CONDITIONS GÉNÉRALES DE VENTE ET D’UTILISATION (CGV-U)

Version 1.0 — En vigueur à compter du 18/05/2026 — Réservé aux professionnels (B2B)

⚠️  AVERTISSEMENT ESSENTIEL — À LIRE AVANT TOUTE SOUSCRIPTION

Le service CYBERDIAGNOSTIC.FR est exclusivement un outil d’auto-évaluation de la maturité cyber basé sur des réponses déclaratives fournies librement par le Client. Il ne constitue en aucun cas un audit technique, un test d’intrusion, un scan de vulnérabilités réseau ou applicatives, une certification, ni une garantie d’absence de failles de sécurité. Le rapport produit est un outil d’aide à la décision interne et ne peut être opposé à un tiers ni utilisé comme preuve de conformité réglementaire.

PRÉAMBULE

La société Cyberdiagnostic,Auto-entreprise, dont le siège social est situé 330 Boulevard de Cernay 95120 Ermont , immatriculée au RCS de Pontoise sous le numéro SIREN 520 937 806, ci-après dénommée « le Prestataire », éditrice du site cyberdiagnostic.fr, propose une solution d’auto-évaluation de la maturité en cybersécurité à destination exclusive des professionnels (entreprises, associations, collectivités), ci-après dénommés « le Client ».

Les présentes Conditions Générales de Vente et d’Utilisation (ci-après « CGV-U ») régissent l’intégralité des relations contractuelles entre le Prestataire et le Client. Toute souscription implique l’acceptation pleine, entière et sans réserve des présentes CGV-U, qui prévalent sur tout document émanant du Client, notamment ses propres conditions générales d’achat. Le Client déclare agir dans le cadre de son activité professionnelle et renonce expressément au bénéfice de toute disposition relevant du droit de la consommation.

ARTICLE 1 — DÉFINITIONS

  • Service : désigne la plateforme SaaS accessible sur cyberdiagnostic.fr permettant au Client de répondre à un questionnaire déclaratif afin d’obtenir un rapport d’auto-évaluation de sa maturité en cybersécurité, comprenant un score, des recommandations et un plan d’action.
  • Diagnostic Déclaratif : désigne le questionnaire en ligne rempli exclusivement par le Client sous sa seule responsabilité. Le résultat est directement fonction de la qualité, de l’exactitude et de l’exhaustivité des réponses apportées. Aucune vérification technique des systèmes d’information du Client n’est réalisée.
  • Rapport : désigne le document de synthèse généré automatiquement à l’issue du questionnaire, comprenant un score de maturité cyber, des recommandations et un plan d’action priorisé. Ce rapport constitue un outil d’aide à la décision interne et non un audit de sécurité.
  • Client : désigne toute personne morale ou physique agissant dans le cadre de son activité professionnelle ayant souscrit au Service. Tout accès par un consommateur non-professionnel est expressément exclu.
  • Compte : désigne l’espace personnel créé par le Client sur la plateforme, protégé par des identifiants confidentiels dont la garde incombe exclusivement au Client.

ARTICLE 2 — NATURE ET PÉRIMÈTRE DU SERVICE — CLAUSE ESSENTIELLE

Cet article est une clause essentielle et déterminante du consentement du Client. Sa lecture et son acceptation conditionnent la validité de la souscription.

2.1 — Ce que le Service est

Le Service propose une auto-évaluation guidée de la maturité cyber de l’organisation du Client, fondée exclusivement sur les réponses déclaratives saisies par le Client lui-même dans un questionnaire structuré. Les questions sont inspirées des référentiels publiés par l’ANSSI. Le rapport généré constitue une photographie de la perception subjective du Client de sa propre situation cyber au moment de la saisie, et non de son état réel de sécurité.

2.2 — Exclusions express et non équivoques — Ce que le Service n’est pas

Le Service n’est en aucun cas :

  • un audit technique de sécurité informatique au sens de la norme ISO 27001 ou de tout autre référentiel technique ;
  • un test d’intrusion (pentest) ou une analyse de vulnérabilités réseau, applicative, système ou matérielle ;
  • un scan ou une inspection technique des systèmes d’information, pare-feux, serveurs, postes ou configurations du Client ;
  • une certification, un label ou une attestation de conformité à une réglementation (RGPD, NIS2, ISO 27001, HDS, PCI-DSS, etc.) ;
  • une garantie ou promesse d’absence de vulnérabilités techniques dans les systèmes du Client ;
  • un document à valeur probatoire opposable à un tiers (assureur, partenaire commercial, juridiction, autorité de contrôle) ;
  • un conseil juridique ou une prestation relevant d’une profession réglementée.

2.3 — Mise en garde obligatoire sur les limites intrinsèques

Le Client reconnaît et accepte expressément que :

  • le Rapport reflète uniquement les informations déclarées par le Client et non la réalité objective de son niveau de sécurité ;
  • des vulnérabilités techniques réelles (configuration réseau, failles applicatives, erreurs de paramétrage) peuvent exister indépendamment et simultanément à un score « satisfaisant » issu du Diagnostic ;
  • le Service ne se substitue pas à un audit réalisé par un prestataire qualifié (label ExpertCyber ou certifié PASSI) ;
  • toute décision de gestion des risques cyber fondée sur le Rapport reste sous la responsabilité exclusive du Client.

ARTICLE 3 — CONDITIONS D’ACCÈS ET SOUSCRIPTION

3.1 — Réservation aux professionnels

Le Service est exclusivement réservé aux personnes agissant dans le cadre de leur activité professionnelle, commerciale, industrielle, artisanale ou libérale, ou au nom d’une personne morale. Toute souscription par un consommateur non-professionnel est nulle et de nul effet. En souscrivant, le Client déclare sur l’honneur agir en qualité de professionnel et engage sa responsabilité en cas de fausse déclaration.

3.2 — Formation du contrat

La souscription s’effectue en ligne selon le parcours suivant : (1) lecture et acceptation expresse des présentes CGV-U par cochage d’une case dédiée ; (2) prise de connaissance de l’avertissement sur la nature déclarative du Service ; (3) validation du paiement ; (4) confirmation par courriel. Le contrat est formé dès la confirmation de paiement.

3.3 — Obligation de sincérité

La fiabilité du Rapport étant directement conditionnée par la qualité des réponses, le Client s’engage à répondre avec sincérité, exactitude et complétude. Toute inexactitude ou omission libère entièrement le Prestataire de toute responsabilité quant aux conclusions du Rapport.

ARTICLE 4 — TARIFS, PAIEMENT ET ABSENCE DE DROIT DE RÉTRACTATION

4.1 — Tarifs

Les tarifs applicables sont ceux affichés sur cyberdiagnostic.fr au jour de la souscription, exprimés en euros TTC. Le Prestataire se réserve le droit de modifier ses tarifs à tout moment, les modifications étant sans effet sur les souscriptions en cours.

4.2 — Modalités de paiement

Le paiement est exigible intégralement et immédiatement à la souscription, par carte bancaire ou tout autre moyen proposé sur la plateforme. Le Prestataire utilise un prestataire de paiement sécurisé et ne conserve aucune donnée bancaire du Client.

4.3 — Absence de droit de rétractation

Conformément à l’article L.221-28, 1° du Code de la consommation, applicable par analogie dans les relations B2B, le Client professionnel reconnaît que la fourniture du Rapport constitue un contenu numérique à exécution immédiate dès validation du paiement. En conséquence, aucun remboursement ne pourra être accordé une fois le questionnaire complété et le Rapport généré, sauf défaut technique avéré du Service imputable exclusivement au Prestataire.

ARTICLE 5 — OBLIGATIONS ET RESPONSABILITÉS DU CLIENT

Le Client s’engage à :

  • utiliser le Service exclusivement à des fins licites et dans le respect des présentes CGV-U ;
  • ne pas reproduire, redistribuer, commercialiser ou divulguer le Rapport à des tiers sans autorisation écrite préalable du Prestataire ;
  • conserver la confidentialité de ses identifiants de Compte et notifier sans délai tout accès non autorisé ;
  • ne pas présenter le Rapport comme un audit certifié, une attestation de conformité ou tout document à valeur probatoire auprès d’un assureur, partenaire, juridiction ou autorité de contrôle ;
  • assumer seul l’entière responsabilité des décisions prises sur la base du Rapport.

ARTICLE 6 — LIMITATION DE RESPONSABILITÉ — CLAUSE ESSENTIELLE

Cet article constitue une clause de limitation de responsabilité expressément convenue entre professionnels, valable conformément à la jurisprudence française (Cass. com.) sur les contrats B2B. Son acceptation est une condition sine qua non de la souscription.

6.1 — Obligation de moyens

Le Prestataire est soumis à une obligation de moyens et non de résultat. Il s’engage à fournir un questionnaire structuré inspiré des référentiels de l’ANSSI et un Rapport généré sur la base des réponses du Client. Il ne s’engage en aucun cas sur l’exhaustivité, l’exactitude ou la complétude du Rapport au regard de la réalité technique des systèmes du Client.

6.2 — Exclusion de garantie de résultat

Le Prestataire exclut expressément toute garantie quant à :

  • l’absence de vulnérabilités techniques dans les systèmes d’information du Client après utilisation du Service ;
  • la conformité du Client à une réglementation quelconque (RGPD, NIS2, ISO 27001, etc.) ;
  • la prévention ou l’atténuation de tout incident de sécurité, cyberattaque ou violation de données postulés à l’utilisation du Service.

6.3 — Plafond contractuel d’indemnisation

En tout état de cause, la responsabilité totale du Prestataire, toutes causes confondues, est expressément et irrévocablement limitée au montant TTC effectivement payé par le Client pour la souscription concernée. Cette limitation s’applique à tout type de préjudice, direct ou indirect.

6.4 — Exclusion des dommages indirects

Le Prestataire ne saurait être tenu responsable de dommages indirects, notamment : pertes d’exploitation, pertes de données, préjudices d’image, coûts de remise en état des systèmes, réclamations de tiers, amendes réglementaires (CNIL, autorités NIS2), ou tout autre préjudice consécutif à un incident de cybersécurité survenu après l’utilisation du Service, y compris lorsque le Client a été informé de la possibilité d’un tel dommage.

6.5 — Exonération par le défaut de sincérité du Client

La responsabilité du Prestataire est entièrement exonérée lorsque le préjudice allégué résulte, en tout ou partie, de réponses inexactes, incomplètes ou erronées fournies par le Client lors du Diagnostic Déclaratif, ou d’une utilisation du Rapport contraire aux présentes CGV-U.

6.6 — Limites légales impératives

Conformément au droit français, les présentes clauses limitatives sont inapplicables en cas de faute dolosive ou de faute lourde caractérisée du Prestataire, ou en cas de déséquilibre significatif au sens de l’article L.442-1 du Code de commerce. Les limitations ci-dessus ne s’appliquent pas non plus aux dommages corporels.

ARTICLE 7 — PROPRIÉTÉ INTELLECTUELLE

L’intégralité du Service — plateforme, questionnaires, algorithmes de scoring, méthodologies, interfaces et Rapports générés — est et demeure la propriété exclusive du Prestataire, protégée par le droit de la propriété intellectuelle. La souscription confère au Client un droit d’usage personnel, non exclusif, non cessible et non sublicenciable, limité à l’utilisation interne de son organisation.

Sont notamment interdits : la reproduction du Rapport à des fins commerciales, sa revente, son intégration dans une offre tiers, ou toute utilisation créant une confusion avec une certification officielle.

ARTICLE 8 — PROTECTION DES DONNÉES PERSONNELLES (RGPD)

Le Prestataire traite les données personnelles du Client en qualité de responsable de traitement, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés modifiée. Les données collectées sont utilisées exclusivement pour la fourniture du Service et ne sont pas cédées à des tiers à des fins commerciales.

Les réponses au questionnaire sont traitées de manière strictement confidentielle. Le Client dispose des droits d’accès, de rectification, d’effacement, de portabilité et d’opposition, exerçables à l’adresse admin@cyberdiagnostic.fr . En cas de réclamation, le Client peut saisir la CNIL (cnil.fr). Une politique de confidentialité détaillée est disponible sur cyberdiagnostic.fr.

ARTICLE 9 — LOYAUTÉ COMMERCIALE ET DESCRIPTION EXACTE DU SERVICE

Le Prestataire s’engage à présenter son Service de manière exacte, loyale et non trompeuse, conformément à l’article L.121-2 du Code de la consommation, applicable entre professionnels depuis la loi Hamon (2014), et à l’article L.442-1 du Code de commerce.

Le Prestataire rappelle expressément que les termes employés dans ses supports de communication — notamment « score de maturité », « plan d’action priorisé », « évaluation du risque » ou « inspiré des référentiels ANSSI » — réfèrent exclusivement à une auto-évaluation déclarative et non à une analyse technique des systèmes du Client. Ces termes ne préjugent pas de l’état réel de sécurité des systèmes concernés et ne confèrent aucun droit de se prévaloir d’une quelconque conformité ANSSI.

ARTICLE 10 — DISPONIBILITÉ DU SERVICE ET FORCE MAJEURE

Le Prestataire s’efforce d’assurer la disponibilité du Service 24h/24 et 7j/7, sans toutefois s’engager sur un taux de disponibilité garanti en l’absence de SLA spécifique. Des interruptions pour maintenance ou incidents techniques peuvent survenir sans préavis ni indemnisation.

Le Prestataire ne saurait être tenu responsable d’un cas de force majeure au sens de l’article 1218 du Code civil, notamment : cyberattaque visant sa propre infrastructure, panne d’un sous-traitant technique essentiel, décision administrative ou législative imprévisible.

ARTICLE 11 — DURÉE, SUSPENSION ET RÉSILIATION

Pour les offres à l’acte unique, le contrat s’exécute et prend fin à la fourniture du Rapport. Pour les offres par abonnement, le contrat est conclu pour la durée précisée lors de la souscription et se renouvelle par tacite reconduction, sauf dénonciation par l’une ou l’autre des parties trente (30) jours avant l’échéance.

Le Prestataire se réserve le droit de suspendre ou résilier l’accès au Service sans préavis en cas de manquement grave du Client : usage frauduleux, non-paiement, violation des droits de propriété intellectuelle, ou utilisation du Rapport contraire à l’article 5.

ARTICLE 12 — DROIT APPLICABLE ET COMPÉTENCE JURIDICTIONNELLE

12.1 — Droit applicable

Les présentes CGV-U sont soumises au droit français, à l’exclusion de toute autre loi ou convention internationale, y compris la Convention de Vienne sur la vente internationale de marchandises.

12.2 — Règlement amiable obligatoire préalable

En cas de litige, le Client s’engage à contacter préalablement le Prestataire par courriel à admin@cyberdiagnostic.fr afin de rechercher une solution amiable. Un délai de trente (30) jours est accordé à compter de la réception de la réclamation. Cette étape est obligatoire avant toute saisine juridictionnelle.

12.3 — Compétence juridictionnelle

En cas d’échec de la résolution amiable, et conformément à l’article 48 du Code de procédure civile, les parties attribuent compétence exclusive au Tribunal de commerce de Pantoise pour tout litige relatif à la formation, l’interprétation ou l’exécution des présentes, y compris en cas de pluralité de défendeurs ou d’appel en garantie.

ARTICLE 13 — DISPOSITIONS DIVERSES

Si l’une quelconque des dispositions des présentes CGV-U était déclarée nulle par une juridiction, les autres dispositions demeureront en vigueur. La disposition nulle sera remplacée par la disposition légale la plus proche de l’intention initiale des parties.

Le Prestataire se réserve le droit de modifier les présentes CGV-U à tout moment. Les modifications s’appliquent à toute nouvelle souscription dès publication sur cyberdiagnostic.fr. Pour les abonnements en cours, un préavis de trente (30) jours est accordé au Client pour résilier s’il refuse les nouvelles conditions.