Les présentes Conditions Générales d'Utilisation et de Vente (CGU/CGV) régissent l'ensemble des relations contractuelles entre CRA Direct et ses Clients professionnels dans le cadre de l'accès aux modules de conformité du Cyber Resilience Act.
1. Mentions Légales
Conformément aux dispositions de l'Article 6 de la Loi n° 2004-575 du 21 juin 2004 pour la Confiance dans l'Économie Numérique (LCEN), il est précisé aux utilisateurs de la Plateforme l'identité des différents intervenants dans le cadre de sa réalisation et de son suivi :
- Éditeur : La Plateforme et le site internet associés sont édités par la société CRA Direct, SAS en cours d'immatriculation au Registre du Commerce et des Sociétés (RCS) de Paris, ayant son siège social en France, et dont l'adresse e-mail principale est contact@cra-direct.fr.
- Directeur de la publication : Le Directeur Général de CRA Direct (contact direct à l'adresse e-mail de l'Éditeur).
- Hébergeur : La Plateforme est hébergée sur le territoire de l'Union Européenne par la société OVH SAS, filiale d'OVHcloud, domiciliée au 2 rue Kellermann, 59100 Roubaix, France (Téléphone : +33 9 72 10 10 07 - site web : www.ovhcloud.com).
2. Objet et Opposabilité des Conditions
Les présentes Conditions Générales (ci-après les « CGU/CGV ») ont pour objet de fixer le cadre contractuel applicable à tout accès et à toute utilisation de la Plateforme accessible à l'adresse https://cra-direct.fr (ci-après la « Plateforme ») par un client professionnel (ci-après « le Client ») ou un utilisateur individuel agissant pour le compte d'une entreprise (ci-après « l'Utilisateur »).
L'accès à la Plateforme et la souscription à nos abonnements ou diagnostics impliquent l’acceptation pleine, entière et sans réserve des présentes CGU/CGV par le Client. Aucune condition particulière ou aucun document commercial émanant du Client (y compris d'éventuelles conditions d'achat) ne saurait prévaloir sur les présentes conditions, sauf accord écrit, préalable et express de CRA-Direct.
CRA Direct se réserve le droit de modifier les présentes CGU/CGV à tout moment. Les conditions applicables sont celles en vigueur à la date de souscription de l'abonnement ou de sa reconduction.
3. Accès aux Services et Création de Compte
Les services proposés par CRA Direct sont exclusivement destinés à un public de professionnels (personnes physiques ou morales) agissant dans le cadre de leur activité commerciale, industrielle, artisanale ou libérale (relations B2B).
L'accès aux modules d'évaluation et de conformité continue requiert la création préalable d'un compte utilisateur en ligne. Le Client s'engage à fournir des informations d'identification exactes, exhaustives et à jour.
Les identifiants et mots de passe créés sont strictement personnels et confidentiels. Le Client s'engage à mettre en œuvre toutes les mesures de sécurité nécessaires pour en préserver le secret. Il est seul responsable de toute utilisation de la Plateforme faite sous ses identifiants. En cas de perte, de vol ou d'utilisation frauduleuse de ses accès, le Client doit en avertir immédiatement CRA Direct à l'adresse contact@cra-direct.fr.
4. Services et Modules de la Plateforme
CRA Direct propose une suite logicielle intégrée sur site ou cloud privé conçue pour accompagner les fabricants, importateurs et distributeurs dans leur conformité au règlement européen sur la cyberrésilience (Cyber Resilience Act - CRA) :
- CRA Direct Assess : Module d'évaluation de la maturité réglementaire comprenant la cartographie des rôles d'opérateurs économiques, la classification des produits (standard, important de classe I ou II, ou critique), l'analyse d'écarts par rapport aux exigences essentielles de l'Annexe I, la vérification de la documentation technique de l'Annexe VII et la génération de drafts de Déclarations UE de Conformité.
- CRA Direct Operate : Module opérationnel assurant l'ingestion continue de nomenclatures logicielles (SBOM), la surveillance des vulnérabilités CVE, le triage automatisé et manuel avec enregistrement des déclarations d'exploitabilité (VEX), le support à la préparation des signalements obligatoires d'incidents graves sous 24 heures et la constitution des pistes d'audit exigées par les autorités nationales de contrôle.
5. Conditions Financières et Modalités de Règlement
A. Tarification
Les tarifs des abonnements et des options de diagnostic sont indiqués sur le site en Euros et s'entendent Hors Taxes (HT). Ils seront majorés de la TVA applicable en France (actuellement 20 %) au moment de la facturation.
B. Modalités de Paiement
Le règlement des abonnements s'effectue par carte bancaire, prélèvement SEPA ou virement bancaire. Les abonnements sont facturés et payables d'avance en début de période (mensuelle ou annuelle).
C. Retard de paiement et suspension
Tout défaut ou retard de paiement à l'échéance entraînera de plein droit et sans mise en demeure préalable :
- L’application de pénalités de retard égales à trois (3) fois le taux d'intérêt légal français en vigueur.
- Le paiement d'une indemnité forfaitaire pour frais de recouvrement d'un montant de quarante (40) Euros HT (conformément à l'Article L. 441-10 du Code de commerce).
- La faculté pour CRA Direct de suspendre immédiatement l'accès du Client à son espace de travail et à l'ensemble de ses données d'évaluation, après une mise en demeure par e-mail restée sans effet pendant un délai de dix (10) jours calendaires.
6. Propriété Intellectuelle
A. Propriété de la Plateforme
CRA Direct conserve la propriété exclusive de tous les droits de propriété intellectuelle afférents à la Plateforme, y compris le code source, la conception graphique, les marques, les logos, la base de données de diagnostic réglementaire, les algorithmes de triage et les textes explicatifs.
La souscription à la Plateforme n'accorde au Client qu'un droit d’utilisation (licence) personnel, temporaire, non exclusif et non transférable des services de la plateforme pendant la durée de l'abonnement. Le Client s'interdit expressément de copier, modifier, distribuer, vendre, louer ou effectuer toute opération d'ingénierie inverse (reverse engineering) sur tout ou partie des logiciels de la Plateforme.
B. Propriété des données du Client
Le Client conserve la propriété entière et exclusive des données, SBOMs, documents et informations qu'il téléverse ou génère sur son espace de travail. Le Client accorde à CRA Direct une licence limitée d'hébergement, de traitement et de reproduction de ces données dans la seule et unique mesure nécessaire à la bonne exécution des prestations de la plateforme de diagnostic et de détection de vulnérabilités.
7. Obligations des Parties
A. Obligations du Client
Le Client s'engage à utiliser la Plateforme dans le strict respect de la réglementation applicable et des présentes CGU/CGV. Il s'engage en particulier à :
- Ne pas téléverser de données contrefaites, malveillantes (virus, chevaux de Troie) ou portant atteinte aux droits de tiers.
- Fournir des SBOMs authentiques et des informations exactes lors des diagnostics de maturité CRA.
- Ne pas tenter de perturber ou de compromettre la sécurité et la stabilité des infrastructures de CRA-Direct.
B. Obligations de CRA Direct
CRA Direct s'engage à apporter tout le soin nécessaire à la fourniture de services de haute qualité. CRA Direct est tenu à une obligation de moyens pour l'ensemble des services de la plateforme. Nous mettons en œuvre les meilleurs standards de sécurité pour assurer la continuité d'accès à la Plateforme, avec un objectif de disponibilité (SLA) de 99,9 % par an, hors périodes de maintenance programmées (effectuées de préférence en dehors des heures de bureau).
8. Clause de Non-Conseil Juridique et Limitation de Responsabilité
IMPORTANT — AVERTISSEMENT RÉGLEMENTAIRE ET CLAUSE DE NON-CONSEIL : La plateforme CRA Direct fournit des outils logiciels d'auto-évaluation, de gestion technique des SBOMs et d'aide à la préparation administrative des formulaires de signalement d'incidents. En aucun cas les contenus, diagnostics, scores de conformité, rapports exportés ou alertes produits par CRA Direct ne sauraient constituer un avis juridique officiel, une consultation d'avocats ou une certification de conformité réglementaire définitive. Le Cyber Resilience Act (CRA) exigeant des processus stricts d'auto-déclaration de conformité ou d'audits par des organismes tiers notifiés, le Client demeure l'unique responsable juridique de la validation finale de sa documentation technique, du marquage CE apposé sur ses produits, ainsi que de l'envoi effectif et de l'exactitude des signalements de vulnérabilités à l'ENISA et aux CSIRT nationaux sous le délai légal de 24 heures.
CRA Direct ne saurait être tenu responsable :
- De tout dommage résultant d'informations inexactes, incomplètes ou erronées saisies par le Client lors de son diagnostic.
- Des interruptions ou bugs inhérents au réseau Internet ou aux réseaux de télécommunications tiers.
- Des dommages indirects subis par le Client, tels que les pertes de chiffres d'affaires, pertes de clientèle, préjudice commercial, perte d'image de marque ou amendes administratives prononcées par les autorités nationales de surveillance du marché (pouvant atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial).
Plafond de responsabilité : Si la responsabilité de CRA Direct venait à être reconnue au titre de l'utilisation de la Plateforme, le montant total des indemnités dues au Client, toutes causes confondues, ne pourra excéder les sommes effectivement payées par le Client à CRA Direct au titre de son abonnement au cours des douze (12) mois précédant le fait générateur du litige.
9. Durée, Résiliation et Réversibilité
A. Durée
Le présent contrat est conclu pour la durée choisie par le Client lors de sa souscription (mensuelle ou annuelle). À l'issue de cette période initiale, le contrat est reconduit tacitement pour des périodes successives de même durée, sauf résiliation notifiée par l'une ou l'autre des parties.
B. Résiliation pour convenance
La demande de résiliation s'effectue directement via l'espace de gestion de compte de la Plateforme :
- Pour les abonnements mensuels : au moins quinze (15) jours avant la date de renouvellement.
- Pour les abonnements annuels : au moins trente (30) jours avant la date d'échéance annuelle.
C. Résiliation pour manquement
En cas de violation grave ou répétée par le Client de ses obligations (notamment le défaut de paiement ou l'atteinte à la propriété intellectuelle), CRA Direct pourra résilier le contrat de plein droit et sans indemnité, 15 jours après l'envoi d'une mise en demeure par e-mail restée infructueuse.
D. Réversibilité des données
Pendant un délai de trente (30) jours suivant la date d'effet de la résiliation du contrat, le Client dispose de la faculté d'exporter l'ensemble de ses données (SBOMs, historiques de diagnostics) dans un format structuré standard (ex. JSON, CSV, SPDX). Passé ce délai de 30 jours, CRA Direct procédera à la suppression définitive des données du Client de ses serveurs de production, sans possibilité de récupération.
10. Droit Applicable et Attribution de Juridiction
Les présentes CGU/CGV et les relations contractuelles entre CRA Direct et le Client sont régies et interprétées conformément au droit français, à l'exclusion de toute convention internationale.
ATTRIBUTION DE JURIDICTION EXCLUSIVE : EN CAS DE LITIGE SURVENANT ENTRE CRA Direct ET UN CLIENT PROFESSIONNEL (B2B) RELATIVEMENT À LA FORMATION, L'INTERPRÉTATION, L'EXÉCUTION OU LA RUPTURE DU PRÉSENT CONTRAT, ET À DÉFAUT DE RÉSOLUTION AMIABLE PRÉALABLE, COMPÉTENCE EXCLUSIVE EST ATTRIBUÉE AU TRIBUNAL DE COMMERCE DE PARIS, NONOBSTANT PLURALITÉ DE DÉFENDEURS, APPEL EN GARANTIE OU PROCÉDURE D'URGENCE (RÉFÉRÉ).