Conditions générales d'utilisation de MonServiceSécurisé

En vigueur à partir du 13.12.2022

Nous vous invitons à lire avec attention le présent document (ci-après, les « Conditions Générales d'Utilisation »). En accédant au présent portail MonServiceSécurisé (ci-après le « Site »), l'utilisateur du Site (ci-après « l'Utilisateur » ou « Vous ») s'engage à respecter les présentes Conditions Générales d'Utilisation. L'Utilisateur est nécessairement un membre du personnel d'une entité soumise au Référentiel Général de Sécurité (RGS).

La Politique de confidentialité fait partie intégrante des présentes Conditions Générales d'Utilisation.

Pour les informations légales du Site, veuillez consulter la page des Mentions légales.

1. Objet des conditions Générales d'Utilisation

Les présentes Conditions Générales d'Utilisation définissent les conditions selon lesquelles l'Utilisateur peut accéder au Site et l'utiliser.

2. Le portail MonServiceSécurisé

Le Site a pour objet :

• la création et la gestion de comptes d'utilisateurs ;
• d'aider, pas à pas, les entités publiques à sécuriser leurs services numériques et à les faire homologuer selon une approche adaptée aux services les plus courants ;
• la création et la gestion des documents d'homologation des services concernés ;
• le suivi des documents d'homologation effectués.

3. Acceptation et mises à jour des Conditions Générales d'Utilisation

A. Acceptation

L'accès au Site est conditionné par le respect de la part de l'Utilisateur des Conditions Générales d'Utilisation. Par conséquent, pour créer un compte utilisateur, l'Utilisateur doit être un membre du personnel d'une entité soumise au RGS ou agissant pour le compte de celle-ci en matière de sécurité de ses services numériques et avoir expressément accepté les présentes Conditions Générales d'Utilisation en cochant la case « J'accepte les conditions générales d'utilisation de MonServiceSécurisé » lors de la création de son compte. Ainsi, il confirme accepter sans restriction ni réserve les Conditions Générales d'Utilisation ainsi que le traitement de ses données à caractère personnel, conformément à la Politique de confidentialité. Si l'Utilisateur est en désaccord avec l'un de ces termes, y compris à l'issue d'une actualisation des Conditions Générales d'Utilisation, il est libre de cesser d'utiliser à tout moment les services du site et de supprimer son compte.

B. Mise à jour des Conditions Générales d'Utilisation

L'ANSSI est libre de modifier, à tout moment, les Conditions Générales d'Utilisation, afin notamment de prendre en compte toute évolution légale, réglementaire, jurisprudentielle et technique. La version qui prévaut est celle qui est accessible en ligne à l'adresse suivante : https://www.monservicesecurise.ssi.gouv.fr/cgu.

L'Utilisateur sera informé en cas de modification des Conditions Générales d'Utilisation. Si l'Utilisateur s'oppose aux modifications apportées, il est libre de cesser d'utiliser à tout moment les services du Site et de supprimer son compte. S'il continue à utiliser le Site après la publication ou l'envoi d'un avis concernant les modifications apportées aux présentes conditions, cet usage vaut acceptation des Conditions Générales d'Utilisation mises à jour.

4. Obligations de l'Utilisateur

Dans le cadre de l'utilisation du Site, l'Utilisateur s'engage à :

• se conformer aux stipulations décrites dans les Conditions Générales d'Utilisation et aux dispositions des lois et règlements en vigueur, et à respecter les droits des tiers ;
• ne créer qu'un seul compte utilisateur et ne communiquer que des informations, fichiers et autres contenus conformes à la réalité, honnêtes et loyaux ;
• ne pas divulguer via le Site des propos ou des contenus illicites, et notamment tous contenus contrefaits, diffamatoires, injurieux, insultants, obscènes, offensants, discriminatoires, violents, xénophobes, incitant à la haine raciale ou faisant l'apologie du terrorisme, ou tout autre contenu contraire à la législation et réglementation applicable ainsi qu'aux bonnes mœurs et aux règles de bienséance ;
• ne pas intégrer et diffuser via le Site du contenu qui serait contraire à la finalité de celui-ci ;
• ne pas communiquer ou envoyer, par l'intermédiaire du site, du contenu, quel qu'il soit, qui comprendrait des liens pointant vers des sites internet illicites, offensants ou incompatibles avec la finalité du Site ;
• ne pas utiliser le Site pour envoyer massivement des messages non sollicités (publicitaires ou autres).

En outre, l'Utilisateur garantit expressément la véracité et la réalité des informations qu'il communique sur le Site.

En cas de manquement à une ou plusieurs de ces obligations, l'ANSSI se réserve le droit de supprimer le compte de l'Utilisateur responsable.

Compte Utilisateur

L'Utilisateur est titulaire d'un compte. Il s'engage à choisir un mot de passe sécurisé, protéger la sécurité et la confidentialité de son mot de passe, et est responsable de toute utilisation de son compte. Toute utilisation abusive doit être signalée à l'ANSSI aux coordonnées indiquées dans les Mentions légales. Tout utilisateur peut procéder à la modification des données liées à son compte et à sa suppression.

Contributeur

L'Utilisateur peut ajouter un contributeur à un service numérique référencé sur MonServiceSécurisé. Dans ce cas, il renseigne l'adresse de messagerie électronique professionnelle du contributeur, à laquelle MSS adresse une invitation à contribuer au projet d'homologation.

Lorsque le contributeur a déjà un compte personnel, l'acceptation de l'invitation à contribuer suffit. Lorsque le contributeur n'a pas de compte, il est invité à s'inscrire et se voit alors appliquer les droits et obligations d'un Utilisateur.

Le contributeur ne peut ajouter un autre contributeur au service numérique référencé auquel il est ajouté.

Les actions du collaborateur et de l'Utilisateur modifient les informations renseignées concernant le service numérique référencé, ils sont chacun responsables de l'exactitude de leurs déclarations respectives.

Convention de preuve

L'Utilisateur accepte qu'en cas de litige :

• Les moyens d'identification (adresse de messagerie électronique, mot de passe) liés au compte utilisé pour accéder au Site soient admissibles devant les tribunaux et fassent preuve des données et des faits qu'ils contiennent ;
• les données de connexion relatives aux actions effectuées depuis le Site soient admissibles devant les tribunaux et fassent preuve des données et des faits qu'elles contiennent ;
• tout ou partie des informations issues du compte lui soient présumées imputables ;
• les dates générées ou inscrites électroniquement de toute information ou décision soient admissibles devant les tribunaux et fassent preuve des données et des faits qu'elles contiennent.

La preuve contraire peut être rapportée.

Notifications et Messages

L'Utilisateur accepte que des notifications et des messages lui soient communiqués par les moyens suivants : (i) via le Site (compte Utilisateur) ou (ii) envoyés aux coordonnées fournies par l'Utilisateur (adresse e-mail). Si ses coordonnées ne sont pas à jour, l'Utilisateur est conscient que des notifications importantes sont susceptibles de ne pas lui parvenir. Par conséquent, l'Utilisateur s'engage à tenir à jour ses coordonnées.

5. Propriété intellectuelle

A. Contenus édités par le Site

Protection des contenus : sauf mention expresse contraire, tous les contenus protégeables par le droit de la Propriété intellectuelle ne peuvent être reproduits ou réutilisés sans l'autorisation expresse de l'ANSSI.

Demande d'autorisation : les demandes d'autorisation de reproduction d'un contenu doivent au préalable être adressées à l'ANSSI, en écrivant à l'adresse suivante :

lab-inno [at] ssi.gouv.fr

La demande devra préciser le contenu visé ainsi que le contexte d'utilisation prévu (supports concernés, période, destinataires, etc.).

Aucune stipulation des Conditions Générales d'Utilisation ne peut être interprétée comme une cession de droits de propriété intellectuelle, que ce soit tacitement ou d'une autre façon.

B. Contenus fournis par l'Utilisateur

L'Utilisateur intègre et diffuse des contenus via le Site (informations relatives au service numérique qu'il souhaite homologuer). À ce titre, l'Utilisateur est et reste titulaire des droits sur lesdits contenus. Il autorise uniquement l'ANSSI à conserver ces contenus dans l'historique du compte.

6. Responsabilités, garanties et accessibilité au Site

A. Exclusions

Les services numériques suivants ne peuvent pas être référencés sur MonServiceSécurisé :

• Les services essentiels au fonctionnement de la société ou de l'économie, des opérateurs désignés opérateurs de services essentiels (loi n° 2018-133 du 26 février 2018 qui présente les mesures de transposition de la direction européenne sur la sécurité des réseaux et des systèmes d'information, décret n° 2018-384 du 23 mai 2018 en détaillant les modalités d'application).
• Les services pour lesquels l'atteinte à la sécurité ou au bon fonctionnement engendrerait des conséquences importantes sur le potentiel scientifique et technique (décret n° 2011-1425 du 2 novembre 2011 portant application de l'article 413-7 du code pénal relatif à la protection du potentiel scientifique et technique de la nation).
• Les services pour lesquels l'atteinte à la sécurité ou au fonctionnement engendrerait des conséquences importantes sur le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation (articles L. 1332-1 à L. 1332-7 du Code de la Défense).
• Les services traitant d'informations protégées par le secret de la défense nationale ou équivalent, ou de niveau diffusion restreinte (IGI 1300 relative au secret de la défense nationale, l'IGI 2102 relatives aux informations ou supports classifiés de l'Union européenne, l'IGI 2100 relative à la protection des supports classifiés dans le cadre de l'OTAN, l'IGI 901 définissant les règles relatives à la protection des informations sensibles et à diffusion restreinte).

B. Le portail MonServiceSécurisé

Le Site met en place les moyens nécessaires à son bon fonctionnement et en particulier au maintien de la continuité et de la qualité du service. Le service associé au Site est fourni à l'Utilisateur « en l'état » et est accessible sans garantie absolue de disponibilité et de régularité. L'ANSSI s'efforcera de rendre le Site accessible 24 heures sur 24, 7 jours sur 7. Toutefois, l'ANSSI ne pourra en aucun cas être tenue pour responsable en raison d'une interruption du service quelle que soit la durée ou la fréquence de cette interruption et quelle qu'en soit la cause, notamment en raison d'une maintenance nécessaire au fonctionnement, de pannes éventuelles, d'aléas techniques liés à la nature du réseau Internet, d'actes de malveillance ou de toute atteinte portée au fonctionnement du Site.

C. Réseau Internet

L'ANSSI ne peut être tenue responsable des perturbations du réseau Internet entraînant un dysfonctionnement ou une impossibilité d'accéder au Site.

L'ANSSI ne peut également pas être tenue responsable de l'installation et du fonctionnement des terminaux utilisés par l'Utilisateur pour accéder aux services disponibles sur le Site.

Les taux de transfert et les temps de réponse des informations circulant à partir du Site vers Internet ne sont pas garantis, ceux-ci dépendant exclusivement des réseaux de communication et des modalités de connexion utilisées par l'Utilisateur.

L'ANSSI ne saurait en aucun cas être tenue de réparer d'éventuels dommages indirects subis par l'Utilisateur à l'occasion de l'utilisation du service. Les dommages indirects sont ceux qui ne résultent pas exclusivement et directement de la défaillance du Site. En outre, la responsabilité de l'ANSSI ne peut pas être recherchée pour des actes réalisés par l'Utilisateur ou un tiers utilisant le Site.

D. Liens hypertextes pointant vers des Sites Tiers

Le Site peut intégrer des liens hypertextes renvoyant vers des sites internet édités par des tiers (ci-après les « Sites Tiers ») sur lesquels l'ANSSI n'exerce aucune sorte de contrôle. L'ANSSI n'assume aucune responsabilité quant au contenu des Sites Tiers ou au contenu vers lequel les Sites Tiers peuvent renvoyer.

La présence de liens hypertextes vers des Sites Tiers ne saurait signifier que l'ANSSI approuve de quelque façon que ce soit les contenus des Sites Tiers. L'ANSSI n'est responsable d'aucune modification ou mise à jour concernant les Sites Tiers. L'ANSSI n'est pas responsable de la transmission d'informations à partir des Sites Tiers, ni du mauvais fonctionnement de ceux-ci.

E. Liens hypertextes pointant vers le Site

Les liens hypertextes renvoyant vers la page d'accueil du Site ou l'une de ses rubriques sont autorisés.

Les pages du Site ne doivent pas être imbriquées à l'intérieur des pages d'un autre site (framing).

En toute hypothèse, l'établissement d'un lien vers le Site ne constitue pas une approbation par l'ANSSI du contenu du site établissant ce lien.

F. Formule de calcul de l'indice cyber

L'indice cyber est calculé sur la base des informations renseignées par l'équipe concernant les mesures de sécurité proposées par l'ANSSI et à l'exclusion des mesures spécifiques ajoutées. Il fournit une évaluation indicative du niveau de sécurisation du service.

Cet indice K est calculé selon la formule suivante :

Avec :

• i_c le nombre de mesures indispensables cochées « faites » pour la catégorie.
• l_c le nombre total de mesures indispensables proposées pour la catégorie.
• r_c le nombre de mesures recommandées cochées « faites » pour la catégorie.
• R_c le nombre total de mesures recommandées proposées pour la catégorie.
• n_c le nombre total de mesures proposées pour la catégorie (indispensables et recommandées).
• N le nombre total de mesures proposées pour le service (toutes catégories confondues).

Cette formule exprime les règles suivantes :

• Seules les mesures de sécurité cochées « faites » sont prises en compte dans le calcul de l'indice pour un service.

• L'indice est calculé à partir de la totalité des mesures de sécurité proposées par l'ANSSI pour le service à l'exclusion des mesures spécifiques ajoutées par l'équipe.

• L'indice est d'abord calculé par catégorie (gouvernance, protection, défense, résilience) sur 5 points, sur la base du rapport entre les mesures cochées « faites » et le nombre total de mesures pour la catégorie.

• Les mesures marquées « indispensables » sont pondérées de manière à contribuer davantage que les mesures simplement recommandées. Le coefficient de pondération pour les mesures indispensables est de 0,6 et celui pour les mesures recommandées est de 0,4. Chaque mesure indispensable vaut en conséquence 50% de plus qu'une mesure simplement recommandée.

• La prise en compte des mesures recommandées cochées « faites » dans le calcul de l'indice est proportionnée à la mise en œuvre des mesures indispensables. Ainsi, si aucune mesure indispensable n'est cochée « faite » mais que toutes les mesures recommandées le sont, la note sera malgré tout de 0.

• L'indice global est calculé en réalisant une moyenne arithmétique pondérée des notes de chaque catégorie, chaque coefficient de pondération étant établi à partir du nombre de mesures contenues au sein de la catégorie correspondante.

Cette note ne constitue pas une preuve du niveau de sécurité du service mais une évaluation indicative basée sur les déclarations de l'équipe de l'entité ayant référencé le service. MonServiceSécurisé et l'ANSSI ne peuvent en aucun cas être tenus responsables d'incidents de sécurité susceptibles d'affecter le service numérique, quel que soit l'indice attribué à ce dernier.

7. Stipulations diverses

Dans le cas où certaines stipulations des Conditions Générales d'Utilisation seraient inapplicables pour quelque raison que ce soit, y compris en raison d'une loi ou d'une réglementation applicable, l'Utilisateur restera lié par les autres stipulations des Conditions Générales d'Utilisation. Le fait pour l'ANSSI ou l'Utilisateur de ne pas se prévaloir d'une ou plusieurs stipulations des Conditions Générales d'Utilisation ne pourra en aucun cas impliquer la renonciation par ceux-ci à s'en prévaloir ultérieurement.

8. Droit applicable et attribution de compétence

Les Conditions Générales d'Utilisation sont régies par le droit français. Toute difficulté relative à la validité, l'application ou l'interprétation des Conditions Générales d'Utilisation seront soumises, à défaut d'accord amiable, à la compétence du Tribunal Administratif de Paris, auquel les parties attribuent compétence territoriale, quel que soit le lieu d'exécution du Site ou le domicile du défendeur. Cette attribution de compétence s'applique également en cas de procédure en référé, de pluralité de défendeurs ou d'appel en garantie.

9. Contact

Pour toute question ou réclamation concernant le Site ou les Conditions Générales d'Utilisation, l'Utilisateur peut contacter l'ANSSI aux coordonnées indiquées dans les Mentions légales. Pour toute question ou réclamation relative aux cookies et données à caractère personnel, l'Utilisateur peut contacter l'ANSSI aux coordonnées indiquées dans la Politique de confidentialité.