Conditions générales d'utilisation (CGU)

Les présentes CGU définissent les conditions qui s'appliquent entre Nybble, société par actions simplifiée au capital social de 27500 euros, dont le siège social est situé 1137A Avenue des champs blancs, 35510 Cesson Sévigné, immatriculée au registre du commerce et des sociétés de Rennes sous le numéro 891 345 241 (la « Société ») et toute personne physique s'inscrivant sur la plateforme de la Société (l' « Utilisateur ») accessible via l'adresse : https://hub.nybble-analytics.io (la « Plateforme »). La Plateforme est conçue pour aider les organisations à traiter leurs alertes de sécurité et propose deux (2) types de services différents : (i) le Traitement des Alertes, et (ii) le Threat Bounty (ensemble, les « Services ») auxquels une société ou organisation peut souscrire (le « Client »).

Un Utilisateur peut être soit (i) un Utilisateur Client , soit (ii) un Nybbler (analyste sécurité dans le droit commun). Certaines stipulations spécifiques des présentes CGU s'appliqueront soit à un Utilisateur Client, soit à un Nybbler et un Utilisateur doit se référer aux stipulations qui s'appliquent à lui. Tous les termes en majuscules utilisés dans les présentes ont la signification qui leur est donnée en Annexe 1.

1.Prérequis

1.1.Condition d'âge

L'accès à la Plateforme est interdit aux mineurs (en dessous d'un certain âge qui peut différer en fonction de la nationalité de l'Utilisateur).

1.2.Bonne conduite et utilisation conforme de la Plateforme

Chaque Utilisateur doit (i) se comporter de manière professionnelle, respectueuse et courtoise lorsqu'il interagit avec la Société et/ou entre Utilisateurs, et (ii) ne pas faire d'utilisation inappropriée ou dérivée de la Plateforme par rapport à sa finalité telle que décrite dans les présentes CGU. Tout comportement inapproprié ou abusif ou toute utilisation non conforme de la Plateforme par un Utilisateur ne sera toléré par la Société. Dans de telles circonstances, la Société peut, à sa seule discrétion, mettre fin à l'accès et/ou à l'utilisation de la Plateforme d'un Utilisateur de manière temporaire ou permanente. La Société se réserve le droit d'aggraver ou d'amoindrir la sévérité de ces mesures et sanctions en fonction de la nature du manquement et sans tenir compte des manquements antérieurs.

2.Statut de l'utilisateur

2.1.Indépendance des Nybblers

Les Nybblers ne sont pas des employés, des entrepreneurs ou des agents de la Société, mais des tiers indépendants qui souhaitent participer, de manière occasionnelle et non exclusive, au Traitement des alertes Client et aux campagnes de Threat Bounty. Aucune stipulation des présentes ne doit être interprétée comme créant une dépendance ou une subordination, direct ou indirect, avec la Société ou un Client.

2.2.Autorité des Utilisateurs Clients

Si l'accès à la Plateforme est destiné à l'utilisation des Services pour le compte d'un Client, les Utilisateurs garantissent qu'ils ont été dûment désignés pour représenter le Client et toute action ou omission de l'Utilisateur Client seront considérées au même titre que s'il s'agissait des actes et omissions du Client lui-même. La Société se réserve le droit de demander, à tout moment, des documents supplémentaires attestant de la délégation de pouvoir de la personne autorisée à représenter le Client.

2.3.Conflit d'intérêts.

La situation dans laquelle un Utilisateur Client est également enregistré sur la Plateforme en tant que Nybbler peut conduire à un conflit d'intérêts. Dans de telles circonstances, le Nybbler s'engage à ne pas participer aux campagnes de Threat Bounty du Client, à moins que le Client n'en ait été informé à l'avance et n'ait expressément autorisé le Nybbler à poursuivre. Cette situation s'applique également au service de Traitement d'Alertes.

3.Processus d'inscription (Nybblers)

Note : l'inscription des Utilisateurs Client est effectuée par la Société à leur demande, mais reste soumise à l'acceptation de ces mêmes CGU.

3.1.Création d'un compte Utilisateur

Les Utilisateurs doivent fournir certaines informations lorsqu'ils remplissent le formulaire d'inscription disponible sur la Plateforme. Les Utilisateurs sont responsables de la mise à jour de leurs informations personnelles et reconnaissent expressément que la Société ne peut être tenue responsable de toute fausse déclaration concernant leur identité. Si une information s'avère fausse, incomplète ou obsolète, la Société se réserve le droit de refuser ou d'annuler l'inscription et/ou d'interrompre l'accès à la Plateforme.

3.2.Wallet du Nybbler

Sous réserve de fournir les informations requises, le Nybbler disposera d'un Wallet virtuel sur la Plateforme pour le règlement de ses Récompenses (Threat Bounty ou Traitement des Alertes confondues). En fin de mois, un solde de ce wallet est effectué via une facture, sous réserve que le Nybbler ait préalablement accepté le mandat de facturation décrit à l'article 5.1

4.Services

4.1.Rôle des utilisateurs

4.1.1.Participation des Nybblers à une campagne Threat Bounty

Lorsqu'ils sont invités à une campagne de Threat Bounty, les Nybblers sont libres de décider s'ils souhaitent y participer et déterminent à leur seule discrétion les moyens à mettre en œuvre pour trouver les compromissions (action nommée Threat Hunting), sous réserve du respect des règles de la campagne et de la non-altération des systèmes Client. Lors de la rédaction des rapports, le Nybbler reconnaît être tacitement lié par les règles de la campagne de Threat Bounty énoncées par le Client sans qu'il soit nécessaire d'accepter expressément ces règles. Le Nybbler accepte que les règles de la campagne de Threat Bounty aient une valeur contractuelle entre lui et le Client et ne peut donc pas contester la recevabilité, l'opposabilité et/ou le caractère exécutoire de ces règles.

4.1.2.Participation des Nybblers au traitement d'alertes de sécurité

Lorsqu'ils disposent du profil adéquat, les Nybblers sont libres de décider s'ils souhaitent participer au traitement des alertes et déterminent à leur seule discrétion les moyens à mettre en œuvre pour y arriver, sous réserve du respect des règles de la Plateforme concernant ce service.

4.1.3.Gestion d'une campagne par les utilisateurs Client

Les Utilisateurs Client qui ont le pouvoir de représenter et d'engager le Client dans la gestion des Services (le « Représentant du Client ») désignent les Utilisateurs Clients de leur choix pour la gestion de la campagne de Threat Bounty du Client, y compris la sélection des Nybblers. Le Représentant du Client pourra définir un rôle avec des droits d'accès spécifiques pour chaque Utilisateur en fonction de sa fonction et de son implication prévue. La campagne de Threat Bounty est décrite par le Client Utilisateur dans la fiche descriptive/dédiée en ligne sur la Plateforme, notamment le périmètre, la configuration du mode public ou privé, l'accès aux systèmes, l'éligibilité, la périodicité, les Récompenses, etc. Dès lors qu'une campagne de Threat Bounty est publiée et qu'un Rapport de Hunting est soumis par un Nybbler, le Client Utilisateur peut valider ledit rapport et récompenser le Nybbler comme décrit à l'article 4.2.

4.1.4.Gestion des alertes par les utilisateurs Client

Les Utilisateurs Client qui ont le pouvoir de représenter et d'engager le Client dans la gestion des Services (le « Représentant du Client ») désignent les Utilisateurs Clients de leur choix pour la gestion du traitement des alertes du Client. Le Représentant du Client est responsable de l'exactitude des informations de contexte transmises à la plateforme en vue du traitement de l'alerte de sécurité par le Nybbler (faux positifs connus, règles de gestion, technologies autorisées ou refusées, etc.) Le Client Utilisateur est libre, à sa convenance, de rendre un avis (noté de 0 à 5) sur tout ou partie de ses alertes traitées par la communauté de Nybbler, selon des critères définis dans la documentation de la Plateforme.

4.2. Le Threat Hunting et ses rapports

4.2.1.Champ d'action des Nybblers

Les Nybblers n'ont pas besoin de consulter le Client avant de réaliser le Threat Hunting et agiront à leur convenance pour le réaliser tant qu'ils agissent dans le cadre des règles de la campagne de Threat Bounty définie par le Client. Les Nybblers comprennent et acceptent que le Threat Hunting ne peut être effectué que dans le respect des règles strictes de la campagne de Threat Bounty du Client concerné et que le non-respect de ces règles pourrait engager leur responsabilité civile et/ou pénale.

À ce titre, les Nybblers acceptent ce qui suit :

  • Limiter strictement leur action au périmètre défini dans la campagne Threat Bounty concernée.
  • Se conformer à toute politique de confidentialité des données définie dans une campagne de Threat Bounty
  • Garder strictement confidentielles les informations du Client auxquelles ils ont pu avoir accès pendant le Threat Hunting, y compris les compromissions et, le cas échéant, toute Donnée Personnelle, (ensemble les "Données"), ce qui signifie que le Nybbler devra :
  • N'utiliser les Données qu'à des fins strictement nécessaires à la bonne exécution du Threat Hunting
  • Ne pas communiquer les Données à un tiers de quelque manière et par quelque moyen que ce soit (notamment oral, papier, numérique).
  • Signaler toute anomalie manifeste à la Société si les Nybblers constatent des failles de sécurité sur la Plateforme ainsi qu'au Client pour toute anomalie manifeste constatée lors du Threat Hunting
  • Ne pas utiliser les Données pour le développement, la production ou la commercialisation d'un système portant atteinte aux droits du Client, à son activité et/ou lui faisant concurrence directement ou indirectement.
  • Garantir le respect des Droits de Propriété Intellectuelle du Client, à tout moment et en particulier, lors de l'exécution du Threat Hunting, y compris mais non limité aux logiciels utilisés et aux licences d'exploitation.
  • Ne pas participer à une campagne privée de Threat Bounty auquel ils n'ont pas été invités par un Client.

Les Nybblers reconnaissent et acceptent que la Société agit en tant qu'intermédiaire et n'intervient en aucune façon dans la relation avec le Client. Dans le cas où les Nybblers ont des contacts avec les Clients, ils restent seuls responsables du contenu de leurs échanges avec le Client.

4.2.2.Participation de l'utilisateur Client

L'Utilisateur Client doit effectuer et maintenir la sauvegarde de ses données, fichiers, supports contre la destruction, la perte ou l'altération. Il est également garant du bon fonctionnement du système utilisé lors de la campagne de Threat Bounty. L'Utilisateur Client reconnaît expressément qu'il ne sera pas consulté avant le Threat Hunting pendant la période définie dans la campagne de Threat Bounty. En d'autres termes, le Nybbler cherchera des compromissions sur le système Client pendant la période définie dans la campagne de Threat Bounty sans consulter l'Utilisateur Client.

4.2.3.Collaboration entre Nybblers et utilisateurs Client

Les Utilisateurs Client s'efforcent de bonne foi de maintenir une communication rapide et transparente avec les Nybblers et les Nybblers s'efforcent de bonne foi de clarifier et d'étayer les Rapports de Hunting soumis à la demande des Utilisateurs Client.

L'Utilisateur Client déterminera si les compromissions sont valides et leur niveau de gravité. Les Nybblers qui ont été les premiers à découvrir une compromission valide et qui ont établi un Rapport de Hunting clair avec un niveau de gravité conforme à la campagne de Threat Bounty en question seront récompensés par le Client sous forme de Récompenses. La Société ne sera pas responsable des Récompenses non payées aux Nybblers.

Dans le cadre d'une campagne de Threat Bounty, sous réserve du respect par le Nybbler des règles fixées par le Client et les CGU, l'Utilisateur Client reconnaît que (i) les recherches réalisées par les Nybblers sont autorisées et opérées avec le consentement exprès du Client et sous sa seule responsabilité ; et (ii) les actes réalisés par les Nybblers ne peuvent faire l'objet de poursuites pénales ou civiles.

4.3.Le traitement des alertes de sécurité

4.3.1.Champ d'action des Nybblers

Les Nybblers n'ont pas besoin de consulter le Client avant de réaliser la qualification des alertes et agiront à leur convenance pour la réaliser tant qu'ils agissent dans le cadre des règles de la Plateforme. Les Nybblers comprennent et acceptent que la qualification des alertes ne peut être effectuée que dans le respect des règles strictes de la Plateforme et que le non-respect de ces règles pourrait engager leur responsabilité civile et/ou pénale.

À ce titre, les Nybblers acceptent ce qui suit :

  • Limiter strictement leur action au périmètre défini dans la campagne Threat Bounty concernée.
  • Respecter le niveau de confidentialité des données présentes dans l'alerte défini via les marquages TLP/PAP présents dans celle-ci. En d'autres termes, le Nybbler doit prendre connaissance des niveaux demandés et sélectionner ces outils / sites utilisés lors de la qualification afin de ne pas diffuser la donnée en dehors du périmètre autorisé via les marquages TLP/PAP
  • Garder strictement confidentielles les informations du Client auxquelles ils ont pu avoir accès pendant la qualification de l'alerte, y compris les compromissions et, le cas échéant, toute Donnée Personnelle, (ensemble les "Données"), ce qui signifie que le Nybbler devra :
  • N'utiliser les Données qu'à des fins strictement nécessaires à la bonne exécution de la qualification d'alerte
  • Ne pas communiquer les Données à un tiers de quelque manière et par quelque moyen que ce soit (notamment oral, papier, numérique).
  • Signaler toute anomalie manifeste à la Société si les Nybblers constatent des failles de sécurité sur la Plateforme ainsi qu'au Client pour toute anomalie manifeste constatée lors de la qualification d'alerte
  • Ne pas utiliser les Données pour le développement, la production ou la commercialisation d'un système portant atteinte aux droits du Client, à son activité et/ou lui faisant concurrence directement ou indirectement.
  • Garantir le respect des Droits de Propriété Intellectuelle du Client, à tout moment et en particulier, lors de l'exécution de la qualification d'alerte, y compris mais non limité aux logiciels utilisés et aux licences d'exploitation.

4.3.2.Participation de l'utilisateur Client

L'Utilisateur Client doit effectuer et maintenir la sauvegarde de ses données, fichiers, supports contre la destruction, la perte ou l'altération. Il est également garant du bon fonctionnement du système utilisé lors de la qualification d'alertes. L'Utilisateur Client reconnaît expressément qu'il ne sera pas consulté par le Nybbler durant la qualification d'alertes. L'Utilisateur Client est également responsable de la conformité et du niveau de confidentialité des informations fournies sur la Plateforme (nommées « informations de contexte ») qui servent d'aide à la qualification de l'alerte par le Nybbler.

4.3.3.Collaboration entre Nybblers et utilisateurs Client

Il n'y a pas de collaboration entre les Nybblers et les Utilisateurs Client. Toute communication ou besoin de collaboration passe par l'intermédiaire des équipes de Nybble.

4.4.Sécurité

4.4.1.Détournement de la Plateforme

Les Utilisateurs devront informer la Société sans délai, par tout moyen, de toute erreur, défaut ou irrégularité qu'ils constateraient lors de l'utilisation de la Plateforme, dès qu'ils en auront connaissance. L'Utilisateur ne doit pas tenter de modifier les en-têtes ou tenter de manipuler les pages de la Plateforme de manière à déguiser, détourner ou modifier la Plateforme. Il est également interdit de créer une œuvre ou un site dérivé de tout ou partie de cette Plateforme, ou de revendre ou redistribuer les données de la Société.

4.4.2.Moyens d'authentification

La combinaison identifiant/mot de passe permettant aux Utilisateurs d'accéder à leur compte est strictement personnelle et confidentielle. Ils s'engagent en conséquence à les garder secrets, à ne pas les communiquer à des tiers sous quelque forme que ce soit. L'Utilisateur reconnaît que toute utilisation de la Plateforme se fait sous sa pleine et entière responsabilité. En conséquence, l'Utilisateur reconnaît que les actions effectuées sur son compte sont présumées être faites par lui et lui seront facturées, à charge pour lui d'apporter la preuve du contraire. La Société se réserve le droit de suspendre l'accès des Utilisateurs à leur compte en cas de compromission avérée ou en cas de suspicion de compromission de leurs moyens d'authentification.

4.4.3.Moyens techniques pour accéder à la Plateforme

Il appartient aux Utilisateurs de s'équiper de manière appropriée, notamment en termes de communications informatiques et électroniques, pour accéder à la Plateforme et aux Services associés et de prendre toutes les mesures adéquates pour se protéger, protéger la Société et les systèmes testés contre toute attaque ou dommage qui pourrait affecter les données, logiciels ou contenus stockés sur la Plateforme. La Société n'est pas responsable de la dépréciation des supports informatiques d'un Utilisateur. Par ailleurs, l'Utilisateur reconnaît connaître et comprendre l'Internet et ses limites et, notamment, ses caractéristiques fonctionnelles et ses performances techniques, les risques d'interruption, les temps de réponse pour consulter, interroger ou transférer des informations ou les risques inhérents à tout transfert de données. La Société n'est pas responsable de l'indisponibilité des réseaux qui ne sont pas entièrement sous son contrôle direct.

4.4.4.Responsabilité des Nybblers

Les Nybblers s'interdisent d'entraver le bon fonctionnement de la Plateforme de quelque manière que ce soit, notamment en transmettant tout élément susceptible de contenir un virus ou un programme malveillant susceptible d'endommager ou d'affecter la Plateforme et/ou les Services et, plus largement, le système d'information de la Société et de l'un de ses Clients ou partenaires commerciaux. Tous les coûts et autorisations nécessaires pour se connecter, accéder et utiliser la Plateforme sont et restent à la charge exclusive du Nybbler.

4.5.Disponibilité de la Plateforme

4.5.1.Maintenance de la Plateforme

Sauf cas de Force Majeure, la Société assure, dans le cadre d'une obligation de moyen, la disponibilité et l'accessibilité de la Plateforme. Néanmoins, des opérations de contrôle et de maintenance peuvent être effectuées à tout moment. La Société ne peut être tenue responsable des conséquences qui en découlent pour l'Utilisateur.

4.6.Suspension / Résiliation

La Société se réserve le droit de suspendre temporairement tout ou partie de la Plateforme et le compte des Utilisateurs pour des raisons liées à la sécurité de la Plateforme et/ou des Services, à la sécurité des Utilisateurs ou à une violation avérée ou présumée par les Utilisateurs de l'une de leurs obligations au titre des présentes. La Société se réserve également le droit de résilier unilatéralement les présentes CGU pour des manquements graves et/ou répétés d'un Utilisateur à l'une quelconque de ses obligations au titre des présentes. Cette résiliation interviendra de plein droit, sans délai et sans préjudice des dommages et intérêts que la Société pourrait solliciter.

Un Utilisateur peut, à tout moment, sans préavis et sans avoir à en justifier les raisons, désactiver son compte. La désactivation du compte de l'Utilisateur entraînera la résiliation immédiate des présentes CGU.

5.Conditions financières

5.1.Mandat de facturation

Pour permettre à la Société de facturer en leur nom et pour leur compte les Récompenses qui leur sont attribuées, les Nybblers acceptent expressément et inconditionnellement les termes du Mandat de Facturation (Annexe 2). Il est expressément convenu que le Mandat de Facturation doit être dûment complété et accepté par les Nybblers sur leur compte personnel. A défaut, toute opération initiée par les Nybblers ne pourra donner lieu à paiement.

5.2.Récompenses pour le Threat Bounty

Les Nybblers collecteront les Récompenses attribuées par l'Utilisateur Client sur leur compte Wallet virtuel, à la discrétion de l'Utilisateur Client et conformément à la campagne de Threat Bounty concernée. La Société émettra une facture, au nom des Nybblers, en fin de mois, avec l'entièreté des récompenses obtenues durant le mois échu. Les récompenses sont exprimées dans en euros, TVA comprise.

5.3.Récompenses pour le traitement des alertes

La Société émettra une facture, au nom des Nybblers, correspondant au nombre d'alertes traitées dans le mois échu, selon la commission en vigueur actuellement dans la Plateforme. La somme sera versée directement au Nybbler via le moyen de paiement fourni durant son enregistrement. Les récompenses sont exprimées dans en euros, TVA comprise.

En cas de récompenses pour le Threat Bounty et le traitement des alertes, 1 seule facture sera émise et 1 seul paiement sera effectué.

5.4.Statut des Nybblers

Les Nybblers sont informés que leur activité sur la Plateforme est susceptible d'être soumise à l'affiliation à un statut juridique spécifique. Les Nybblers devront donc se renseigner et effectuer les formalités nécessaires à l'acquisition du statut juridique correspondant à leur situation. Les Nybblers sont également informés que les revenus tirés de leur activité sur la Plateforme sont soumis à diverses obligations légales, sociales, comptables et fiscales, notamment en fonction de la territorialité fiscale. Les Nybblers reconnaissent expressément qu'il est de leur seule responsabilité de s'informer de ces obligations et de s'y conformer. Les Nybblers devront effectuer toutes les déclarations requises par les administrations fiscales et les organismes de sécurité sociale dont ils relèvent, en fonction de leur statut et de leur pays de résidence dans et hors de l'Union européenne.

5.5.Obligations de la Société envers les Nybblers

La Société ne peut en aucun cas être impliquée dans l'une quelconque des démarches ci-dessus et sa responsabilité ne peut, en aucun cas et pour quelque motif que ce soit, être recherchée au titre de l'une quelconque de ces obligations légales, sociales, comptables et fiscales. Les obligations de la Société sont strictement limitées à :

  • informer les Nybblers de l'existence de ces obligations qui doivent être réalisées par les Nybblers, à leurs propres frais, et
  • leur fournir un document récapitulant l'ensemble des transactions effectuées sur la Plateforme.

6.Propriété intellectuelle

6.1.Les DPI de la plateforme

La Société demeure le propriétaire exclusif de l'ensemble des DPI relatifs à la Plateforme et aux Matériels. Aux fins des présentes, le terme « Matériel » désigne tous les matériaux mis à la disposition du Client par la Société (y compris, mais sans s'y limiter, toutes les informations accessibles, les textes, les photos, les images, les sons, les données, les bases de données, les rapports de Threat Bounty téléchargeables, et les logiciels et autres technologies mises à disposition).

L'Utilisateur ne peut en aucun cas stocker, reproduire, représenter, modifier, transmettre, publier, adapter sur quelque support que ce soit, par quelque moyen que ce soit, ou utiliser de quelque manière que ce soit, les éléments de la Plateforme et/ou des Matériels sans l'autorisation écrite préalable de la Société.

Chaque partie est et restera le propriétaire, en ce qui la concerne, de ses signes distinctifs, à savoir les marques, dénominations sociales et autres, noms commerciaux, marques et noms de domaine. La reproduction, l'imitation ou l'apposition, en tout ou partie, de marques ou de dessins ou modèles appartenant à la Société est strictement interdite sans son accord préalable et écrit.

L'Utilisateur doit respecter toutes les mentions relatives aux Droits de Propriété Intellectuelle figurant sur la Plateforme et/ou les Matériels et ne doit pas les altérer, les supprimer, les modifier ou y porter atteinte de toute autre manière.

6.2.Cession des DPI sur les Rapports de compromissions

Le Nybbler s'engage à céder, à titre gratuit, ses DPI sur les Rapports de compromissions au Client concerné pour tous les pays où ils sont protégés, dans toutes les langues, pour toute la durée des DPI légaux des auteurs ou de leurs successeurs, selon toutes les lois applicables, actuelles et futures, y compris les prolongations qui pourraient être apportées à cette durée et sous toutes les formes, présentations et par tous les procédés actuels et futurs.

6.3.Garantie des DPI du Nybbler sur les rapports de compromissions

Le Nybbler garantit être l'auteur unique et exclusif de tout le Rapport de compromission. En conséquence, dans toute la mesure permise par la loi applicable, le Nybbler sera tenu responsable, dans les conditions prévues aux CGU, par le Client en cas de violation de cette stipulation et notamment au regard de la législation sur les droits de propriété intellectuelle ou la violation des droits d'auteurs.

7.Confidentialité

Les Utilisateurs ont l'obligation de garder confidentielles toutes les informations (i) auxquelles ils ont accès, (ii) portées à leur connaissance, ou (iii) qu'ils possèdent dans le cadre des Services, que ce soit sous forme orale ou écrite et quel que soit le support, qu'elles soient expressément indiquées comme confidentiel ou non. Les Utilisateurs s'interdisent de divulguer ou de mettre à disposition ces informations à tout tiers pour quelque raison que ce soit et ce quels que soient les liens juridiques et/ou économiques qu'un Utilisateur peut avoir avec ce tiers.

A la fin d'une campagne de Threat Bounty, les Nybblers supprimeront de leur systèmes toutes les informations Client ainsi que les données de toute nature, y compris les Données Personnelles et les Rapports de compromission qu'ils ont créés. Les Nybblers produiront, à tout moment et à la première demande du Client, tout certificat attestant de la suppression desdites informations.

8.Données personnelles

Afin de fournir l'accès à la Plateforme, la Société traite les Données Personnelles des Utilisateurs, en sa qualité de Responsable du traitement ou de Responsable du traitement conjoint avec son prestataire de service de paiement. Le détail de ces traitements est disponible dans la Politique de Confidentialité de la Plateforme : https://docs.nybble-security.io/fr/nybble-hub/privacy-policy

Dans le cadre des services de traitement d'alertes et de Threat Bounty, les Nybblers pourront avoir accès aux Données Personnelles traitées par le Client. Les Nybblers assureront la sécurité et la confidentialité desdites Données Personnelles et prendront toutes les mesures techniques et organisationnelles nécessaires pour éviter la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé aux Données Personnelles, qu'elles soient accidentelles ou illicites. Les Nybblers ne doivent pas utiliser ou traiter ces Données Personnelles, et doivent se conformer à toute politique de confidentialité des données énoncée dans le programme de Threat Bounty (le cas échéant) ou à defaut, dans la politique de confidentialité susmentionnée.

Un Utilisateur peut exercer ses droits en matière de données personnelles en écrivant à l'adresse suivante : contact@nybble.bzh

9.Responsabilité

9.1.Responsabilité de la Société

La Société ne sera en aucun cas responsable de :

  1. L'utilisation ou la mauvaise utilisation de la Plateforme et/ou des Services par un Utilisateur ;
  2. La non-exécution, de la défaillance, du dysfonctionnement ou de l'indisponibilité de la Plateforme et/ou des Services résultant de l'action ou de l'omission d'un tiers ou d'un Utilisateur (à l'exception des responsables du traitement des données de la Société, le cas échéant) ;
  3. Manquement de l'Utilisateur Client à ses obligations (par exemple, inexactitude, erreur, omission) dans la définition et la gestion d'une campagne de Threat Bounty ou, dans le cadre du service de traitement d'alertes, le non-accès aux ressources nécessaires à l'exécution de la qualification (SIEM, EDR ou autre)
  4. Le non-respect des présentes CGU, la violation des règles du Programme ou de tout autre accord par les Nybblers
  5. La suspension de l'accès à la Plateforme et/ou aux Services dans les conditions définies à l'article 4.6 ; et
  6. Les incidents dus à l'utilisation d'Internet (ex : perte de connectivité...).

Toute réputation, classification ou description des compétences d'un Nybbler dans le cadre du Service de Threat Bounty n'a qu'une valeur informative.

La Société apporte son soutien à la rédaction des campagnes de Threat Bounty et des Rapports de compromission et n'intervient, dans le cadre d'une campagne de Threat Bounty, qu'en tant qu'intermédiaire pour présenter les Nybblers aux Clients et aux Utilisateurs Clients qui lui sont liés. La Société ne pourra donc être tenue responsable de tout dommage causé par le manquement d'un Client, d'un Utilisateur, ou d'un Nybbler à ses obligations, que ce soit partiellement ou totalement.

La Société ne propose ni n'effectue aucune modification/adaptation sur les Rapports de compromission. Par conséquent, la Société ne peut en aucun cas être tenue responsable du contenu de tout Rapport de compromission, y compris, mais sans s'y limiter, (i) toute erreur ou omission, ou (ii) toute perte ou tout dommage de quelque nature que ce soit résultant de l'utilisation d'un Rapport de compromission.

9.2.Responsabilité des Nybblers

Le Nybbler est responsable de tous les dommages causés à la Société et/ou aux autres Utilisateurs. Le Nybbler s'engage à indemniser la Société et/ou les Utilisateurs, en cas de condamnation à des dommages et intérêts que la Société ou les Utilisateurs pourraient encourir du fait du non-respect des présentes CGU ou de dommages causés à autrui ou à lui-même. Toute action entreprise en dehors des limites fixées soit par une campagne de Threat Bounty, soit par la Plateforme concernant le Service de Traitement d'Alertes peut entraîner une responsabilité civile et/ou pénale.

9.3.Responsabilité des Utilisateurs Client (Threat Bounty)

L'Utilisateur Client est seul responsable de la désignation des systèmes du Client et doit régulièrement revoir et maintenir à jour la liste des systèmes exclus du périmètre de recherche. Il est également seul responsable de la disponibilité du SIEM ou EDR à la source de la recherche. L'Utilisateur Client est également responsable d'accepter ou non les compromissions soumises par les Nybblers.

9.4.Responsabilité des Utilisateurs Client (Traitement d'Alertes)

L'Utilisateur Client est seul responsable de la qualité et la fraicheur des données de contexte présentes dans les alertes affichées dans la Plateforme. Il est également seul responsable de la disponibilité du SIEM ou EDR à la source de l'alerte et utilisé par les Nybblers pour traiter l'alerte.

10.Conformité

Les Utilisateurs ne peuvent pas utiliser les Services s'ils font l'objet ou sont la cible de sanctions économiques ou financières imposées, administrées ou appliquées par le gouvernement des États-Unis (y compris par l'Office of Foreign Assets Control du Département du Trésor des États-Unis ou le Département d'État des États-Unis), l'Union européenne ou l'un de ses États membres, le Conseil de sécurité des Nations Unies ou le Royaume-Uni (y compris par l'Office of Financial Sanctions Implementation du Trésor de Sa Majesté).

11.Loi applicable et juridiction compétente

Les présentes CGU sont régies par le droit français. Si un litige survient entre un Utilisateur et la Société et/ou entre Utilisateurs en relation avec l'utilisation de la Plateforme, chacun s'efforcera de régler à l'amiable tout litige et, dans cette mesure, à travailler de bonne foi avec la Société pour résoudre le différend à la satisfaction de toutes les parties. Tout litige ou réclamation découlant des présentes CGU, de leur objet ou de leur formation (y compris tout litige ou réclamation non contractuel) sera soumis à la compétence exclusive des tribunaux compétents de Rennes, et les parties se soumettent irrévocablement à la compétence exclusive de ces tribunaux à ces fins.

12.Dispositions générales

12.1.Force Majeure

Aucune des parties ne sera responsable envers l'autre de tout retard ou de toute inexécution de ses obligations en vertu des présentes CGU résultant d'un cas de Force Majeure. La partie affectée doit immédiatement en informer l'autre partie et s'efforcer de réduire autant que possible les effets dommageables résultant de cette situation. Chaque partie supportera tous les coûts qui lui incombent résultant de la survenance de l'événement de Force Majeure.

12.2.Survie

En cas de résiliation ou de résiliation anticipée des présentes CGU pour quelque raison que ce soit, ou d'interruption ou de suppression des Services, de la Plateforme ou d'un compte Utilisateur, toute disposition ou condition des présentes CGU destinée à survivre à cette résiliation survivra et n'affectera pas la validité des droits et obligations énoncés dans les sections intitulées « Données personnelles », « Confidentialité », « Propriété intellectuelle », « Responsabilité », « Droit applicable et juridiction », ainsi que toute autre disposition des présentes CGU qui, par leur nature ou en vertu de dispositions spécifiques, se prolongent au-delà de la fin ou de l'expiration des présentes CGU.

12.3.Convention de preuve

En cas de litige, les Utilisateurs et la Société conviennent que les données telles que les clics et doubles clics, les jetons d'horodatage et les dates certifiées numériquement, les données de connexion relatives aux actions effectuées à partir du compte et les certificats et signatures électroniques transmis sont admissibles en justice et font la preuve des données et des faits qu'ils contiennent ainsi que des signatures et des procédures d'authentification qu'ils expriment.

12.4.Liens hypertextes

Les CGU peuvent contenir des liens hypertextes vers des documents juridiques de tierces parties sur lesquels la Société n'a aucun contrôle. L'Utilisateur reconnaît et accepte que les documents auxquels il peut être fait référence par le biais de ces liens puissent être modifiés, amendés et/ou altérés et que ces modifications, amendements et/ou altérations soient opposable et invocable à l'encontre de l'Utilisateur.

12.5.Notifications

Toute notification requise dans le cadre des CGU, y compris toute notification d'une réclamation ou d'événement pouvant enclencher la responsabilité, devra être faite par écrit, par lettre recommandée avec accusé de réception (LRAR), par courrier électronique avec accusé de réception ou par tout autre moyen dont la réception peut être prouvée, à l'adresse indiquée dans le compte de l'Utilisateur.

Annexe 1 : Définitions

Alerte de Sécurité

Désigne une notification produite par un outil de surveillance ou un système de détection. L'alerte se produit lorsqu'un événement susceptible de révéler une activité malveillante ou une violation de sécurité a été identifié. Les alertes de sécurité sont généralement générées à la suite d'une analyse automatisée des événements de sécurité. Une intervention humaine permet d'évaluer leur gravité et de confirmer ou non leur caractère malveillant.

Campagne de Threat Bounty

désigne le programme créé par le Client pour inviter les Nybblers à rechercher des Compromissions sur ses systèmes, et qui contient une description complète des termes, conditions et exigences auxquels les Nybblers doivent consentir, y compris le champ d'application des recherches autorisées par le Client (désignation des systèmes, éligibilité, périodicité, exclusions, etc.) et les Récompenses, le cas échéant, que le Client accorde aux Nybblers qui sont invités et participent à ce Programme. Le Client peut choisir de faire fonctionner la campagne (i) en mode privé, où seuls les Nybblers invités par le Client sont informés de l'existence d'une telle campagne et sont habilités à y participer (« Campagne Privée »), ou (ii) en mode public, où la Campagne est publiée sur la Plateforme et n'importe quel Nybbler remplissant les conditions prévues par le Programme peut y participer (« Campagne Publique »).

Compromission

Désigne tout évènement ou anomalie constatée dans les logs de l'outil de surveillance du Client. Elle est caractérisée par une gravité, un impact, une faille exploitée et peut être issue d'un évènement unique ou d'une cascade d'évènement. Le Nybbler détaillera l'entièreté de ces caractéristiques dans un rapport de Compromission que le Client pourra relire, valider, et réutiliser pour corriger cette compromission sur les systèmes concernés.

Données Personnelles

Données Personnelles, ainsi que les termes de « Personne Concernée », « Traitement », « Responsable du traitement », « Sous-traitant », « Destinataire », et « Violation de Données à Caractère Personnel » renvoient aux définitions de l'article 4 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 sur la protection des Données à Caractère Personnel.

Droits de Propriété Intellectuelle (DPI)

désigne tous les droits de propriété intellectuelle, y compris mais sans s'y limiter, les droits d'auteur, droits des logiciels, droits sur des programmes informatiques, droits des bases de données, droits des brevets, droits sur les inventions, droits sur les marques de commerce, les marques distinctives, les droits de conception, les secrets commerciaux et les savoir-faire, tous autres droits de propriété intellectuelle enregistrés ou non, comprenant l'ensemble des dépôts (ou droit de déposer auprès de tout office national ou étranger compétent), renouvellements ou extensions de ces droits ainsi que tous les droits ou formes de protection similaires ou équivalents existants ou à naître partout dans le monde.

Force Majeure

désigne un événement ou une circonstance échappant au contrôle raisonnable de la partie affectée, qui ne pouvait être raisonnablement prévu lors de l'acceptation des CGU et dont les effets ne peuvent être évités par des mesures appropriées, y compris, mais sans s'y limiter, les cas de catastrophes naturelles, les incendies, les explosions, les mauvaises conditions météorologiques, les inondations, les tremblements de terre, les actes de terrorisme, les émeutes, les troubles civils, les guerres, les hostilités, les grèves les accidents, les actes de gouvernement, le manque d'énergie et les retards des fournisseurs ou les pénuries de transport, d'installations, de carburant, d'énergie, de main-d'œuvre ou de matériaux.

Nybbler

désigne une personne physique ou morale indépendante, analyste en sécurité informatique pouvant agir à titre professionnel ou non selon le contexte des Services. Dans le cadre (i) du Service de Threat Bounty, le Nybbler s'inscrit sur la Plateforme et soumet des Rapports de Compomission contre une Récompense ; (ii) du Service de Traitement d'alertes de Sécurité, le Nybbler s'inscrit sur la Plateforme et qualifie des alertes pour le compte du Client contre une Récompense.

Rapport de compromission

désigne(nt) le(s) rapport(s) décrivant la compromission découverte et fourni(s) par un Nybbler et soumis au Client sur la Plateforme.

Récompenses

désigne la somme d'argent accordée au Nybbler par le Client, dans le cadre d'une Campagne, lorsque le Nybbler signale une Compromission reconnue comme valide selon les règles de la Campagne dans la Plateforme. Pour chaque Compromission, seul le Nybbler qui a soumis le premier rapport valide est récompensé.

Utilisateur Client

désigne le collaborateur du Client ou tout tiers tel que désigné par et représentant le Client, qui utilise la Plateforme et les Services au nom et pour le compte du Client.

Wallet

désigne un espace monétaire virtuel sans valeur officielle permettant de tracer les Récompenses pour chaque Nybbler. Il ne s'agit pas d'un compte bancaire.

Annexe 2 : mandat de facturation

Pour les Nybblers Français

Conformément aux dispositions de l'article 289-I du Code Général des impôts (CGI) et de l'extrait du Bulletin officiel des finances publiques (BOFIP) « TVA - Régimes d'imposition et obligations déclaratives et comptables - Règles relatives à l'établissement des factures - Délivrance de factures », BOI-TVA-DECLA-30-20-10-20140113 :

En cochant la case « J'ai lu et accepte les conditions du présent mandat de facturation », le Nybbler donne expressément mandat à Nybble de facturer en son nom et pour son compte les récompenses qui lui sont dues dans les cadre des Services « Threat Bounty » et « Traitement des Alertes ».

Le Nybbler atteste sur l'honneur qu'il a pris connaissance et respecte les exigences sociales, fiscales et comptable qui lui sont imposées en France. La responsabilité de Nybble ne peut être engagée en cas de défaillance du Nybbler quant à cette vérification.

Le mandataire (Nybble) :

  • s'engage à archiver ou faire archiver de manière sécurisée le présent mandat de facturation afin d'en démontrer l'existence à l'administration fiscale si elle en fait la demande ;
  • s'engage à accomplir tous les actes nécessaires à l'émission et à la mise à disposition de factures vers le Nybbler dans son compte personnel ;
  • s'engage à archiver ou faire archiver de manière sécurisée les factures électroniques et les données concourant à l'établissement de la facture de telle façon que mandant puisse y accéder dans les meilleurs délais.

Le mandant (Nybbler) :

  • s'engage à archiver ou faire archiver de manière sécurisée le présent mandat de facturation afin d'en démontrer l'existence à l'administration fiscale si elle en fait la demande ;
  • s'engage à archiver ou faire archiver de manière sécurisée ses factures électroniques et données concourant à l'établissement de la facture ;
  • s'engage à signaler à Nybble les mentions concernant son identification et celles relatives au contenu des factures émises en son nom et pour son compte et s'engage à transmettre les documents justificatifs dans les plus brefs délais, par voie électronique ;
  • s'engage à porter à la connaissance du mandataire, en cas de contestation sur une facture, les informations nécessaires pour la modification de la facture, dans les plus brefs délais ;
  • s'engage à verser au Trésor Public la taxe mentionnée sur les factures établies en son nom et pour son compte ;
  • s'engage à réclamer dans les plus brefs délais le double d'une facture si cette dernière ne lui est pas parvenue ;
  • s'engage à accepter toute facture que Nybble a émise en son nom et pour son compte. Cette acceptation se matérialise par le fait de cliquer sur la facture au moment de sa lecture. A des fins probatoires, Nybble conserve la preuve du clic et assure son horodatage fiable durant la période d'archivage des factures. Le Nybbler reconnaît disposer d'un délai de quatorze (14) jours à compter de la lecture de la facture pour en modifier le contenu. A défaut, le Nybbler reconnaît l'avoir acceptée pleinement ;
  • reconnait être pleinement responsable des obligations et de ses conséquences en matière de facturation au regard de la TVA ;
  • reconnait qu'il ne pourra arguer de la défaillance ou du retard de Nybble dans l'établissement des factures pour se soustraire à la l'obligation de déclarer la taxe collectée au moment de l'intervention de son exigibilité ;
  • reconnait qu'il demeure redevable de la TVA due, le cas échéant en application du 3 de l'article 283 du CGI, lorsque celle-ci est facturée à tort.

La facture établie par Nybble mentionne expréssément :

  • Qu'elle est émise par Nybble au nom et pour le compte du Nybbler expressément identifié ;
  • Le taux de change appliqué pour la conversion dans la devise EUR ;
  • Les mentions obligatoires de facturation telles que l'identité du Nybbler, le numéro de la facture, la date de la facture, la période (mois et année) concernée par les Services de Traitement d'Alertes et/ou de Threat Bounty effectués, les identifications à la taxe sur la valeur ajoutée (TVA), le taux de TVA légalement applicable, la date ou délai de paiement, le cas échéant, pour les Nybbler non assujettis à la TVA la mention « TVA non applicable - article 293 B du CGI ».
  • Plus spécifiquement, pour le service de Traitement d'Alertes : le nombre d'alertes traitées et le prix actuellement en vigueur d'une alerte traitée. Pour le Threat Bounty : programme concerné, nombre de rapports par sévérité et leur Récompense associée.

Pour les Nybblers non Français

En cochant la case « J'ai lu et accepte les conditions du présent mandat de facturation », le Nybbler donne expressément mandat à Nybble de facturer en son nom et pour son compte les récompenses qui lui sont dues dans les cadre des Services « Threat Bounty » et « Traitement des Alertes ».

Le Nybbler atteste sur l'honneur qu'il a pris connaissance et respecte les exigences sociales, fiscales et comptable qui lui sont imposées en France. La responsabilité de Nybble ne peut être engagée en cas de défaillance du Nybbler quant à cette vérification.

Le mandataire (Nybble) :

  • s'engage à archiver ou faire archiver de manière sécurisée le présent mandat de facturation afin d'en démontrer l'existence à l'administration fiscale si elle en fait la demande ;
  • s'engage à accomplir tous les actes nécessaires à l'émission et à la mise à disposition de factures vers le Nybbler dans son compte personnel ;
  • s'engage à archiver ou faire archiver de manière sécurisée les factures électroniques et les données concourant à l'établissement de la facture de telle façon que mandant puisse y accéder dans les meilleurs délais.

Le mandant (Nybbler) :

  • s'engage à archiver ou faire archiver de manière sécurisée le présent mandat de facturation afin d'en démontrer l'existence à l'administration fiscale si elle en fait la demande ;
  • s'engage à archiver ou faire archiver de manière sécurisée ses factures électroniques et données concourant à l'établissement de la facture ;
  • s'engage à signaler à Nybble les mentions concernant son identification et celles relatives au contenu des factures émises en son nom et pour son compte et s'engage à transmettre les documents justificatifs dans les plus brefs délais, par voie électronique ;
  • s'engage à porter à la connaissance du mandataire, en cas de contestation sur une facture, les informations nécessaires pour la modification de la facture, dans les plus brefs délais ;
  • s'engage à verser à l'administration fiscale dont il dépend les sommes qui lui sont dues au titre de la facture ;
  • s'engage à réclamer dans les plus brefs délais le double d'une facture si cette dernière ne lui est pas parvenue ;
  • s'engage à accepter toute facture que Nybble a émise en son nom et pour son compte. Cette acceptation se matérialise par le fait de cliquer sur la facture au moment de sa lecture. A des fins probatoires, Nybble conserve la preuve du clic et assure son horodatage fiable durant la période d'archivage des factures. Le Nybbler reconnaît disposer d'un délai de quatorze (14) jours à compter de la lecture de la facture pour en modifier le contenu. A défaut, le Nybbler reconnaît l'avoir acceptée pleinement ;
  • reconnait être pleinement responsable des obligations et de ses conséquences en matière de facturation au regard des sommes due à l'administration fiscale dont il dépend ;
  • reconnait qu'il ne pourra arguer de la défaillance ou du retard de Nybble dans l'établissement des factures pour se soustraire à la l'obligation de déclarer les sommes dues à l'administration fiscale dont il dépend au moment de l'intervention de son exigibilité ;
  • reconnait qu'il demeure redevable les sommes dues à l'administration fiscale dont il dépend.

La facture établie par Nybble mentionne expressément :

  • Qu'elle est émise par Nybble au nom et pour le compte du Nybbler expressément identifié ;
  • Le taux de change appliqué pour la conversion dans la devise EUR ;
  • Les mentions obligatoires de facturation telles que l'identité du Nybbler, le numéro de la facture, la date de la facture, la période (mois et année) concernée par les Services de Traitement d'Alertes et/ou de Threat Bounty effectués, la date ou délai de paiement, le cas échéant, pour les Nybbler non assujettis à la TVA si elle est applicable.
  • Plus spécifiquement, pour le service de Traitement d'Alertes : le nombre d'alertes traitées et le prix actuellement en vigueur d'une alerte traitée. Pour le Threat Bounty : programme concerné, nombre de rapports par sévérité et leur Récompense associée.