V.2026

Conditions Générales de Vente
et de Prestations Numériques

Dernière mise à jour : 2026 — Applicables à compter de la signature du Bon de Commande

Entreprise

Deviaweb — SASU au capital de 5 000 €

Siège social : 465 route de Jailleux, 01120 Montluel, France
SIRET : 918 XXX XXX XXXXX — TVA intracommunautaire : FR58XXXXXXXXX

Contact : nous écrire

1. Documents contractuels

Les présentes Conditions Générales de Vente (CGV) régissent les relations contractuelles entre Deviaweb et ses clients. Elles sont complétées par les documents suivants :

  • SLA (Service Level Agreement) — Définit les niveaux de service garantis : disponibilité, délais d'intervention, crédits en cas de non-respect.
  • DPA (Data Processing Agreement) — Encadre le traitement des données personnelles conformément au RGPD, le Prestataire agissant en qualité de sous-traitant.
  • Politique de Sécurité — Décrit les mesures techniques et organisationnelles de sécurité (Annexe au présent document).

Des accords spécifiques (conditions particulières, SLA sur mesure, engagements de confidentialité renforcés, etc.) peuvent être définis dans un contrat dédié entre le Client et le Prestataire, en complément ou en adaptation des présentes CGV.

2. Dispositions spécifiques par service

2.1. Applications Web (SaaS)

Disponibilité et SLA : Le Prestataire garantit un taux de disponibilité de 99,9 % calculé mensuellement, hors fenêtres de maintenance planifiées. Tout manquement déclenche des crédits de service plafonnés à 20 % de la redevance mensuelle.

Évolutivité : Le Prestataire se réserve le droit de modifier l'interface ou les fonctionnalités pour maintenance ou amélioration, tant que la substance du service reste conforme aux spécifications initiales.

2.2. Intelligence Artificielle (Conformité AI Act)

Absence de Garantie de Résultat : Compte tenu de la nature probabiliste de l'IA, les résultats sont fournis à titre indicatif. Le Client est seul responsable de la vérification et de l'usage des contenus générés, et endosse l'entière responsabilité de leur conformité légale et éthique — toute utilisation illicite ou détournée des outils n'engage que lui.

Obligation de Transparence : Conformément à l'Article 52 de l'AI Act, le Prestataire informe les utilisateurs qu'ils interagissent avec une IA. Si le système est classé « à haut risque », le Prestataire s'engage à fournir la documentation technique et les logs de traçabilité requis.

Biais et Éthique : Le Prestataire déclare effectuer des audits réguliers pour détecter d'éventuels biais discriminatoires et s'engage à les corriger dans le cadre de la maintenance corrective.

2.3. Services Cloud et Hébergement

Modèle de Responsabilité Partagée : Le Prestataire assure la sécurité du Cloud (infrastructure physique, réseau, isolation logique). Le Client est seul responsable de la sécurité dans le Cloud (chiffrement des données stockées, gestion des accès et des mots de passe).

Souveraineté et Localisation : Les données sont hébergées exclusivement en France / UE. Aucun transfert hors UE n'est autorisé sans accord préalable et mise en œuvre des Clauses Contractuelles Types de la Commission Européenne.

Continuité (RTO/RPO) : Le Prestataire s'engage sur un délai de rétablissement (RTO) de 24 heures et une perte de données maximale (RPO) de 2 jours en cas d'incident majeur. Ces valeurs peuvent être ajustées contractuellement dans un contrat ou SLA spécifique.

2.4. Services DevOps et Automatisation

Validation en Staging : Tout script (Terraform, Ansible) ou pipeline CI/CD doit être validé par le Client dans un environnement de pré-production avant tout déploiement en production.

Gestion des Secrets : Le Prestataire s'engage à utiliser des coffres-forts numériques (Vault) pour la gestion des clés et secrets, et à respecter le principe du moindre privilège pour les accès fournis par le Client.

3. Propriété intellectuelle et données

  • Propriété des Modèles IA : Le Prestataire conserve la pleine propriété de ses modèles de base et algorithmes, y compris les améliorations issues de l'apprentissage machine, sauf développement spécifique facturé comme tel.
  • Données d'Entrée : Le Client garantit détenir tous les droits sur les données fournies pour l'entraînement ou l'inférence. Il concède au Prestataire un droit d'usage limité à l'exécution du contrat.
  • Code Source : Le code source spécifique développé est concédé sous licence d'utilisation exclusive au Client, tandis que les bibliothèques génériques restent la propriété du Prestataire.

4. Protection des données (RGPD)

Le Prestataire agit en qualité de sous-traitant.

  • Sécurité : Mise en œuvre du chiffrement TLS 1.3 pour les flux et de l'AES-256 pour les données au repos.
  • Notification : Toute violation de données sera notifiée au Client sous un délai maximum de 48 heures après détection.

5. Limitation de responsabilité et risques

  • Plafond d'Indemnisation : La responsabilité du Prestataire est limitée au montant des sommes effectivement payées par le Client sur les 12 derniers mois pour le service en cause.
  • Exclusions : Sont expressément exclus les dommages indirects, pertes de chance, pertes de profit ou dommages à l'image de marque.
  • Cyberattaques et Force Majeure : Les attaques par déni de service (DDoS) ou ransomwares sophistiqués sont considérés comme force majeure si le Prestataire prouve avoir respecté l'état de l'art en matière de sécurité au moment des faits.

6. Réversibilité et fin de contrat

  • Droit de Récupération : À la résiliation, le Prestataire s'engage à restituer les données dans un format standard ouvert (SQL, JSON ou CSV) sous 30 jours.
  • Destruction : Après validation de la restitution, le Prestataire procédera à l'effacement sécurisé de toutes les copies des données du Client, sauf obligation légale de conservation.

7. Droit applicable et litiges

Le contrat est régi par le droit français. Tout litige sera soumis à la compétence exclusive du Tribunal de Commerce de Bourg-en-Bresse, après une tentative obligatoire de médiation amiable.

Annexe : Mesures techniques et organisationnelles de sécurité

1. Sécurité des accès et contrôle logique

  • Le Prestataire applique le principe du moindre privilège pour limiter l'accès aux seules données nécessaires à l'exécution des missions.
  • Authentification Forte : L'accès aux environnements d'administration (Cloud, DevOps, IA) impose systématiquement une authentification multi-facteurs (MFA).
  • Gestion des Identités : Les comptes sont nominatifs. Une revue trimestrielle des habilitations est effectuée, avec révocation immédiate des accès en cas de départ d'un collaborateur.
  • Politique de Mots de Passe : Exigence de complexité minimale et rotation forcée selon les recommandations de l'ANSSI.

2. Protection et chiffrement des données

  • Données en Transit : Tous les flux de données entre le Client et les applications (Web, API IA) sont chiffrés via le protocole TLS 1.3 au minimum.
  • Données au Repos : Les données stockées dans le Cloud (bases de données, volumes de stockage) sont chiffrées à l'aide de l'algorithme AES-256.
  • Anonymisation : Pour les services d'IA, des techniques de pseudonymisation sont appliquées sur les jeux de données d'entraînement afin de réduire les risques liés aux données personnelles.

3. Sécurité des infrastructures et du Cloud

  • Localisation : Les données sont hébergées dans des centres de données certifiés ISO 27001 / SOC 2, situés exclusivement en France / Union Européenne.
  • Isolation (Multi-tenant) : Le Prestataire garantit un cloisonnement logique strict entre les données des différents clients pour empêcher toute fuite collatérale.
  • Protection Réseau : Déploiement de pare-feu applicatifs (WAF) et de solutions de mitigation contre les attaques par déni de service (DDoS).

4. Disponibilité et reliance technique

Le Prestataire s'engage à respecter les objectifs de continuité suivants :

  • Sauvegardes : Sauvegardes journalières externalisées et chiffrées, avec une durée de rétention minimale de 30 jours.
  • Plan de Reprise d'Activité (PRA) : Le Prestataire maintient une infrastructure redondante permettant d'atteindre un RTO de 4 heures et un RPO de 1 heure.

5. Sécurité du cycle de développement et DevOps

  • Gestion des Secrets : Utilisation de coffres-forts numériques (type HashiCorp Vault) pour le stockage des clés d'API et certificats. Aucun secret n'est stocké en clair dans le code source.
  • Validation des Déploiements : Tout script d'automatisation ou mise à jour applicative est testé dans un environnement de staging (pré-production) avant déploiement définitif.
  • Analyses de Vulnérabilités : Scans réguliers des dépendances logicielles (SCA) et tests d'intrusion (pentests) annuels sur les applications web.

6. Surveillance et gestion des incidents

  • Journalisation (Logging) : Traçabilité complète des accès et des modifications sur les systèmes, conservée pendant 12 mois pour audit ultérieur.
  • Notification de Violation : En cas d'incident de sécurité compromettant les données, le Prestataire s'engage à notifier le Client dans un délai maximal de 72 heures après détection.
  • Coopération : Le Prestataire fournit au Client les rapports d'incident et les mesures de remédiation mises en œuvre suite à toute anomalie détectée.