Préambule

DIV PROTOCOL SAS est une société française spécialisée dans la fourniture d'une solution logicielle en mode SaaS (Software as a Service) de stockage sécurisé, de partage et de chiffrement de bout en bout de données professionnelles, à destination exclusive des entreprises et professionnels (B2B). Le Service est accessible via la plateforme www.divprotocol.com et repose sur une infrastructure sécurisée hébergée exclusivement en France et dans l'Union européenne par OVH SAS. Les présentes Conditions Générales de Vente (ci-après « CGV ») constituent le socle contractuel unique régissant les relations commerciales entre DIV PROTOCOL et ses Clients. Toute souscription au Service emporte acceptation pleine, entière et sans réserve des présentes CGV.

I. Définitions

Au sens des présentes CGV, les termes suivants ont la signification qui leur est attribuée ci-dessous :

• « Client » : toute personne morale ou physique agissant à titre professionnel ayant souscrit une offre de Service DIV PROTOCOL ;
• « Utilisateur » : toute personne physique disposant d'un compte sur la Plateforme, agissant pour le compte du Client ;
• « Plateforme » : l'application web accessible à l'adresse www.divprotocol.com ainsi que l'ensemble des interfaces associées ;
• « Service » : l'ensemble des fonctionnalités proposées par DIV PROTOCOL dans le cadre de l'offre souscrite par le Client ;
• « Données Client » : l'ensemble des fichiers, documents et contenus téléversés, stockés ou traités par le Client et ses Utilisateurs sur la Plateforme ;
• « Données Personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable, au sens du Règlement (UE) 2016/679 (RGPD) ;
• « Parties » : désigne conjointement DIV PROTOCOL et le Client ;
• « Contrat » : désigne les présentes CGV, l'offre souscrite par le Client, ainsi que tout document annexe expressément convenu entre les Parties.

II. Objet

Les présentes CGV ont pour objet de définir les conditions dans lesquelles DIV PROTOCOL SAS (ci-après « le Prestataire ») fournit au Client l'accès au Service, ainsi que les droits et obligations respectifs des Parties. Toute souscription au Service implique l'acceptation sans réserve des présentes CGV, à l'exclusion de tout autre document, et notamment des conditions générales d'achat du Client.

III. Champ d'application et acceptation

Les présentes CGV s'appliquent à toute commande, souscription ou utilisation du Service effectuée par le Client, quelle que soit l'offre choisie. Elles prévalent sur tout autre document contractuel émanant du Client. DIV PROTOCOL se réserve le droit de modifier les présentes CGV à tout moment. Toute modification sera notifiée au Client par courrier électronique au moins trente (30) jours avant son entrée en vigueur. L'utilisation continue du Service après l'entrée en vigueur des nouvelles CGV vaut acceptation de celles-ci. En cas de refus, le Client pourra résilier son abonnement dans les conditions prévues à l'article VII.

IV. Description du Service

Le Service DIV PROTOCOL est une plateforme de gestion documentaire sécurisée comprenant les fonctionnalités suivantes :

• Stockage sécurisé avec chiffrement de bout en bout (E2E) : les fichiers sont chiffrés côté client avant tout transfert vers les serveurs, garantissant que seuls les Utilisateurs autorisés peuvent accéder au contenu en clair ;
• Upload de fichiers avec reprise (chunked/resumable uploads) : téléversement par fragments permettant la reprise en cas d'interruption ;
• Trois modes de partage : partage interne (entre Utilisateurs de la même organisation), partage externe sécurisé (avec vérification par code OTP envoyé par e-mail), et partage par lien public ;
• Édition collaborative de documents : intégration de la suite bureautique OnlyOffice permettant l'édition en temps réel de documents texte, tableurs et présentations directement depuis la Plateforme ;
• Gestion granulaire des permissions : attribution de droits distincts par Utilisateur et par ressource (READ, WRITE, DELETE, DOWNLOAD, SHARE, MANAGE_ROLE) ;
• Audit et traçabilité : journal d'audit enregistrant plus de 28 types d'actions (connexion, upload, téléchargement, partage, modification de permissions, suppression, etc.) ;
• Versioning : conservation de l'historique des versions des fichiers avec possibilité de restauration ;
• Corbeille : suppression réversible avant suppression définitive ;
• Recherche : moteur de recherche indexant les noms de fichiers ;
• Projets personnels et d'équipe : organisation des fichiers et dossiers par projets avec gestion collaborative ;
• Tableau de bord et administration : interface d'administration permettant la gestion des Utilisateurs, des permissions, des quotas et des paramètres de l'organisation.

DIV PROTOCOL se réserve le droit de faire évoluer les fonctionnalités du Service afin d'en améliorer la qualité et la sécurité, sans altérer les caractéristiques essentielles de l'offre souscrite par le Client.

V. Offres et quotas de stockage

Le Service est proposé sous forme de différentes offres commerciales, dont les caractéristiques (volume de stockage, nombre d'Utilisateurs, fonctionnalités incluses) sont définies sur devis, en fonction des besoins exprimés par le Client. Le quota de stockage est variable selon l'offre souscrite. Le Client est informé de son quota lors de la souscription. En cas de dépassement du quota, DIV PROTOCOL informera le Client et pourra limiter certaines fonctionnalités (notamment l'upload de nouveaux fichiers) jusqu'à régularisation. Le Client peut demander à tout moment une augmentation de son quota de stockage ou une évolution de son offre en contactant DIV PROTOCOL.

VI. Tarifs et paiement

Les tarifs du Service sont établis sur devis, en fonction de l'offre, du volume de stockage et du nombre d'Utilisateurs souhaités par le Client. Aucun tarif fixe n'est publié ; chaque proposition commerciale est personnalisée. Sauf mention contraire sur le devis, les prix sont exprimés en euros hors taxes (HT). La TVA applicable sera ajoutée au taux en vigueur. Les paiements s'effectuent par carte bancaire via la plateforme de paiement sécurisée Stripe. La facturation intervient à la date de souscription, puis de manière récurrente selon la périodicité choisie (mensuelle ou annuelle). En cas d'échec de paiement, le Prestataire adressera une relance au Client. À défaut de régularisation dans un délai de quinze (15) jours, le Prestataire pourra suspendre l'accès au Service. Passé un délai de trente (30) jours d'impayé, le Prestataire pourra résilier le Contrat de plein droit. Toute période entamée est due intégralement et ne donne lieu à aucun remboursement, sauf disposition légale contraire.

VII. Durée, renouvellement et résiliation

Le Contrat est conclu pour la durée correspondant à la périodicité de l'abonnement souscrit (mensuel ou annuel), renouvelable par tacite reconduction. Le Client peut résilier son abonnement à tout moment depuis son espace d'administration sur la Plateforme. La résiliation prend effet à l'issue de la période en cours. Aucun remboursement prorata temporis n'est dû pour la période restante. DIV PROTOCOL peut résilier le Contrat de plein droit en cas de : — manquement grave du Client à ses obligations contractuelles non remédié dans un délai de quinze (15) jours suivant mise en demeure par courrier électronique ; — impayé persistant au-delà de trente (30) jours ; — utilisation du Service en violation de la législation applicable. À la résiliation, le Client dispose d'un délai de trente (30) jours pour récupérer ses Données Client. Passé ce délai, DIV PROTOCOL procédera à la suppression définitive des données, sauf obligation légale de conservation.

VIII. Niveaux de service (SLA)

DIV PROTOCOL s'engage à assurer une disponibilité du Service de 99,5 % sur une base mensuelle, calculée selon la formule suivante : Taux de disponibilité = ((Temps total du mois – Temps d'indisponibilité) / Temps total du mois) × 100 Sont exclus du calcul de disponibilité : — les opérations de maintenance programmée, notifiées au Client au moins 48 heures à l'avance ; — les interruptions résultant d'un cas de force majeure ; — les interruptions imputables au Client ou à des tiers ; — les interruptions liées aux prestataires d'hébergement. Les fenêtres de maintenance programmée sont planifiées en dehors des heures ouvrées (entre 22h00 et 6h00, heure de Paris) dans la mesure du possible. En cas de non-respect du SLA constaté sur un mois calendaire, le Client pourra demander un avoir proportionnel au temps d'indisponibilité excédentaire, dans la limite de 30 % du montant mensuel de l'abonnement.

IX. Obligations de DIV PROTOCOL

DIV PROTOCOL s'engage à :

• fournir le Service conformément aux présentes CGV et à l'état de l'art en matière de sécurité informatique ;
• assurer la disponibilité du Service dans les conditions définies à l'article VIII ;
• mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les Données Client contre tout accès non autorisé, toute perte ou toute altération ;
• informer le Client sans délai de tout incident de sécurité susceptible d'affecter ses données ;
• notifier le Client au moins 48 heures à l'avance de toute opération de maintenance programmée ;
• ne pas accéder aux Données Client en clair, conformément à l'architecture de chiffrement de bout en bout du Service, sauf obligation légale impérative ;
• assurer le support technique dans les délais et selon les modalités prévus par l'offre souscrite.

X. Obligations du Client

Le Client s'engage à :

• utiliser le Service dans le respect des lois et réglementations en vigueur, et notamment de la législation relative à la propriété intellectuelle, à la protection des données personnelles et à la lutte contre la cybercriminalité ;
• garantir la licéité de l'ensemble des contenus stockés, partagés et traités via la Plateforme ;
• maintenir la confidentialité des identifiants de connexion de ses Utilisateurs et informer immédiatement DIV PROTOCOL de toute utilisation non autorisée ;
• ne pas compromettre la sécurité, l'intégrité ou la disponibilité du Service (tentatives d'intrusion, injection de code malveillant, tests de charge non autorisés, etc.) ;
• effectuer ses propres sauvegardes des données critiques, le Service ne se substituant pas à une solution de sauvegarde ;
• s'assurer que ses Utilisateurs respectent les présentes CGV et les CGU applicables ;
• régler les factures dans les délais convenus.

XI. Sécurité et chiffrement

DIV PROTOCOL met en œuvre une architecture de sécurité de niveau professionnel comprenant les mesures suivantes : Chiffrement de bout en bout (E2E) : les fichiers sont chiffrés côté client avant tout transfert vers les serveurs. Les clés de chiffrement sont dérivées et gérées côté client. Le Prestataire n'a pas accès aux clés de déchiffrement. Chiffrement au repos : les données stockées sur les serveurs sont chiffrées au repos. Chiffrement en transit : toutes les communications entre le client et les serveurs sont chiffrées en transit. Architecture zéro connaissance (nuance) : le contenu des fichiers est inaccessible au Prestataire. Cependant, certaines métadonnées nécessaires au fonctionnement du Service (noms de fichiers, structure arborescente, tailles, dates de modification, journaux d'audit) sont accessibles côté serveur pour permettre l'indexation, la recherche et l'administration. Authentification renforcée : prise en charge de l'authentification à deux facteurs (2FA) par e-mail, par application d'authentification TOTP, et par codes de secours (backup codes). Les magic links sont également disponibles. Isolation des données : les données de chaque Client sont logiquement isolées au sein de l'infrastructure.

XII. Traçabilité et technologies blockchain

DIV PROTOCOL développe un module de traçabilité basé sur la technologie blockchain, permettant l'ancrage d'empreintes numériques (hashes) des fichiers et des événements d'audit sur un registre distribué immuable. Cette fonctionnalité est en cours de déploiement et ne constitue pas, à la date des présentes, un engagement contractuel ferme. Le Client sera informé de sa disponibilité effective par notification sur la Plateforme. Lorsqu'elle sera activée, la traçabilité blockchain permettra de : — prouver l'existence d'un fichier à un instant donné (horodatage certifié) ; — vérifier l'intégrité d'un fichier (absence de modification) ; — constituer une preuve numérique à valeur probatoire renforcée. Aucun contenu de fichier n'est stocké sur la blockchain. Seuls les hashes cryptographiques et les métadonnées d'audit y sont enregistrés.

XIII. Données personnelles et RGPD

Dans le cadre de l'exécution du Contrat, DIV PROTOCOL est amené à traiter des Données Personnelles pour le compte du Client, en qualité de sous-traitant au sens de l'article 28 du RGPD. DIV PROTOCOL s'engage à : — traiter les Données Personnelles uniquement sur instruction documentée du Client et aux seules fins de l'exécution du Service ; — garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité ; — mettre en œuvre les mesures techniques et organisationnelles appropriées conformément à l'article 32 du RGPD ; — ne pas sous-traiter le traitement sans autorisation préalable écrite du Client ; — assister le Client dans le respect de ses obligations au titre des articles 32 à 36 du RGPD ; — supprimer ou restituer les données à la fin de la prestation, selon le choix du Client ; — mettre à la disposition du Client toute information nécessaire pour démontrer le respect des obligations et contribuer aux audits. Les détails du traitement des Données Personnelles sont décrits dans la Politique de Confidentialité accessible sur la Plateforme.

XIV. Confidentialité

Chacune des Parties s'engage à considérer comme confidentielles l'ensemble des informations échangées dans le cadre du Contrat, qu'elles soient de nature technique, commerciale, financière ou stratégique. Cette obligation de confidentialité s'applique pendant toute la durée du Contrat et se poursuit pendant une durée de cinq (5) ans après sa cessation. Sont exclues de cette obligation les informations : — relevant du domaine public au moment de leur communication ; — dont la divulgation est imposée par une autorité judiciaire ou administrative ; — que la partie réceptrice peut prouver avoir connues avant leur communication.

XV. Propriété intellectuelle

DIV PROTOCOL est et demeure titulaire de l'intégralité des droits de propriété intellectuelle portant sur la Plateforme, le Service, les logiciels, le code source, les algorithmes, l'architecture technique, le design, les marques, les logos et la documentation associée. Le Contrat ne confère au Client aucun droit de propriété intellectuelle sur le Service. Le Client bénéficie uniquement d'un droit d'utilisation non exclusif, non cessible et non transférable, pour la durée du Contrat et dans les limites de l'offre souscrite. Les Données Client téléversées sur la Plateforme demeurent la propriété exclusive du Client. DIV PROTOCOL ne revendique aucun droit sur ces données.

XVI. Responsabilité et limitations

DIV PROTOCOL s'engage à exécuter ses obligations avec diligence et dans le respect des règles de l'art. La responsabilité du Prestataire est une obligation de moyens. DIV PROTOCOL ne pourra être tenue responsable : — des dommages résultant d'une utilisation du Service non conforme aux CGV ou à la documentation ; — des pertes de données imputables au Client ou à des tiers ; — des dommages indirects, y compris mais sans s'y limiter : perte de chiffre d'affaires, perte de données, perte d'image, perte de chance, préjudice commercial ; — des interruptions résultant d'un cas de force majeure ou d'une défaillance des prestataires d'hébergement. En tout état de cause, la responsabilité totale et cumulée de DIV PROTOCOL au titre du Contrat est plafonnée au montant total des sommes effectivement versées par le Client au cours des douze (12) mois précédant le fait générateur du dommage. Cette limitation ne s'applique pas en cas de faute lourde, de dol, ou d'atteinte aux personnes.

XVII. Force majeure

Aucune des Parties ne pourra être tenue responsable de l'inexécution ou du retard dans l'exécution de ses obligations contractuelles lorsque cette inexécution résulte d'un événement de force majeure au sens de l'article 1218 du Code civil. Sont notamment considérés comme cas de force majeure : les catastrophes naturelles, les incendies, les grèves, les pannes de réseau de télécommunications, les attaques informatiques d'ampleur exceptionnelle, les décisions gouvernementales ou réglementaires empêchant l'exécution du Contrat. La Partie affectée informera l'autre Partie dans les meilleurs délais. Si l'événement de force majeure se prolonge au-delà de soixante (60) jours, chacune des Parties pourra résilier le Contrat de plein droit sans indemnité.

XVIII. Droit applicable et juridiction

Les présentes CGV sont régies par le droit français. En cas de différend relatif à l'interprétation, l'exécution ou la résiliation des présentes, les Parties s'efforceront de trouver une solution amiable dans un délai de trente (30) jours. À défaut de résolution amiable, compétence exclusive est attribuée au Tribunal de Commerce de Paris, nonobstant pluralité de défendeurs ou appel en garantie. Contact : contact@divprotocol.com