son nom de domaine par un serveur de Mailinblack Protect dont l’objet est de filtrer les courriels non-désirés. L’acheminement des courriels à l’Utilisateur dépend soit de l’authentification réalisée par l’expéditeur, soit de l’authentification manuelle par l’Utilisateur, de sorte que Mailinblack ne peut en aucun cas garantir que l’Utilisateur ne recevra aucun courriel non-sollicité, ni qu’un courriel sollicité ne soit pas intercepté par le filtre. À chaque instant, l’Utilisateur peut consulter sur le Produit Protect la liste exhaustive des courriels qui ont été stoppés par le Produit Protect et peut, s’il le souhaite, demander à recevoir chacun d’entre eux et cela jusqu’à l’expiration du délai d’attente ci-dessus visé (Article 2.1).
2.2. Description de Cyber Coach
Ce Produit permet à un Utilisateur administrateur l’envoi par email de campagnes d’hameçonnage à un ensemble d’Utilisateurs, la visualisation de données statistiques sur leurs interactions avec les campagnes et la sensibilisation de ceux-ci aux bonnes attitudes à adopter face à ces menaces.
Les campagnes sont basées sur des modèles d’attaques fournis par Mailinblack et personnalisés par l’Utilisateur administrateur en fonction des besoins du Client. L’Utilisateur administrateur est responsable du choix et du paramétrage des campagnes réalisées (par exemple, les Utilisateurs ciblés, les types de faux emails d’hameçonnage envoyés, la fréquence des campagnes).
Dans le cadre de la fourniture du Produit Cyber Coach, l’Utilisateur administrateur pourra choisir de faire référence à des tiers pour simuler une attaque d’hameçonnage dont les signes distinctifs seront alors uniquement utilisés à des fins d’illustration et de sensibilisation, en fonction notamment de l’environnement du Client. Le Client reconnaît et accepte qu’il n’existe pas de lien entre Mailinblack et les tiers dont les marques pourraient être utilisées dans le cadre des campagnes de sensibilisation.
Lors de l’envoi d’une campagne, un email est envoyé à chaque Utilisateur afin de l’inviter à cliquer sur un lien. Une fois le lien cliqué, l’Utilisateur arrive sur une fausse page d’hameçonnage où il est invité à renseigner des informations sensibles le concernant ou concernant son entreprise. Une fois les données renseignées et transmises par l’Utilisateur, une page d’information l’informe qu’il a été piégé et l’éduque sur la façon dont s’en prémunir.
L’outil collecte des informations sur les interactions réalisées par l’Utilisateur sur les pages d’hameçonnage et de sensibilisation. Ces informations permettent à l’Utilisateur administrateur d’évaluer le niveau de vulnérabilité de ses Utilisateurs. Ces informations sont également utilisées par l’algorithme de ciblage de Mailinblack pour proposer les campagnes d’hameçonnage les plus efficaces et les pages de sensibilisation les plus pertinentes pour les Utilisateurs.
Le Client reconnaît et accepte que les emails envoyés dans le cadre de la campagne de sensibilisation pourront dans certains cas être bloqués par le serveur de messagerie du Client ou tout autre dispositif anti-hameçonnage mis en place par le Client (antispam, pare-feux, fonctionnalités de navigateurs, analyse de flux par l’antivirus de poste, proxy, etc.) empêchant ainsi la bonne réalisation d’une campagne exhaustive.
Le Client reconnaît et accepte que le Produit Cyber Coach vise à sensibiliser les Utilisateurs et obtenir des statistiques mais ne garantit en aucun cas une protection contre les attaques d’hameçonnage, qui dépend uniquement des moyens matériels, logiciels et humains mis en place par le Client, notamment les dispositifs mis en place par le Client et le comportement des Utilisateurs face à de telles attaques.
2.3. Description de Cyber Academy
Ce produit offre à un Utilisateur administrateur la possibilité de mettre à disposition de ses collaborateurs des modules de formation à la cybersécurité via une plateforme de formation en ligne.
Les modules de formation sont fournis par Mailinblack et se composent de plusieurs chapitres.
Les chapitres sont eux-mêmes composés d’éléments de formation textuels et imagés. Ils sont conçus pour être facilement compréhensibles, ludiques, pertinents et engageants. À la fin de chaque chapitre se trouvent un ou plusieurs jeux qui reprennent, sous forme de questions, les éléments abordés dans le chapitre. Si l’apprenant termine le jeu sans commettre d’erreur, il pourra passer au chapitre suivant. Si des fautes sont commises, il pourra recommencer jusqu’à réussite.
Chaque chapitre complété permet d’accumuler des points d’expérience, favorisant ainsi un apprentissage gamifié et encourageant la poursuite de la formation.
L’Utilisateur administrateur a une vue d’ensemble sur la progression de la formation de tous les apprenants. Il peut ainsi consulter les modules les plus et moins utilisés. L’Utilisateur administrateur peut, s’il le souhaite, envoyer un mail à certains collaborateurs pour les encourager à avancer dans la formation s’il constate une baisse de motivation. Il peut également envoyer des messages de félicitations aux collaborateurs les plus performants, contribuant ainsi à maintenir un climat de motivation et d’engagement.
L’Utilisateur peut suivre sa propre progression via différents indicateurs tels que ses points d’expérience, son temps passé estimé à se former sur Cyber Academy et sur les modules de formation qu’il n’a pas encore effectués.
Le Client reconnaît et accepte que le Produit Cyber Academy vise à former et éduquer les Utilisateurs sur les bonnes pratiques de cybersécurité et obtenir des statistiques mais ne garantit en aucun cas une protection contre les cyberattaques. Cette protection dépend exclusivement des moyens matériels, logiciels et humains mis en place par le Client, notamment des dispositifs de sécurité et du comportement des Utilisateurs face à de telles attaques.
2.4. Description de Sikker
Sikker est une application web et mobile, qui permet aux Utilisateurs :
- de stocker et gérer des secrets de manière sécurisée, notamment leurs mots de passe associés à une URL et un identifiant ;
- de générer des mots de passe robustes et de remplir automatiquement les champs associés à un identifiant et mot de passe enregistré, sous réserve d’installation de l’extension Sikker sur le navigateur de l’Utilisateur (ou de l’installation de l’application mobile).
- L’Utilisateur pourra également partager les secrets avec d’autres Utilisateurs, sous sa responsabilité.
Sikker est accessible avec un mot de passe maître choisi par l’Utilisateur, lequel seul permettra d’accéder et de déchiffrer les secrets stockés dans Sikker. En cas d’oubli, le mot de passe maître pourra être réinitialisé par l’Utilisateur sous réserve que cette demande soit acceptée par l’Utilisateur administrateur depuis l’interface web.
Sikker pourra fournir une analyse automatisée des mots de passe stockés afin d’identifier les mots de passe compromis, réutilisés (de manière non exhaustive) ou considérés comme n’étant pas robustes selon l’état de l’art.
2.5 Garantie de confidentialité des Données et des contenus
Mailinblack s’engage à considérer comme confidentielles toutes les Données, plus précisément dans les conditions prévues dans l’Annexe « Données Personnelles ».
Le Client reconnaît que les identifiants de connexion permettant aux Utilisateurs d’accéder au Produit et aux Données sont strictement personnels et confidentiels. Il s’interdit, en conséquence, de les communiquer ou de les partager avec des tiers. Dans le cas où le Client ou un Utilisateur diffuserait ou utiliserait ces éléments de façon contraire à leur destination, Mailinblack sera en droit de résilier le contrat. Pour éviter une utilisation frauduleuse des Identifiants, le Client s’engage à choisir un mot de passe permettant un niveau de sécurité élevé selon les standards et recommandations actuellement en vigueur. Le Client est seul responsable de l’utilisation de ces identifiants par des tiers, et garantit à ce titre Mailinblack contre toute demande et/ou action basée sur une utilisation, frauduleuse ou non, de ces identifiants. En aucun cas, Mailinblack ne pourra être tenue responsable en cas d’utilisation frauduleuse des Identifiants étant donné qu’elle ne dispose pas des moyens techniques permettant de s’assurer de l’identité des personnes accédant au Produit.
2.6. Cloud
Dans ce cas, Mailinblack s’engage à héberger le Produit et les Données sur un serveur et à assurer la surveillance et la maintenance du bon fonctionnement de cette infrastructure dans le cadre d’une obligation de moyens et dans les conditions précisées à l’Annexe « Données Personnelles ».
Il est précisé que la redevance due par le Client ne comprend pas toutes dépenses complémentaires, notamment le coût des télécommunications et d’accès à Internet, nécessaires à l’accès et à l’utilisation du Produit ou encore les coûts liés à l’infrastructure sur laquelle est installée le Produit (On-Premise) et qui restent à la charge et sous la responsabilité du Client. Le Client s’engage à ne faire résider sur les serveurs de Mailinblack que les Données dont il est propriétaire ou qu’il est autorisé de détenir et qui ne sont pas susceptibles de nuire au bon fonctionnement de ces derniers. Le cas échéant, le Client s’engage à utiliser des données selon les formes et modalités indiquées par Mailinblack ou le Distributeur.
Mailinblack se réserve la possibilité de modifier ou d’interrompre l’accès au Produit notamment pour des raisons de sécurité, de maintenance, de mise à jour ou d’amélioration ou pour en faire évoluer le contenu et ce, sans indemnité. Dans la mesure du possible, Mailinblack s’efforcera de minimiser le désagrément pour le Client et de le prévenir à l’avance d’une interruption. Mailinblack ne sera pas responsable des contraintes techniques liées aux spécificités du réseau Internet ou de toute interruption qui ne serait pas imputable à une faute de sa part.
Le Client reconnaît avoir pris connaissance de la présentation commerciale et technique décrivant le Produit mis à sa disposition (notamment sur le site Internet de Mailinblack), s’engage à toujours respecter les Prérequis (et instructions et recommandations ainsi que toutes mises à jour communiquées ultérieurement) pour une installation (On-Premise), un accès et une utilisation correctes du Produit et accepte notamment que (i) le Produit ne constitue en aucun cas un outil ou une prestation de stockage, d’archivage et/ou d’hébergement de données immatérielles, pour lesquelles Mailinblack ou le Distributeur ne saurait assumer une quelconque responsabilité (le Client fera son affaire personnelle du traitement, de la sauvegarde, du stockage et de l’archivage quotidien de ses données) et que (ii) concernant Protect, si l’expéditeur d’un courriel ne s’identifie pas ou si l’Utilisateur n’autorise pas la source au cours du délai paramétré pour recevoir l’authentification, ledit courriel est considéré comme un courrier électronique non-sollicité et est supprimé au terme dudit délai sans possibilité de restauration. Le Client reconnaît et accepte ce mécanisme et renonce à rechercher la responsabilité de Mailinblack ou du Distributeur en cas de non-acheminement de données de ce fait.
3. Commande et paiement
Ces dispositions sont applicables lorsque la Commande est réalisée auprès de Mailinblack (dans le cas contraire, les conditions du Distributeur sont applicables).
Sauf modalités contraires indiquées au Client expressément par Mailinblack, la Commande est réalisée par voie électronique et devient ferme et définitive lors de la signature du devis de Mailinblack par le Client.
La facturation se fait à la Commande, nonobstant l’installation du Produit. La facture est envoyée par voie numérique à l’adresse renseignée dans le devis. Le paiement se fait par chèque ou par virement, dans les 30 jours de la réception de la facture puis à chaque date de reconduction du Contrat.
Le taux d’intérêt des pénalités de retard exigibles le jour suivant la date de règlement est égal au taux d’intérêt appliqué par la Banque centrale européenne à son opération de refinancement la plus récente majoré de 10 points de pourcentage dans les conditions prévues par l’article L446-1 du Code de commerce. Les pénalités de retard sont exigibles sans qu’un rappel soit nécessaire.
De plus, en cas de retard de paiement, le Client sera de plein droit débiteur, à l’égard de Mailinblack, d’une indemnité forfaitaire pour frais de recouvrement égale au montant en vigueur fixé par décret. Lorsque les frais de recouvrement exposés sont supérieurs au montant de cette indemnité forfaitaire, Mailinblack pourra demander une indemnisation complémentaire, sur justification.
4. Droits concédés
Le Client reconnaît que les droits d’auteur et autres droits relatifs notamment à la propriété intellectuelle et industrielle, aux brevets, marques, secrets commerciaux, savoir-faire, idées, concepts et inventions, tout intérêt, couverts ou non par le droit applicable, concernant les Produits, y compris mais sans limitation, toutes modifications, traductions, adaptations, améliorations, corrections, mises à jour ou nouvelles versions, œuvres dérivées, compilations, savoir-faire technique, ainsi que l’ensemble des contenus accessibles via Cyber Academy, sont et demeurent réservés à tout moment à Mailinblack (ou, le cas échéant, à leur titulaire).
Mailinblack concède au Client un droit d’installation (On-Premise) et d’utilisation sur le Produit (et sa Documentation associée) tel que décrit dans la Commande et la facture correspondante, sous sa forme exécutable, pour le nombre de licences prévu dans la Commande. Sauf mention contraire, une licence correspond à une boîte de messagerie du Client.
Ce droit d’utilisation est personnel, limité, temporaire, non-transférable et non-exclusif au Client et ne peut faire l’objet d’aucune cession ou prêt à d’autres personnes. L’utilisation du Produit est destinée à couvrir uniquement les besoins internes et professionnels du Client. Les droits concédés aux présentes CGUM n’ont pas pour effet de transférer au Client ou aux Utilisateurs des droits autres que ceux expressément concédés au titre des présentes et tels que détaillés dans la Commande. Toute utilisation non-prévue aux présentes est interdite et, en particulier mais sans limitation, le Client (y compris les Utilisateurs) s’engage à ne pas (ni autoriser un tiers à le faire) (i) installer le Produit et/ou l’utiliser pour d’autres fins que celles décrites dans la Documentation, (ii) faire de copie (On-Premise : hormis la copie de sauvegarde légalement autorisée), reproduire, altérer, adapter, traduire de quelque façon qu’il soit, intégrer dans un autre produit, tout ou partie du Produit ou de sa Documentation, créer des œuvres dérivées à partir du Produit, désassembler ou pratiquer quelque ingénierie à rebours, ni essayer d’en découvrir les codes sources (réputés strictement confidentiels), (iii) modifier de quelque façon que ce soit le Produit, même dans la mesure de corriger les erreurs qu’il peut contenir, cette faculté étant exclusivement réservée à Mailinblack, (iv) distribuer, donner ou vendre en sous-licence, diffuser, céder, louer, prêter, donner en crédit-bail, vendre, donner, ou autrement transférer à des fins commerciales, même gratuitement, tout ou partie du Produit, par tout moyen, à qui que ce soit, sauf accord exprès de Mailinblack ; (v) porter atteinte de quelque manière que ce soit aux droits de Mailinblack. Ces dispositions s’appliquent au contenu accessible via Cyber Academy.
5. Support et maintenance
Ces dispositions sont applicables lorsque les Services sont réalisés par Mailinblack (dans le cas où ils sont fournis par le Distributeur, les conditions du Distributeur sont applicables).
Cela étant précisé, les prestations de maintenance logicielle de niveau 3 sont réalisées exclusivement par Mailinblack, qui se réserve donc le droit d’adaptation, de modification et de correction des Produits. Dans le cas où le Distributeur est en charge des Services, celui-ci sera le point unique de contact du Client pour les prestations de maintenance.
Les Services sont valables pour un Produit régulièrement commandé, installé (On-Premise) et utilisé et exclusivement pour le site d’installation initial du Produit (On-Premise, avec un changement de site possible après information de Mailinblack) et/ou le nom de domaine tel qu’indiqué à Mailinblack lors de la Commande.
Les Services sont fournis à distance et comprennent une assistance technique ainsi qu’une maintenance logicielle.
5.1. Assistance
Cette prestation inclut une assistance technique à distance, par téléphone et/ou email du lundi au vendredi de 8h-18h sauf jours fériés et indisponibilités du service dont le Client est informé à l’avance. Elle ne couvre pas les demandes abusives, répétées et/ou les difficultés que la lecture de la Documentation disponible peut résoudre.
5.2. Maintenance logicielle
La maintenance du Produit est fournie par Mailinblack et consiste en la mise à disposition de corrections et mises à jour du Produit nécessaires à son fonctionnement normal. Ces corrections et mises à jour doivent être installées et/ou autorisées par le Client (si nécessaire) dans un délai raisonnable à compter de leur mise à disposition (On-Premise), sauf à délivrer Mailinblack de toute obligation ou responsabilité résultant des présentes. Ces corrections et mises à jour sont concédées sous licence selon les termes des CGUM à moins que des conditions d’utilisation les accompagnent au cas par cas.
5.3. Limites
Mailinblack se réserve la possibilité de cesser la Maintenance de tout Produit d’une version antérieure à la version en cours de commercialisation sous réserve que le Client en ait été informé trois (3) mois au préalable (On-Premise). Sont exclues des Services toutes prestations d’intégration du Produit dans l’environnement technique (matériel et logiciel) du Client, de communication avec d’autres systèmes d’exploitation ou d’information, de développement de programmes informatiques spécifiques, d’ajouts ou modifications sur les programmes existants, la formation des Utilisateurs, les incidents dus à une mauvaise utilisation du Produit par le Client, à un mauvais fonctionnement de l’environnement informatique du Client, ou à une défaillance ou une interruption des réseaux de télécommunication et/ou du réseau électrique, ainsi que toute intervention sur le site du Client.
6. Garantie des produits
Les Produits relevant d’un domaine particulièrement complexe de la technique informatique et en l’état actuel des connaissances, ils ne peuvent matériellement faire l’objet de tests concernant toutes les possibilités d’utilisation et aucune autre garantie que celles décrites dans les CGUM ne saurait être assumée.
Le fonctionnement des Produits non-modifiés, correctement installés (On-Premise) et/ou utilisés notamment au regard des Prérequis et instructions de Mailinblack, régulièrement mis à jour, est garanti et maintenu conforme aux caractéristiques fonctionnelles et techniques décrites dans la Documentation, pour la durée du contrat.
Le droit d’installation (On-Premise) et/ou d’utilisation du Produit est concédé « en l’état », sans autre garantie de quelque nature que ce soit, expresse ou tacite, quant à sa qualité, ses performances ou résultats ou sur l’absence d’atteinte aux droits de tiers.
Mailinblack assume une obligation de moyens, dans les limites prévues aux présentes CGUM, et ne pourra pas être tenue pour responsable qu’en cas de faute ou négligence prouvée dans l’exécution de ses obligations, sauf mention expresse contraire.
7. Obligations et responsabilités du client
Le Client et les Utilisateurs doivent disposer des compétences, des matériels et des logiciels requis pour l’utilisation du Produit, ainsi que répondre aux Prérequis définis par Mailinblack pour l’installation (On-Premise) et/ou l’utilisation du Produit. Mailinblack ne sera pas responsable d’un quelconque dommage ayant son origine dans l’utilisation du Produit en conjonction avec un logiciel ou matériel utilisé par le Client ou d’un quelconque problème technique du Client sur son système d’information.
En cas de souscription On-Premise, il est de la responsabilité du Client de veiller au fonctionnement, à la disponibilité et à la sécurité de ses serveurs.
Le Client garantit à Mailinblack que les Données ne portent pas atteinte aux droits de tiers s’engage à respecter l’ensemble de la réglementation qui lui est applicable dans le cadre de l’utilisation du Produit.
À ce titre, le Client garantit Mailinblack contre toute action et/ou réclamation et/ou condamnation prononcée à son encontre (notamment en cas d’action d’un Utilisateur ou d’un tiers), y compris les indemnités, frais de justice et honoraires d’avocats qui pourraient être mis à sa charge, du fait d’un manquement du Client et/ou Utilisateur à leurs obligations légales et contractuelles.
Pour le Produit Protect Out, le Client garantit également Mailinblack de tout dommage ou de toute action et/ou réclamation et/ou condamnation résultant de l’utilisation des adresses IP de Mailinblack pour l’envoi des emails par le Client.
8. Exclusion et limitation de responsabilité
DANS TOUTE LA MESURE PERMISE PAR LA LÉGISLATION APPLICABLE, LES LIMITATIONS ET EXCLUSIONS DE RESPONSABILITÉ PRÉVUES DANS LES PRÉSENTES CGUM S’APPLIQUENT ET CE, QUEL QUE SOIT LE FONDEMENT DE RESPONSABILITÉ.
EN AUCUN CAS, MAILINBLACK NE POURRA ÊTRE TENU(E) ENVERS LE CLIENT, Y COMPRIS EN CAS DE RÉCLAMATION D’UN TIERS, POUR TOUTES RÉCLAMATIONS OU QUELQUES COÛTS QUE CE SOIENT LIÉS À TOUS DOMMAGES INDIRECTS NOTAMMENT MAIS SANS LIMITATION, TOUT MANQUE À GAGNER, PERTES D’EXPLOITATION, DE BÉNÉFICES, TOUTE INTERRUPTION D’ACTIVITÉ RÉSULTANT DU PRODUIT ET DE SA DOCUMENTATION, DE SON UTILISATION OU DE L’IMPOSSIBILITÉ D’Y ACCÉDER ET/OU DE L’UTILISER; DE SA MAINTENANCE OU DE L’IMPOSSIBILITÉ DE LA FOURNIR, OU ENCORE D’UN MANQUEMENT DU PRODUIT À FONCTIONNER AVEC TOUT AUTRE PROGRAMME, ET CE, MÊME SI MAILINBLACK OU LE DISTRIBUTEUR A ÉTÉ PRÉVENU(E) DE L’ÉVENTUALITÉ DE TELS DOMMAGES.
EN AUCUN CAS, MAILINBLACK N’AURA D’OBLIGATION OU RESPONSABILITÉ POUR DES DOMMAGES AUTRES QUE DES DOMMAGES DIRECTS PROUVÉS QUI LUI SONT IMPUTABLES, ET CE DANS LA LIMITE SUIVANTE : EN TOUTE HYPOTHÈSE, LA RESPONSABILITÉ TOTALE DE MAILINBLACK SERA STRICTEMENT LIMITÉE ET NE POURRA EN AUCUN CAS EXCÉDER LA SOMME QUE LE CLIENT A EFFECTIVEMENT PAYÉE AU TITRE DE LA FOURNITURE DU PRODUIT QUI EST DIRECTEMENT À L’ORIGINE DU PRÉJUDICE AU COURS DE LA PÉRIODE DE DOUZE (12) MOIS QUI A PRÉCÉDÉ L’ÉVÉNEMENT QUI EST À L’ORIGINE DU DOMMAGE. Aucune des parties ne sera responsable et ne sera réputé avoir manqué à ses obligations, si ce manquement est dû à un événement de force majeure.
Est considéré comme événement de force majeure, tout événement extérieur à la volonté d’une ou des parties, et notamment la guerre civile ou étrangère, l’émeute, l’incendie, les dégâts des eaux de toutes natures, les accidents, les mouvements sociaux avec occupation des lieux, les décisions gouvernementales, réglementaires ou législatives ou toute autre restriction, catastrophes naturelles, l’interruption des voies de communication, la pénurie d’énergie, de matières premières ou de produits finis, ou toute autre cause qui échapperait au contrôle de l’une des parties.
9. Durée et résiliation
Le droit d’installation (On-Premise), d’accès et/ou d’utilisation du Produit demeure valide pour la durée prévue dans la Commande. À l’issue de cette durée, la concession de ces droits est automatiquement prorogée par périodes successives de même durée sauf notification contraire par l’une ou l’autre des Parties par lettre recommandée avec demande d’avis de réception avant la fin de la période en cours.
À l’issue de chaque période, Mailinblack ou le Distributeur peut modifier son tarif de redevances. Dans ce cas, le Client dispose alors d’un délai de 30 jours ouvrables, à compter de la notification de la modification, afin de lui faire part de son acceptation ou de son refus du nouveau tarif. En l’absence de refus durant ce délai, le Client sera réputé avoir accepté définitivement ce nouveau tarif.
Sans préjudice de tous dommages-intérêts qu’ils pourraient revendiquer, Mailinblack ou son Distributeur se réserve le droit de résilier, tout droit d’installation (On-Premise), d’accès et/ou d’utilisation, de plein droit et sans intervention judiciaire, obligation ou autre responsabilité, en cas de manquement du Client aux présentes CGUM, notamment aux articles relatifs aux conditions d’utilisation du Produit et aux droits concédés (articles 4 et 7) ainsi qu’au paiement, ou de toutes autres conditions afférentes au Produit non-réparé huit (8) jours après l’envoi d’une mise en demeure.
En cas de résiliation, le Client (SaaS) est tenu de rediriger son flux de courriels vers ses propres serveurs (MX) dans un délai maximum de 30 (trente) jours à compter de la date effective de résiliation. Mailinblack ne peut être tenu responsable de la non-livraison des courriels ou de la perte de réversibilité des données si le Client ne redirige pas son flux de courriels dans le délai imparti.
10. Droit applicable et attribution de compétence
Les présentes CGUM sont soumises au droit français, exclusion faite de la convention de Vienne sur la vente internationale de marchandise et des règles relatives aux conflits de loi et de juridictions.
TOUT DIFFEREND IMPLIQUANT MAILINBLACK RELATIF AUX PRESENTES CGUM ET A LEURS SUITES, NOTAMMENT QUANT A LEUR INTERPRETATION, EXECUTION OU RESILIATION EST SOUMIS A LA COMPETENCE DU TRIBUNAL DE COMMERCE COMPETENT DANS LE RESSORT DU LIEU DU SIEGE SOCIAL DE MAILINBLACK AUQUEL IL EST EXPRESSEMENT FAIT ATTRIBUTION DE COMPETENCE NONOBSTANT PLURALITE DE DEFENDEURS, APPEL EN GARANTIE OU DEMANDE INCIDENT, Y COMPRIS POUR DES PROCEDURES SUR REQUETE OU D’URGENCE.
11. Dispositions générales
Le défaut d’exercice, l’exercice partiel ou le retard apporté dans l’exercice des droits prévus par les présentes CGUM ne constitue en aucun cas une renonciation à l’exercice de ces droits, ni une renonciation à aucun autre droit. Toute renonciation ou modification des CGUM ne sera effective que si elle est prévue dans un document écrit.
Si l’une quelconque des dispositions des CGUM est réputée nulle, elle sera réputée non écrite mais les autres dispositions garderont leur force et leur portée, à moins que la disposition annulée soit essentielle pour Mailinblack auquel cas le contrat sera réputé annulé dans son ensemble.
Les présentes CGUM constituent l’intégralité des droits et obligations régissant l’utilisation du Produit en remplacement de toute proposition ou accord antérieur, écrit ou verbal.
ANNEXE 1 : DONNÉES PERSONNELLES TRAITÉES DANS LE CADRE DU PRODUIT
Cette annexe a pour objet de définir les conditions dans lesquelles Mailinblack s’engage à effectuer pour le compte du Client les opérations de traitement des Données à caractère personnel décrites ci-après, dans le cadre de la fourniture des Produits.
Dans le cadre de leurs relations contractuelles, Mailinblack et le Client s’engagent, respectivement, à se conformer à la réglementation en vigueur (ci-après « Règlementation ») en matière de traitement de données à caractère personnel applicable à leurs activités et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après « RGPD »).
Le traitement des données personnelles du Client pour la Commande et l’exécution du Contrat par Mailinblack en tant que responsable de traitement est prévu dans la politique de confidentialité de Mailinblack.
I. Définitions
La définition des mots ou expressions utilisés dans cette annexe en majuscule est précisée dans les CGUM ou ci-après.
Personnes Concernées : personnes physiques dont les Données Personnelles font l’objet du Traitement.
Données Personnelles : données qui, au sens de la Règlementation, permettent de désigner ou d’identifier, directement ou indirectement, une Personne Concernée et font l’objet du Traitement.
Traitement : toute opération appliquée aux Données Personnelles effectuée par le Client en qualité de responsable de traitement et par Mailinblack en qualité de sous-traitant dans le cadre de l’exécution du Contrat et décrit ci-après.
II. Description du Traitement
L’exécution du Contrat est susceptible de donner lieu à des Traitements décrits ci-après conformément à l’article 28.3 du RGPD.
Il est rappelé que le Client agit en qualité de responsable de traitement et Mailinblack agit en qualité de sous-traitant à l’égard des Traitements des Données Personnelles.
2.1. Description du Traitement dans le cadre de l’utilisation du Produit Protect
Nature, objet et finalités du Traitement : les Données Personnelles peuvent être collectées, enregistrées, organisées, structurées, conservées, consultées, diffusées, mises à disposition ou effacées dans le cadre de la fourniture du Produit et de l’exécution du contrat.
Finalités du Traitement : le Traitement effectué par Mailinblack en qualité de sous-traitant vise à fournir le Produit Protect et les Services, exécuter le Contrat et les instructions du Client conformément au Contrat, y compris, le cas échéant, aux fins de réalisation d’opérations maintenance, de stockage, de sauvegarde, de transmission ou de mise à disposition des Données lors du transit des emails sur les serveurs de Mailinblack, de l’acheminement de ceux-ci vers les serveurs du Client et de l’hébergement du Produit Protect et des Données en mode Cloud.
Les Traitements effectués par le Client par l’intermédiaire du Produit Protect visent notamment, pour l’Utilisateur, à gérer les emails adressés par les expéditeurs aux Utilisateurs, l’authentification des expéditeurs et la récupération des emails bloqués et pour l’Utilisateur Administrateur à gérer les Utilisateurs et informations communiquées sur le Produit Protect pour l’utilisation du Produit Protect par les Utilisateurs.
Durée du Traitement :
- Données des Utilisateurs pour la gestion de l’accès au Produit Protect : durée du Contrat (et tant que l’Utilisateur est désigné comme tel)
- Données des expéditeurs : durée du Contrat sauf suppression des données relatives aux expéditeurs supprimées par l’Utilisateur en cours d’utilisation du Produit Protect
- Données liées aux emails transitant par les serveurs de Mailinblack : durée nécessaire à l’acheminement de l’email après authentification de l’expéditeur (délai maximum de 5 jours si le serveur de messagerie du Client ne répond pas) ou, en l’absence d’authentification, durée de quarantaine paramétrée par le Client (généralement, 30 jours).
Catégories de Personnes Concernées : utilisateurs et expéditeurs des emails.
Catégories de Données Personnelles : les catégories de Données Personnelles sont déterminées par le Client dans le cadre de l’utilisation du Produit Protect. Il s’agit en principe des données suivantes :
- Pour les Utilisateurs : nom, prénom, adresse email, liste blanche et liste noire des expéditeurs, métadonnées (objet, date et heure, expéditeur, destinataire) et contenu de l’email adressé à l’Utilisateur.
Données communiquées de manière facultative : nom et logo du Client, adresse IP, Titre, adresse du Client (code postal, pays, état), téléphone mobile, fax, téléphone personnel, Beeper, civilité, description, pseudo, initiales, page web, pages des réseaux sociaux, ainsi que toutes autres données incluses par le Client dans la personnalisation des courriels et pages d’authentification. Le Client est informé que Mailinblack ne conserve pas les mots de passe de l’Utilisateur dans leur forme originelle (conservation d’une empreinte du mot de passe via une fonction de hachage irréversible) et qu’en cas de perte ou souhait de changement du mot de passe, le Client devra choisir un nouveau mot de passe.
- Pour les expéditeurs des emails : adresse email, métadonnées (objet, date et heure, expéditeur, destinataire) et contenu de l’email adressé à l’Utilisateur.
Conservation des données liées à l’envoi des emails à des fins de traçabilité et de sécurité :
- Pour l’utilisateur : adresse email de l’expéditeur, adresse email du destinataire, sujet du mail, adresse IP de l’expéditeur utilisé pour l’envoi du mail, date et heure, adresse IP utilisée lors de la connexion à l’interface, identifiant de connexion à l’interface, date et heure de connexion à l’interface.
- Pour l’expéditeur : adresse IP utilisée lors de l’accès à la page d’authentification du captcha, adresse email de l’expéditeur, date et heure de connexion à l’interface.
Le Client s’engage à ne pas transférer de catégories spécifiques de données personnelles telles que déterminées par la Règlementation.
2.2. Description du Traitement dans le cadre de l’utilisation du Produit Cyber Coach
Nature, objet et finalités du Traitement : les Données Personnelles peuvent être collectées, enregistrées, organisées, structurées, conservées, consultées, diffusées, mises à disposition ou effacées dans le cadre de la fourniture du Produit Cyber Coach et de l’exécution du contrat.
Finalités du Traitement : le Traitement effectué par Mailinblack en qualité de sous-traitant vise à fournir les services résultant de la fourniture du Produit Cyber Coach, exécuter le Contrat et les instructions du Client conformément au Contrat, y compris, le cas échéant, aux fins de réalisation d’opérations maintenance, de stockage, de sauvegarde, d’acheminement des emails de campagne aux Utilisateurs et de l’hébergement du Produit et des Données en mode Cloud.
Les Traitements effectués par le Client par l’intermédiaire du Produit Cyber Coach visent notamment, à :
- Permettre aux Utilisateurs administrateurs de définir des ensembles d’Utilisateurs (à l’aide des nom/prénoms/emails) pour la réalisation des campagnes
- Transmettre les emails de simulation d’hameçonnage aux Utilisateurs désignés par l’Utilisateur administrateur (à l’aide des nom/prénoms/emails)
- Permettre à un algorithme de ciblage de comprendre le comportement des Utilisateurs, leur niveau de sensibilité et d’éducation face à une attaque par hameçonnage et leur capacité d’apprentissage sur un thème de sensibilisation, afin de leur proposer un contenu adapté leur permettant de s’améliorer progressivement (à l’aide de multiples données issues des interactions de l’Utilisateur avec la page d’hameçonnage et de sensibilisation)
Durée du Traitement : jusqu’à suppression des données par l’Utilisateur administrateur en cours d’exécution du Contrat ou à défaut, pendant la durée du Contrat augmentée d’un délai de deux mois à compter de la résiliation du Contrat.
Catégories de Personnes Concernées : Utilisateurs.
Catégories de Données Personnelles : les catégories de Données Personnelles sont déterminées par le Client dans le cadre de l’utilisation du Produit Cyber Coach, selon les paramétrages choisis. Il s’agit en principe des données suivantes concernant les Utilisateurs : nom, prénom, adresse email, adresse IP de navigation, journaux de connexion, comportement de navigation sur les pages d’hameçonnage et d’éducation/sensibilisation (position de la souris, déplacement de la souris, vitesse de déplacement, durée d’immobilisation de la souris, clics effectués, nombre d’ouvertures de la page, durée de navigation sur la page, saisie éventuelle de données (le contenu de ces données n’étant pas collecté)), réponses aux questionnaires d’évaluation et d’éducation.
Les Parties pourront convenir que d’autres catégories de Données Personnelles seront traitées par la voie d’un écrit.
2.3. Description du Traitement dans le cadre de l’utilisation du Produit Cyber Academy
Nature, objet et finalités du Traitement : les Données Personnelles peuvent être collectées, enregistrées, organisées, structurées, conservées, consultées, diffusées, mises à disposition ou effacées dans le cadre de la fourniture du Produit et de l’exécution du contrat.
Finalités du Traitement : le Traitement effectué par Mailinblack en qualité de sous-traitant vise à fournir les services résultant de la fourniture du Produit Cyber Academy, exécuter le Contrat et les instructions du Client conformément au Contrat, y compris, le cas échéant, aux fins de réalisation d’opérations de maintenance, de stockage, de fourniture des données d’utilisation et résultats aux Utilisateurs et de l’hébergement du Produit et des Données en mode Cloud.
Durée du Traitement : Jusqu’à suppression des données par l’Utilisateur administrateur en cours d’exécution du Contrat augmentée d’un délai de deux mois à compter de la résiliation du Contrat.
Catégories de Personnes Concernées : Utilisateurs.
Catégories de Données Personnelles : les catégories de Données Personnelles sont celles communiquées par l’Utilisateur, à savoir : nom, le prénom et les coordonnées professionnelles, la durée écoulée depuis la dernière connexion, le taux de complétion, le taux de réussite, le temps passé à l’utilisation du Produit, les emails adressés à l’Utilisateur (relance, félicitations) et si applicable, les attestations requises au titre des obligations liées à la formation.
Les Parties pourront convenir que d’autres catégories de Données Personnelles seront traitées par la voie d’un écrit.
2.4. Description du Traitement dans le cadre de l’utilisation du Produit Sikker
Nature, objet et finalités du Traitement :
les Données Personnelles peuvent être collectées, enregistrées, organisées, structurées, conservées, consultées, mises à disposition ou effacées dans le cadre de la fourniture du Produit et de l’exécution du contrat.
Le Traitement effectué par Mailinblack en qualité de sous-traitant vise à fournir les services résultant de la fourniture du Produit Sikker, exécuter le Contrat et les instructions du Client conformément au Contrat, à savoir permettre la génération, la gestion, l’analyse automatisée et le stockage des secrets gérés dans Sikker.
Les Traitements effectués par le Client par l’intermédiaire du Produit Sikker visent notamment, pour l’Utilisateur, à gérer et stocker différents secrets de manière sécurisée, notamment les mots de passe et identifiants associés à des URL, à générer des mots de passe robustes et à les partager avec d’autres utilisateurs.
Catégories de Personnes Concernées : Utilisateurs.
Catégories de Données Personnelles : journaux de connexion (adresses électronique, adresse IP de navigation sur les interfaces, identité (nom/prénom) des utilisateurs synchronisés via un annuaire externe (LDAP ou Azure AD)), nombre de secrets stockés, URL, statistiques concernant la sécurité résultant de l’analyse automatisée des mots de passe. Mailinblack n’a pas accès aux contenus stockés sur Sikker qui sont chiffrés et peuvent être déchiffrés uniquement côté Utilisateur par l’utilisation du mot de passe maître.
Les Traitements effectués par le Client par l’intermédiaire du Produit Cyber Coach visent notamment, à :
- Permettre aux Utilisateurs administrateurs de définir des ensembles d’Utilisateurs (à l’aide des nom/prénoms/emails) pour la réalisation des campagnes
- Transmettre les emails de simulation d’hameçonnage aux Utilisateurs désignés par l’Utilisateur administrateur (à l’aide des nom/prénoms/emails)
- Permettre à un algorithme de ciblage de comprendre le comportement des Utilisateurs, leur niveau de sensibilité et d’éducation face à une attaque par hameçonnage et leur capacité d’apprentissage sur un thème de sensibilisation, afin de leur proposer un contenu adapté leur permettant de s’améliorer progressivement (à l’aide de multiples données issues des interactions de l’Utilisateur avec la page d’hameçonnage et de sensibilisation)
Durée du Traitement : jusqu’à suppression des données par l’Utilisateur administrateur en cours d’exécution du Contrat ou à défaut, pendant la durée du Contrat augmentée d’un délai de deux mois à compter de la résiliation du Contrat.
Catégories de Personnes Concernées : Utilisateurs.
Catégories de Données Personnelles : les catégories de Données Personnelles sont déterminées par le Client dans le cadre de l’utilisation du Produit Cyber Coach, selon les paramétrages choisis. Il s’agit en principe des données suivantes concernant les Utilisateurs : nom, prénom, adresse email, adresse IP de navigation, journaux de connexion, comportement de navigation sur les pages d’hameçonnage et d’éducation/sensibilisation (position de la souris, déplacement de la souris, vitesse de déplacement, durée d’immobilisation de la souris, clics effectués, nombre d’ouvertures de la page, durée de navigation sur la page, saisie éventuelle de données (le contenu de ces données n’étant pas collecté)), réponses aux questionnaires d’évaluation et d’éducation.
Les Parties pourront convenir que d’autres catégories de Données Personnelles seront traitées par la voie d’un écrit.
2.3. Description du Traitement dans le cadre de l’utilisation du Produit Cyber Academy
Nature, objet et finalités du Traitement : les Données Personnelles peuvent être collectées, enregistrées, organisées, structurées, conservées, consultées, diffusées, mises à disposition ou effacées dans le cadre de la fourniture du Produit et de l’exécution du contrat.
Finalités du Traitement : le Traitement effectué par Mailinblack en qualité de sous-traitant vise à fournir les services résultant de la fourniture du Produit Cyber Academy, exécuter le Contrat et les instructions du Client conformément au Contrat, y compris, le cas échéant, aux fins de réalisation d’opérations de maintenance, de stockage, de fourniture des données d’utilisation et résultats aux Utilisateurs et de l’hébergement du Produit et des Données en mode Cloud.
Durée du Traitement : Jusqu’à suppression des données par l’Utilisateur administrateur en cours d’exécution du Contrat augmentée d’un délai de deux mois à compter de la résiliation du Contrat.
Catégories de Personnes Concernées : Utilisateurs.
Catégories de Données Personnelles : les catégories de Données Personnelles sont celles communiquées par l’Utilisateur, à savoir : nom, le prénom et les coordonnées professionnelles, la durée écoulée depuis la dernière connexion, le taux de complétion, le taux de réussite, le temps passé à l’utilisation du Produit, les emails adressés à l’Utilisateur (relance, félicitations) et si applicable, les attestations requises au titre des obligations liées à la formation.
Les Parties pourront convenir que d’autres catégories de Données Personnelles seront traitées par la voie d’un écrit.
2.4. Description du Traitement dans le cadre de l’utilisation du Produit Sikker
Nature, objet et finalités du Traitement :
les Données Personnelles peuvent être collectées, enregistrées, organisées, structurées, conservées, consultées, mises à disposition ou effacées dans le cadre de la fourniture du Produit et de l’exécution du contrat.
Le Traitement effectué par Mailinblack en qualité de sous-traitant vise à fournir les services résultant de la fourniture du Produit Sikker, exécuter le Contrat et les instructions du Client conformément au Contrat, à savoir permettre la génération, la gestion, l’analyse automatisée et le stockage des secrets gérés dans Sikker.
Les Traitements effectués par le Client par l’intermédiaire du Produit Sikker visent notamment, pour l’Utilisateur, à gérer et stocker différents secrets de manière sécurisée, notamment les mots de passe et identifiants associés à des URL, à générer des mots de passe robustes et à les partager avec d’autres utilisateurs.
Catégories de Personnes Concernées : Utilisateurs.
Catégories de Données Personnelles : journaux de connexion (adresses électronique, adresse IP de navigation sur les interfaces, identité (nom/prénom) des utilisateurs synchronisés via un annuaire externe (LDAP ou Azure AD)), nombre de secrets stockés, URL, statistiques concernant la sécurité résultant de l’analyse automatisée des mots de passe. Mailinblack n’a pas accès aux contenus stockés sur Sikker qui sont chiffrés et peuvent être déchiffrés uniquement côté Utilisateur par l’utilisation du mot de passe maître.
4.3. Sécurité et sous-traitants
Mailinblack prend très au sérieux la protection des Données de ses Clients et a mis en place différentes mesures visant à protéger ces données contre un accès inapproprié ou l’utilisation par des personnes non autorisées. Cela inclut de restreindre l’accès par le personnel de Mailinblack, ses sous-traitants, ainsi que ses distributeurs.
Mailinblack utilise différents partenaires pour héberger les données de ses solutions en mode cloud, dont OVH, Microsoft Azure, AWS et Emeraude. Ces partenaires sous-traitants fournissent à Mailinblack des emplacements physiques d’hébergement en datacenter et des hébergements IaaS et PaaS de capacité de calcul et de stockage dans le Cloud.
L’accès aux données peut se distinguer en deux catégories : l’accès physique et l’accès logique.
- L’accès physique aux datacenters et aux serveurs contenant les Données :
- Les hébergements de type IaaS et PaaS, tels que mis à notre disposition par OVH, AWS et Azure, ont un accès physique restreint aux équipes de l’hébergeur.
- L’ensemble des datacenters sont surveillés 24h/24, 7j/7 et leur accès est sécurisé par plusieurs procédés : caméras, barrières, identification, badges, biométrie, etc.
- L’accès « logique » aux données d’un point de vue réseau et logiciel est protégé en profondeur par plusieurs pare-feux, des connexions sécurisées, des contrôles d’accès basés sur des rôles et des mécanismes de restriction et d’authentification.
- La plupart des solutions Cloud de Mailinblack sont mutualisées, cela signifie que les Données peuvent être stockées sur le même matériel physique que celles des autres clients. Afin de garantir que chaque client ne puisse accéder qu’à ses Données, Mailinblack utilise l’isolation logique pour isoler l’accès aux Données.
- L’accès aux Données fonctionnelles du Client via l’interface fournie est limité aux équipes techniques de Mailinblack autorisées, aux utilisateurs du Client, au compte gestionnaire et à l’éventuel Distributeur selon les accords entre ce dernier et le Client.
- Les sous-traitants de Mailinblack ne disposent pas d’accès logique direct aux Données, mais peuvent être amenés à intervenir et accéder à celles-ci dans le cadre d’un incident ou d’une prestation de service pour le compte de Mailinblack. Les sous-traitants pouvant accéder aux données sont OVH, Microsoft et AWS. Ils sont tenus à une stricte obligation de confidentialité et nous faisons en sorte de leur imposer les mêmes engagements que ceux que nous prenons.
Vous trouverez ci-dessous les mesures de sécurité détaillées physiques et/ou logiques des différents sous-traitants de Mailinblack :
4.4. Demandes des personnes concernées
Sur demande du Client, Mailinblack s’engage à collaborer dans la mesure du possible avec le Client pour répondre à toute demande d’une Personne Concernée formulée conformément à la Réglementation concernant ses Données Personnelles.
À ce titre, le Client est informé qu’il pourra lui-même rectifier ou supprimer les Données Personnelles sur le Produit. Si une Personne Concernée adressait une demande directement auprès de Mailinblack, cette dernière s’engage à l’adresser dès que possible au Client.
4.5. Information du Client
Le Client pourra demander à Mailinblack les informations raisonnables nécessaires pour démontrer le respect de ses obligations résultant de l’article 28 du RGPD et pour permettre la réalisation d’audits, y compris des inspections, par le Client ou un autre auditeur qu’il a mandaté, aux fins de vérifications du respect des dispositions de la présente Annexe et sous réserve de la signature d’un accord de confidentialité dédié.
Mailinblack informera, dans la mesure du possible, le Client si Mailinblack a connaissance d’une instruction qui, selon lui, constitue une violation des dispositions applicables.
Mailinblack informera le Client de toute violation de Données Personnelles du Client dans les meilleurs délais après en avoir pris connaissance.
4.6. Restitution et/ou suppression des Données Personnelles :
À la résiliation du Contrat, Mailinblack pourra restituer et supprimera les Données du Client hébergées dans le cadre de l’utilisation du Produit dans un délai maximum de 60 jours à compter de la prise d’effet de la résiliation du Contrat.
Les journaux de connexion (logs) peuvent être conservés pendant un an pour des raisons de sécurité.
4.7. Localisation des Données Personnelles
Les Données Personnelles sont hébergées par Mailinblack en France (Roubaix ou Paris).
Le Client convient que lorsque Mailinblack recrute un sous-traitant ultérieur conformément à la clause ci-après pour mener des activités de traitement spécifiques pour le compte du Client, et que ces activités de traitement impliquent un transfert de données à caractère personnel au sens du chapitre V du règlement (UE) 2016/679, Mailinblack et le sous-traitant ultérieur peuvent garantir le respect du chapitre V du règlement (UE) 2016/679 en utilisant les clauses contractuelles types adoptées par la Commission sur la base de l’article 46, paragraphe 2, du règlement (UE) 2016/679, pour autant que les conditions d’utilisation de ces clauses contractuelles types soient remplies.
A ce titre, le Client accepte que le sous-traitant de Mailinblack, gérant l’infrastructure Microsoft Azure sur laquelle sont hébergées les données, est susceptible de transférer des données à caractère personnel en dehors de l’Union européenne. Dans ce cadre, Mailinblack a conclu avec la société Microsoft Corporation les clauses contractuelles types et en tant que de besoin, le Client mandate Mailinblack pour ce faire. En outre, le Client est informé que Microsoft s’engage à se conformer aux lois sur la protection des données à caractère personnel de l’Espace économique européen relatives à la collecte, à l’utilisation, au transfert, à la conservation et tout autre traitement des Données à Caractère Personnel provenant de l’Espace Économique Européen, et que tous les transferts de données a caractère personnel vers un pays tiers ou à une organisation internationale seront soumis à des garanties appropriées, telles que définies à l’Article 46 du RGPD, et lesdits transferts et mesures seront documentés conformément aux dispositions de l’Article 30(2) du RGPD.
4.8. Sous-traitants de Mailinblack
Le Client autorise Mailinblack à faire appel à des sous-traitants pour l’hébergement des Produits et pour la supervision de l’infrastructure (Cloud), tels que mentionnés à l’article 4.3 ci-dessus, pour lesquels Mailinblack s’engage à leur demander le respect des obligations applicables aux Données Personnelles. Mailinblack demeure responsable à l’égard du Client de l’exécution du Contrat.
Le Client est informé et accepte que Mailinblack recourt aux sous-traitants dont l’identité est indiquée ci-dessus ou toute communication ultérieure de Mailinblack, étant précisé que le Client peut accéder aux politiques de confidentialité et de sécurité des sous-traitants sur leurs sites Internet respectifs ou sur demande à Mailinblack.
Mailinblack informera préalablement le Client de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, et le Client aura la possibilité d’émettre des objections dans un délai de 15 jours à l’encontre de ces changements en indiquant les raisons de ces objections.
Dans le cas d’une souscription On-Premise ou d’un hébergement des Données par le Distributeur ou tout tiers, les dispositions de la présente Annexe ne sont pas applicables, ni opposables à Mailinblack pour les Données qui ne sont pas hébergées ou placées sous la responsabilité de Mailinblack à l’exception des données nécessaires à l’utilisation de certains modules du produit CYBERACADEMY qui pourront être transférées au sous-traitant EMERAUDE.