Dernière mise à jour : mai 2026 — version 2.0
Les présentes Conditions Générales de Vente et d'Utilisation (ci-après les « CGVU ») régissent l'accès et l'utilisation de la plateforme AuditorPro (ci-après le « Service »), éditée par :
EFFITEK SARL (ci-après l'« Éditeur »)
Le Service est destiné à un usage professionnel exclusif (B2B). Toute souscription emporte acceptation pleine et entière des présentes CGVU par le client (ci-après le « Client »).
| Terme | Définition |
|---|---|
| Service | La plateforme SaaS AuditorPro et l'ensemble de ses fonctionnalités, accessibles par les Utilisateurs via le réseau Internet. |
| Client | Personne morale ayant souscrit au Service, identifiée sur le bon de commande ou la facture initiale. |
| Utilisateur | Toute personne physique autorisée par le Client à accéder au Service, dans la limite du nombre de comptes prévu au Plan souscrit. |
| Tenant | Espace logique privé alloué au Client, avec base de données chiffrée et configuration dédiées. |
| Plan | Offre commerciale souscrite (Demo, Essential, Professional, Enterprise) définissant le périmètre fonctionnel, les quotas et le prix. |
| Abonnement | Contrat de souscription au Service pour une durée déterminée. |
| DPA | Data Processing Agreement — Accord de sous-traitance des données personnelles annexé aux CGVU. |
| SLA | Service Level Agreement — Contrat de Service annexé aux CGVU. |
| Données Client | Toutes les données importées, saisies ou générées par le Client et ses Utilisateurs au sein du Service, y compris les Données Personnelles. |
| Données Personnelles | Au sens du RGPD, toute information relative à une personne physique identifiée ou identifiable, traitée dans le cadre du Service. |
| Sous-traitant ultérieur | Tout tiers auquel l'Éditeur recourt pour traiter tout ou partie des Données Client (hébergeur, fournisseur IA, prestataire de paiement, etc.). |
| HITL | Human In The Loop — principe selon lequel toute production assistée par intelligence artificielle est soumise à la validation d'un Utilisateur. |
Les présentes CGVU ont pour objet de définir :
L'acceptation des CGVU est matérialisée :
Les CGVU prévalent sur tout autre document du Client (conditions générales d'achat notamment), sauf accord exprès et écrit de l'Éditeur.
AuditorPro est une plateforme SaaS multi-référentiels couvrant les principaux standards de conformité, sécurité de l'information et gestion des risques. Elle permet notamment :
Le périmètre fonctionnel détaillé, la liste des référentiels disponibles et la liste des connecteurs sont publiés dans la documentation publique du Service et dépendent du Plan souscrit.
L'Éditeur se réserve le droit de faire évoluer les fonctionnalités du Service. Les évolutions ne peuvent dégrader substantiellement les fonctionnalités essentielles incluses dans le Plan souscrit pour la durée d'engagement en cours.
Le Service est strictement réservé aux personnes morales agissant à des fins professionnelles. La souscription par un consommateur au sens du Code de la consommation est exclue.
Lors de la souscription, un compte administrateur (« tenant_admin ») est créé pour le Client. Ce compte est responsable de la création, de la suppression et de la gestion des droits des autres Utilisateurs au sein du tenant.
Les Utilisateurs s'authentifient selon l'un des modes suivants, au choix du Client :
Le choix du mode d'authentification est configuré par l'administrateur du tenant et peut être modifié à tout moment.
Le Client garantit l'exactitude des informations fournies à l'inscription. Le Client est responsable de la confidentialité des identifiants et de toute action effectuée sous ses comptes.
En cas de soupçon de compromission d'un compte, le Client en informe sans délai l'Éditeur à security@auditorpro.app. L'Éditeur peut suspendre temporairement les accès concernés à titre conservatoire.
Le Service est proposé selon les Plans suivants :
| Plan | Tarif | Public cible | Caractéristiques principales |
|---|---|---|---|
| Demo | Gratuit (essai 7 jours) | Découverte | 1 utilisateur, 1 auditeur, 1 catalogue, 1 audit thématique sur la durée de l'essai, 2 délégations/mois, 25 crédits IA. Modules : Audit, Analyse de risques, Remédiation, Preuves, Plan d'action, Notifications, Clôture & archivage. Exclus : Cross-mapping, PCP, Tiers, SharePoint, API, catalogues custom. |
| Essential | 99 € HT / mois (990 € HT / an) | TPE / PME | 3 utilisateurs, 1 auditeur, 1 catalogue, 3 audits thématiques/mois, 5 délégations/mois, 75 crédits IA. Modules : Audit, Analyse de risques, Preuves, Plan d'action, Notifications basiques, Délégation, Dashboard, vue Manager (lecture seule). Exclus : Remédiation, Cross-mapping, PCP, Tiers, SharePoint, API. |
| Professional | 349 € HT / mois (3 490 € HT / an) | ETI | 9 utilisateurs, 3 auditeurs, 3 catalogues, 5 audits thématiques/mois, 15 délégations/mois, 300 crédits IA. Tout Essential + Remédiation, Cross-mapping, PCP (50 contrôles max), Tiers (basique), SharePoint (100 recherches/mois), Notifications avancées. Exclus : Multi-tenant, catalogues custom, API. |
| Enterprise | Sur devis | Grands comptes | Utilisateurs, auditeurs, catalogues, audits thématiques, délégations et PCP illimités. Tout Professional + API REST v1, Multi-tenant, Catalogues custom, Tiers avancé, SharePoint (1 000+ recherches/mois), 1 500 crédits IA, moteur IA local en option. Support dédié, onboarding et SLA garanti. |
Les caractéristiques détaillées et les quotas associés à chaque Plan sont précisés sur la page tarifaire publique (Annexe 3) et au bon de commande.
Le Plan Demo permet une découverte gratuite limitée à 7 jours et à 1 audit thématique sur toute la durée de l'essai.
À l'expiration de la période d'essai, le compte bascule en lecture seule jusqu'à souscription d'un Plan payant.
Les tarifs sont indiqués hors taxes, en euros, et figurent sur le bon de commande ou sur la page tarifaire publique. Sauf mention contraire, les prix s'entendent par tenant et par mois ou par an selon la périodicité choisie.
Pour les déploiements régionaux hors zone euro, l'Éditeur peut proposer une facturation en devise locale aux tarifs publiés sur la page tarifaire de la région concernée.
Les modalités de souscription dépendent du Plan choisi :
La durée d'engagement dépend du Plan choisi :
Une remise commerciale est appliquée sur l'engagement annuel selon les conditions publiées sur la page tarifaire.
L'Éditeur se réserve le droit de réviser ses tarifs. Toute évolution tarifaire est notifiée au Client au moins 60 jours avant sa prise d'effet et ne s'applique qu'au renouvellement suivant. Le Client peut, en cas de désaccord, résilier l'Abonnement sans pénalité avant la prise d'effet de la nouvelle grille tarifaire.
La périodicité de facturation suit l'engagement choisi :
Les factures sont payables à 30 jours date d'émission, sauf mention contraire au bon de commande.
Conformément à l'article L. 441-10 du Code de commerce, tout retard de paiement entraîne de plein droit, sans mise en demeure préalable :
En cas de non-paiement persistant 15 jours après mise en demeure restée infructueuse, l'Éditeur se réserve le droit de suspendre l'accès au Service, sans préjudice de la perception des sommes dues. Pendant la période de suspension, les Données Client demeurent conservées dans les conditions prévues à l'article 17 (Réversibilité).
L'Abonnement prend effet à la date de souscription pour la durée d'engagement choisie au bon de commande.
L'Abonnement est reconduit tacitement pour des périodes équivalentes à la durée initiale, sauf dénonciation par l'une des parties moyennant un préavis de 30 jours avant l'échéance, par tout moyen écrit (email, courrier).
Bien que l'article L. 215-1 du Code de la consommation ne s'applique pas en relation B2B, l'Éditeur, à titre de bonne pratique commerciale, informe le Client de la possibilité de non-reconduction au plus tard 3 mois avant l'échéance par email aux contacts désignés au bon de commande.
L'Éditeur peut résilier l'Abonnement de plein droit, après mise en demeure restée sans effet pendant 15 jours, en cas de :
Le Client et ses Utilisateurs s'engagent à utiliser le Service :
Sont notamment interdits :
Le Client est seul responsable des Données qu'il importe ou saisit dans le Service. Il garantit notamment :
Le Client s'interdit d'importer ou de saisir dans le Service les catégories de données suivantes, sauf accord exprès et écrit préalable de l'Éditeur définissant les conditions techniques et juridiques additionnelles :
L'usage du Service à des fins d'audit n'a pas vocation à traiter ces catégories de données. Le Client veille à les exclure des documents de preuve qu'il importe.
En cas de violation grave ou répétée des présentes CGU, l'Éditeur peut, après mise en demeure restée sans effet pendant 7 jours, suspendre tout ou partie de l'accès au Service.
Le Service, ses composants logiciels, ses interfaces, ses marques et tout élément associé sont la propriété exclusive de l'Éditeur ou de ses concédants.
Plus précisément, l'Éditeur conserve la propriété intellectuelle exclusive sur :
Il est précisé que les textes réglementaires sources (NIS2, DORA, ISO 27001, RGPD, etc.) demeurent dans le domaine public ou la propriété de leurs organismes émetteurs respectifs. La propriété de l'Éditeur porte sur l'agencement éditorial original qui en est fait dans le Service.
L'Éditeur concède au Client, pour la durée de l'Abonnement et dans la limite du Plan souscrit, un droit non exclusif, non cessible et non sous-licenciable d'utilisation du Service.
Les Données Client demeurent la propriété pleine et entière du Client. Le Client concède à l'Éditeur, pour les seuls besoins de l'exécution du Service, un droit d'usage limité, non exclusif et non cessible.
L'Éditeur s'interdit d'utiliser les Données Client à des fins autres que l'exécution du Service, et notamment de les utiliser pour entraîner des modèles d'intelligence artificielle propres ou de tiers.
Toute suggestion, retour, demande d'évolution ou idée fournie par le Client peut être librement intégrée par l'Éditeur dans le Service, sans contrepartie financière, sauf disposition contraire écrite. Cette intégration ne confère aucun droit de propriété intellectuelle au Client sur le Service ainsi enrichi.
Le traitement des Données Personnelles dans le cadre du Service est régi par le DPA (Accord de sous-traitance article 28 RGPD) annexé aux présentes (Annexe 1) ou conclu séparément.
En cas de contradiction entre les CGVU et le DPA pour ce qui concerne les Données Personnelles, le DPA prévaut.
L'Éditeur publie sa Politique de confidentialité à l'adresse /politique-confidentialite.php.
En cas de violation de Données Personnelles affectant les Données Client, l'Éditeur en informe le Client dans les meilleurs délais et au plus tard dans les 48 heures suivant la prise de connaissance de la violation, conformément aux modalités détaillées dans le DPA.
La notification comprend a minima :
L'Éditeur apporte au Client toute l'assistance raisonnable nécessaire pour permettre à ce dernier de respecter ses propres obligations vis-à-vis de l'autorité de contrôle compétente et des personnes concernées.
L'Éditeur met en œuvre un ensemble de mesures techniques et organisationnelles de sécurité, décrites dans la Fiche Sécurité (Annexe 5) et incluant notamment :
tenant_id ;L'Éditeur aligne ses pratiques internes sur les exigences des standards ISO/IEC 27001 et SOC 2 Type II. Les démarches de certification éventuelles et leur calendrier sont communiqués sur demande écrite du Client, dans le cadre d'un projet contractuel.
Selon le déploiement régional choisi, le Service est hébergé dans un datacenter situé en Union européenne ou dans une région souveraine désignée (notamment Maghreb, UEMOA, Afrique de l'Est, Moyen-Orient). Le détail des localisations est précisé au bon de commande et dans le DPA.
Le Service intègre des fonctionnalités d'assistance par intelligence artificielle. Le Client choisit, par tenant, le mode d'IA souhaité parmi les options suivantes :
Le mode IA est configurable à tout moment par l'administrateur du tenant.
Avant tout traitement par un modèle d'IA, quel que soit le fournisseur retenu, le Service applique une couche d'anonymisation portant a minima sur les éléments suivants :
Les correspondances entre données originales et données anonymisées sont conservées localement chez le Client et ne sont jamais transmises au fournisseur d'IA.
Aucune Donnée Client n'est utilisée par l'Éditeur ou par les fournisseurs d'IA contractés pour l'entraînement, le réentraînement ou le fine-tuning de modèles d'intelligence artificielle. L'Éditeur obtient cette garantie contractuelle de ses sous-traitants ultérieurs IA et la communique au Client sur demande.
Toute production assistée par intelligence artificielle (suggestions de scénarios, propositions de plans d'action, classification de preuves, synthèses) est soumise à la validation expresse d'un Utilisateur avant intégration dans les livrables. Aucune action automatique sans validation humaine n'est effectuée sur les Données.
Les sorties produites par les fonctionnalités d'IA sont fournies à titre indicatif et n'emportent aucune validation réglementaire ni certification de conformité. Elles relèvent de la responsabilité d'analyse du Client et de ses experts (cf. article 18.3).
À ce jour, l'Éditeur recourt à un unique sous-traitant ultérieur pour l'hébergement de l'infrastructure du Service :
| Sous-traitant | Activité confiée | Localisation |
|---|---|---|
| OVH SAS | Hébergement des serveurs (infrastructure as a service) | Union européenne |
Cette liste est reprise et tenue à jour en Annexe 4. Toute évolution est notifiée au Client conformément au §14.3.
L'Éditeur s'assure contractuellement que ses sous-traitants ultérieurs :
Toute modification substantielle de la liste des sous-traitants ultérieurs est notifiée au Client avec un préavis de 30 jours. Pendant ce délai, le Client peut s'opposer pour motif légitime (souveraineté des données, cybersécurité, conformité réglementaire propre).
En cas de désaccord persistant qui ne pourrait être résolu par une mesure alternative proportionnée, le Client peut résilier l'Abonnement sans pénalité, étant précisé qu'aucun remboursement prorata temporis n'est dû.
Chaque partie s'engage à conserver strictement confidentielles toutes les informations échangées dans le cadre des présentes, à n'en faire usage que pour l'exécution du contrat et à les protéger avec un niveau de diligence au moins équivalent à celui appliqué à ses propres informations confidentielles.
L'obligation de confidentialité demeure en vigueur pendant toute la durée du contrat et 3 ans après son terme.
Sont exclues de l'obligation de confidentialité les informations :
L'Éditeur déploie ses meilleurs efforts pour assurer la disponibilité du Service. Les engagements précis (taux de disponibilité, GTI, GTR, fenêtres de maintenance, pénalités) sont définis dans le Contrat de Service (SLA) annexé aux présentes (Annexe 2) ou conclu séparément.
Les opérations de maintenance planifiée sont annoncées au Client avec un préavis raisonnable et programmées, dans la mesure du possible, en dehors des heures ouvrées (en heure de la région de déploiement).
En cas d'incident critique (sécurité, intégrité du Service, indisponibilité majeure), l'Éditeur peut intervenir sans préavis, en informant le Client dans les meilleurs délais.
Le Client peut, une fois par année civile, demander à l'Éditeur de fournir un état des lieux de la sécurité du Service. Cette demande est satisfaite par la fourniture, selon disponibilité, de :
Aucun audit physique sur site n'est requis sauf en cas d'incident sérieux dûment caractérisé. Lorsqu'un audit physique est nécessaire, ses modalités sont définies d'un commun accord, avec un préavis raisonnable, et à la charge financière du Client demandeur sauf incident imputable à l'Éditeur.
À la résiliation du contrat, le Client peut, pendant une période de 30 jours, exporter l'intégralité de ses Données Client via les fonctionnalités natives du Service (CSV, JSON, PDF, DOCX, PPTX selon la nature des données).
À la demande expresse du Client formulée dans ce délai, l'Éditeur peut fournir une assistance complémentaire à l'extraction (export paramétré, format spécifique) selon les modalités précisées dans le SLA et facturée à un tarif forfaitaire publié.
À l'expiration du délai de 30 jours, les Données Client sont supprimées de manière irréversible des systèmes de production, et planifiées pour suppression des sauvegardes selon le cycle de rétention défini dans le DPA (typiquement 30 à 90 jours supplémentaires).
Une attestation de suppression est remise au Client sur demande écrite.
L'Éditeur garantit la conformité du Service à sa documentation publique. En cas de non-conformité substantielle dûment notifiée, l'Éditeur s'engage à corriger l'anomalie dans des délais raisonnables ou, à défaut, à rembourser au prorata les sommes versées pour la période d'indisponibilité avérée.
La garantie ne couvre pas :
Le Service est un outil d'aide à la conduite d'audits, à l'analyse de risques et au pilotage de la conformité. Les résultats produits (scores de conformité, plans d'action, analyses IA, suggestions de remédiation, rapports automatisés, sign-off réglementaire facilité) sont fournis à titre indicatif.
Ces résultats n'emportent aucune validation réglementaire ni certification de conformité par l'Éditeur. La validation finale de la conformité, l'arbitrage des décisions d'acceptation ou de traitement de risques, et la communication aux autorités de contrôle relèvent de la seule responsabilité du Client et de ses experts internes ou externes.
L'Éditeur ne peut être tenu responsable d'une décision prise par le Client sur la base des résultats produits par le Service.
Dans toute la mesure permise par la loi :
La responsabilité totale et cumulée de l'Éditeur, toutes causes confondues, est expressément limitée au montant des sommes effectivement versées par le Client au titre de l'Abonnement au cours des 12 mois précédant le fait générateur de la réclamation.
Sont expressément exclus de la responsabilité de l'Éditeur, sauf faute lourde ou dol :
Les limitations ci-dessus ne s'appliquent pas aux dommages résultant :
Aucune des parties ne saurait être tenue pour responsable d'un manquement résultant d'un cas de force majeure au sens de l'article 1218 du Code civil, incluant notamment : catastrophes naturelles, pandémies, conflits armés, troubles civils, cyberattaques massives à dimension nationale ou supranationale, défaillance majeure et prolongée d'un opérateur télécom ou d'un fournisseur d'infrastructure essentiel.
Si la situation se prolonge au-delà de 60 jours, chaque partie peut résilier le contrat de plein droit sans indemnité.
L'Éditeur se réserve le droit de faire évoluer les présentes CGVU. Toute modification substantielle est notifiée au Client au moins 30 jours avant sa prise d'effet, par email aux contacts désignés au bon de commande.
À défaut d'opposition écrite dans ce délai, les nouvelles CGVU sont réputées acceptées. En cas d'opposition, le Client peut résilier l'Abonnement sans pénalité avant la prise d'effet des nouvelles CGVU.
L'historique des versions des CGVU et le détail des évolutions sont publiés à l'adresse https://auditorpro.app/cgvu/versions.
Le Client ne peut céder ses droits ou obligations au titre des présentes sans l'accord préalable et écrit de l'Éditeur.
L'Éditeur peut céder le contrat dans le cadre d'une opération de fusion, scission, apport partiel d'actifs ou cession d'activité, à charge pour lui d'en informer le Client dans un délai raisonnable. Le cessionnaire est tenu des mêmes obligations que l'Éditeur cédant.
Pendant la durée du contrat et 12 mois suivant son terme, chaque partie s'interdit de solliciter directement ou indirectement, à des fins de recrutement, les collaborateurs de l'autre partie ayant été en contact dans le cadre de l'exécution du contrat, sauf accord écrit préalable.
En cas de manquement caractérisé, la partie défaillante verse à l'autre partie une indemnité forfaitaire égale à 6 mois du salaire annuel brut du collaborateur concerné, à titre de clause pénale, sans préjudice de la réparation d'éventuels dommages complémentaires.
Ne constituent pas une sollicitation au sens du présent article :
Chaque partie s'engage à respecter l'ensemble des lois et réglementations applicables en matière de lutte contre la corruption et le trafic d'influence, notamment la loi n° 2016-1691 dite « Sapin II », ainsi que les réglementations équivalentes des juridictions concernées par les déploiements régionaux.
Chaque partie déclare disposer d'un dispositif de prévention adapté à sa taille et à son activité, et s'engage à coopérer de bonne foi en cas de signalement.
Si une stipulation des CGVU est jugée nulle ou inapplicable par une juridiction compétente, les autres stipulations demeurent en vigueur. Les parties s'efforceront de remplacer la stipulation invalide par une stipulation valide poursuivant un objectif équivalent.
Le fait pour une partie de ne pas se prévaloir d'un manquement ne saurait valoir renonciation à s'en prévaloir ultérieurement.
Les CGVU, le bon de commande, le DPA, le SLA, la grille tarifaire et les annexes forment l'intégralité de l'accord entre les parties et prévalent sur tout échange antérieur (devis non signé, échanges email, présentation commerciale).
En cas de contradiction entre ces documents, l'ordre de prééminence est :
Sauf opposition écrite du Client, l'Éditeur peut citer le nom et le logo du Client à titre de référence commerciale (site web, plaquettes, présentations, levées de fonds). Le Client peut à tout moment notifier sa volonté de retrait par email à l'Éditeur, qui retire la référence dans un délai de 30 jours suivant la notification.
Toute notification entre les parties est effectuée par email aux contacts désignés au bon de commande, avec accusé de réception ou preuve d'envoi. À défaut d'adresse email valide, la notification est effectuée par courrier recommandé avec accusé de réception au siège social.
Les présentes CGVU sont soumises au droit français.
Tout différend relatif à leur formation, leur interprétation ou leur exécution relève de la compétence exclusive du Tribunal de commerce de Paris, nonobstant pluralité de défendeurs ou appel en garantie.
Préalablement à toute action contentieuse, les parties s'engagent à rechercher une solution amiable dans un délai de 30 jours à compter de la notification du différend. À défaut d'accord, l'action peut être portée devant la juridiction compétente.
Pour les déploiements régionaux hors de l'Union européenne, des conditions de droit applicable et de juridiction adaptées peuvent être prévues au bon de commande.
| N° | Intitulé | Statut |
|---|---|---|
| Annexe 1 | DPA — Accord de sous-traitance article 28 RGPD | Existe (à finaliser) |
| Annexe 2 | SLA — Contrat de Service (taux de dispo, GTI, GTR, pénalités) | À créer |
| Annexe 3 | Description détaillée des Plans et grille tarifaire | À créer |
| Annexe 4 | Liste des sous-traitants ultérieurs (OVH SAS — hébergement, UE) | Intégrée à l'article 14.1 |
| Annexe 5 | Fiche Sécurité — mesures techniques et organisationnelles | Existe |
Pour toute question relative aux présentes CGVU : contact@auditorpro.app