Conditions Générales d'Utilisation

1. Objet et champ d'application

Les présentes Conditions Générales d'Utilisation (ci-après « CGU ») définissent les modalités d'accès et d'utilisation de la plateforme de cybersécurité Kapelgy (ci-après « le Service »), éditée par Kapelgy SAS.

Elles s'appliquent à tout utilisateur, personne physique ou morale, qui accède au site internet kapelgy.fr et/ou utilise le Service, qu'il soit à titre gratuit (démo, période d'essai) ou payant (abonnement). L'utilisation du Service implique l'acceptation pleine et entière des présentes CGU.

Les présentes CGU complètent, sans s'y substituer, les Conditions Générales de Vente (CGV) qui régissent spécifiquement les aspects financiers et contractuels des abonnements payants.

2. Définitions

• « Kapelgy SAS » : la société éditrice du Service, telle que décrite dans les Mentions Légales ;
• « Service » : la plateforme de cybersécurité Kapelgy, incluant le tableau de bord, les agents d'audit, le module de chiffrement post-quantique, le portail MSP, et toute API associée ;
• « Utilisateur » : toute personne physique ou morale accédant au Service ;
• « Compte » : l'espace personnel de l'Utilisateur créé sur le Service ;
• « Actifs numériques » : les systèmes informatiques, sites web, API et infrastructures soumis par l'Utilisateur à l'audit Kapelgy ;
• « Contenu » : l'ensemble des données, résultats d'audit, rapports et informations générées par l'utilisation du Service ;
• « MSP » : Managed Service Provider — prestataire de services managés utilisant Kapelgy pour le compte de ses clients (tenants) ;
• « Tenant » : entité cliente gérée par un MSP dans le cadre du portail multi-tenant ;
• « Données Sensibles » : toute donnée de sécurité, clé cryptographique, résultat de vulnérabilité produit par le Service.

3. Acceptation et opposabilité

L'accès et l'utilisation du Service impliquent l'acceptation sans réserve des présentes CGU. Cette acceptation est matérialisée par :

• La création d'un compte Kapelgy ;
• Le clic sur « J'accepte les CGU » lors de l'inscription ;
• L'utilisation effective du Service, y compris la démo interactive.

Si vous utilisez le Service pour le compte d'une entreprise, vous déclarez avoir le pouvoir de l'engager contractuellement. En cas de doute, l'entreprise sera considérée comme l'Utilisateur et sera solidairement responsable avec vous.

Les présentes CGU prévalent sur toute condition générale de l'Utilisateur, sauf accord écrit exprès de Kapelgy SAS.

4. Création et gestion du compte

4.1 Conditions d'éligibilité

Pour créer un compte, l'Utilisateur doit :

• Être une personne physique majeure (18 ans minimum) ou une personne morale légalement constituée ;
• Disposer d'une adresse email professionnelle valide ;
• Ne pas avoir fait l'objet d'une résiliation de compte Kapelgy pour faute.

4.2 Sécurité des identifiants

L'Utilisateur est seul responsable de la confidentialité de ses identifiants (email et mot de passe). Il s'engage à :

• Choisir un mot de passe fort (minimum 12 caractères, majuscule, chiffre, caractère spécial) ;
• Ne jamais partager ses identifiants avec des tiers non autorisés ;
• Notifier immédiatement Kapelgy SAS en cas de suspicion de compromission à contact@kapelgy.fr ;
• Activer l'authentification à deux facteurs (2FA) disponible dans les paramètres du compte.

Kapelgy SAS ne saurait être tenue responsable de tout préjudice résultant d'un usage non autorisé du compte de l'Utilisateur, sauf faute de Kapelgy SAS.

4.3 Exactitude des informations

L'Utilisateur garantit l'exactitude et la véracité des informations fournies lors de l'inscription. Toute fausse déclaration engage sa responsabilité exclusive et peut entraîner la résiliation immédiate du compte.

5. Description du service

Kapelgy est une plateforme SaaS de cybersécurité agentless qui offre notamment :

• Audit OWASP : scanner de vulnérabilités couvrant les 10 catégories OWASP Top 10 ;
• Chiffrement post-quantique : intégration CRYSTALS-Kyber-1024 (NIST FIPS 203) pour la protection des communications ;
• Tableau de bord de conformité : suivi automatisé ISO 27001, RGPD, PCI-DSS, ANSSI RGS ;
• Portail MSP multi-tenant : gestion de plusieurs clients avec isolation des données ;
• IA Analyst : analyse et interprétation des résultats d'audit assistée par IA ;
• API REST + WebSocket : intégration dans vos pipelines CI/CD et SIEM/SOAR ;
• Alertes en temps réel : notifications de nouveaux vecteurs d'attaque détectés.

Les fonctionnalités disponibles dépendent du plan d'abonnement souscrit (Starter, MSP/ETI, Grand Compte/OIV). Le descriptif détaillé de chaque offre figure sur la page Tarifs et dans les CGV.

6. Obligations et responsabilités de l'utilisateur

6.1 Utilisation autorisée

L'Utilisateur s'engage à utiliser le Service exclusivement dans le cadre légal et pour auditer des actifs numériques dont il est propriétaire ou pour lesquels il dispose d'une autorisation explicite et écrite du propriétaire.

6.2 Usages interdits

Il est formellement interdit d'utiliser le Service pour :

• Scanner, auditer ou attaquer des systèmes tiers sans autorisation ;
• Contourner, désactiver ou interférer avec les mesures de sécurité du Service ;
• Extraire, copier ou reproduire le code source, les algorithmes ou la base de données de Kapelgy ;
• Revendre, sous-licencier ou commercialiser le Service sans accord écrit préalable de Kapelgy SAS ;
• Transmettre des données malveillantes (virus, chevaux de Troie, malwares) via le Service ;
• Créer des faux comptes, simuler une activité artificielle ou tenter de contourner les limites d'abonnement ;
• Violer toute loi ou réglementation applicable (RGPD, directive NIS2, LPM, etc.) ;
• Harceler, menacer ou dénigrer d'autres utilisateurs.

6.3 Responsabilité des audits

L'Utilisateur est seul responsable de l'exactitude de la liste des actifs numériques soumis à l'audit, du périmètre autorisé pour les scans, des actions correctives prises sur la base des résultats, et de l'usage des rapports d'audit générés par Kapelgy.

Kapelgy SAS ne saurait être tenue responsable des dommages résultant d'une utilisation erronée, d'un périmètre d'audit mal défini, ou d'actions de remédiation inappropriées prises sur la base des résultats.

6.4 Obligations des MSP

Les Utilisateurs opérant en tant que MSP s'engagent à :

• Obtenir les autorisations contractuelles nécessaires auprès de chacun de leurs clients (tenants) avant tout scan ;
• Informer leurs clients de l'utilisation de Kapelgy et de la politique de traitement des données ;
• Respecter l'isolation des données entre tenants et ne pas accéder aux données d'un client depuis le compte d'un autre ;
• Signer un accord de traitement de données (DPA) avec Kapelgy SAS pour agir en qualité de sous-traitant vis-à-vis de leurs clients.

7. Obligations de Kapelgy

Kapelgy SAS s'engage à :

• Fournir le Service tel que décrit dans les CGV et les documentations techniques ;
• Mettre en œuvre des mesures de sécurité conformes à l'état de l'art (chiffrement AES-256-GCM, TLS 1.3, CRYSTALS-Kyber-1024, ISO 27001) ;
• Héberger les données exclusivement en France chez OVHcloud ;
• Notifier l'Utilisateur de toute maintenance planifiée avec un préavis de 48 heures minimum ;
• Notifier l'Utilisateur dans les meilleurs délais de tout incident de sécurité affectant ses données ;
• Respecter les obligations du RGPD en qualité de responsable de traitement ou de sous-traitant selon les cas ;
• Maintenir un support technique selon les modalités prévues par le plan d'abonnement.

Kapelgy SAS n'est soumise qu'à une obligation de moyens, et non à une obligation de résultat, quant à l'identification exhaustive de l'ensemble des vulnérabilités d'un système d'information. Les résultats d'audit constituent une aide à la décision et ne sauraient être interprétés comme une garantie absolue de sécurité.

8. Propriété intellectuelle

8.1 Droits de Kapelgy SAS

Le Service Kapelgy, incluant son code source, ses algorithmes, son interface graphique, sa documentation, ses bases de données, et ses modules spécifiques (IA Analyst, moteur OWASP, module post-quantique), est protégé par le droit de la propriété intellectuelle. Kapelgy SAS en est le propriétaire exclusif.

La souscription à un abonnement confère à l'Utilisateur une licence d'utilisation personnelle, non exclusive, non transférable et limitée au territoire d'utilisation convenu, pour la durée de l'abonnement uniquement.

8.2 Droits de l'utilisateur sur ses données

L'Utilisateur conserve l'intégralité des droits sur ses actifs numériques audités et sur les rapports d'audit générés à partir de ces audits. Kapelgy SAS n'acquiert aucun droit sur ces données, sinon le droit de les traiter dans le cadre strictement nécessaire à la fourniture du Service.

8.3 Feedback et suggestions

Toute suggestion, commentaire ou idée d'amélioration transmis par l'Utilisateur à Kapelgy SAS peut être utilisé librement par Kapelgy SAS sans obligation de rémunération ni d'attribution.

9. Données et confidentialité

Le traitement des données personnelles est régi par notre Politique de Confidentialité RGPD, qui fait partie intégrante des présentes CGU.

Les données de sécurité (résultats d'audit, vulnérabilités détectées, configurations) sont considérées comme hautement confidentielles. Kapelgy SAS s'engage à ne jamais divulguer, vendre ou utiliser ces données à des fins autres que la fourniture du Service, sous réserve des obligations légales applicables.

10. Disponibilité et maintenance

Kapelgy SAS s'engage à mettre en œuvre tous les moyens raisonnables pour assurer la disponibilité du Service. Le taux de disponibilité cible est de 99,5 % par mois (hors maintenance planifiée), avec un SLA de 99,9 % pour les clients Grand Compte/OIV.

Des opérations de maintenance peuvent entraîner des interruptions temporaires. Kapelgy SAS :

• Planifie les maintenances en dehors des heures de bureau (22h00-06h00 CET) autant que possible ;
• Informe les Utilisateurs par email et via le tableau de bord de statut avec 48h de préavis minimum ;
• En cas de maintenance d'urgence (incident de sécurité critique), une notification est envoyée dès que possible.

Les interruptions dues à des facteurs indépendants de la volonté de Kapelgy SAS (force majeure, pannes chez les opérateurs tiers, cyberattaques subies) ne constituent pas un manquement aux présentes CGU.

11. Limitation de responsabilité

Dans les limites permises par la loi applicable, la responsabilité de Kapelgy SAS est expressément limitée comme suit :

• Kapelgy SAS n'est pas responsable des dommages indirects, immatériels, incidents ou consécutifs (perte de données, perte de chiffre d'affaires, préjudice d'image) ;
• En cas de dommage direct prouvé imputable à Kapelgy SAS, la réparation est limitée au montant des sommes effectivement versées par l'Utilisateur au cours des 12 derniers mois précédant le fait générateur ;
• Kapelgy SAS n'est pas responsable des vulnérabilités non détectées lors d'un audit, dès lors que les mesures de l'art étaient appliquées ;
• Kapelgy SAS n'est pas responsable des actions ou omissions de l'Utilisateur prises sur la base des résultats d'audit.

12. Résiliation

12.1 Résiliation par l'utilisateur

L'Utilisateur peut résilier son compte à tout moment depuis les paramètres de son compte ou en contactant contact@kapelgy.fr. La résiliation prend effet à la fin de la période d'abonnement en cours. Aucun remboursement prorata temporis n'est effectué, sauf dispositions contraires des CGV.

12.2 Résiliation par Kapelgy SAS

Kapelgy SAS peut résilier ou suspendre l'accès au Service, avec effet immédiat et sans préavis, en cas de :

• Violation des présentes CGU ou de toute loi applicable ;
• Non-paiement d'une facture échue après mise en demeure restée sans effet 15 jours ;
• Utilisation frauduleuse ou malveillante du Service ;
• Fausse déclaration lors de l'inscription.

En cas de résiliation pour faute de l'Utilisateur, aucun remboursement ne sera effectué.

12.3 Effets de la résiliation

À la résiliation, l'accès au Service est coupé. L'Utilisateur dispose d'un délai de 30 jours pour exporter ses données (rapports, configurations). Passé ce délai, les données sont définitivement supprimées, sauf obligation légale de conservation.

13. Modifications des CGU

Kapelgy SAS se réserve le droit de modifier les présentes CGU à tout moment. Les modifications entrent en vigueur dès leur publication sur le site, avec notification par email aux Utilisateurs enregistrés. La poursuite de l'utilisation du Service après notification vaut acceptation des nouvelles CGU. Si l'Utilisateur refuse les modifications, il peut résilier son compte selon les modalités de l'article 12.

14. Droit applicable et litiges

Les présentes CGU sont régies par le droit français. Tout litige relatif à leur interprétation ou leur exécution sera soumis à la compétence exclusive des tribunaux de Paris, après tentative de résolution amiable préalable obligatoire de 30 jours.

Pour les litiges de consommation, l'Utilisateur peut recourir à la médiation de la consommation conformément à la procédure décrite dans les Mentions Légales.

Contact pour tout litige ou réclamation : contact@kapelgy.fr