Conditions générales d'utilisation de MonServiceSécurisé
En vigueur à partir du 13.12.2022
Nous vous invitons à lire avec attention le présent document (ci-après,
les « Conditions Générales d'Utilisation »). En accédant au présent
portail MonServiceSécurisé (ci-après le « Site »), l'utilisateur du
Site (ci-après « l'Utilisateur » ou « Vous ») s'engage à respecter les
présentes Conditions Générales d'Utilisation. L'Utilisateur est
nécessairement un membre du personnel d'une entité soumise au
Référentiel Général de Sécurité (RGS).
La Politique de confidentialité fait
partie intégrante des présentes Conditions Générales d'Utilisation.
Pour les informations légales du Site, veuillez consulter la page des
Mentions légales.
1. Objet des conditions Générales d'Utilisation
Les présentes Conditions Générales d'Utilisation définissent les
conditions selon lesquelles l'Utilisateur peut accéder au Site et l'utiliser.
2. Le portail MonServiceSécurisé
Le Site a pour objet :
- la création et la gestion de comptes d'utilisateurs ;
- d'aider, pas à pas, les entités publiques à sécuriser leurs services
numériques et à les faire homologuer selon une approche adaptée aux
services les plus courants ;
- la création et la gestion des documents d'homologation des services concernés ;
- le suivi des documents d'homologation effectués.
3. Acceptation et mises à jour des Conditions Générales d'Utilisation
A. Acceptation
L'accès au Site est conditionné par le respect de la part de
l'Utilisateur des Conditions Générales d'Utilisation. Par conséquent,
pour créer un compte utilisateur, l'Utilisateur doit être un membre du
personnel d'une entité soumise au RGS ou agissant pour le compte de celle-ci
en matière de sécurité de ses services numériques et avoir expressément accepté les
présentes Conditions Générales d'Utilisation en cochant la case
« J'accepte les conditions générales d'utilisation de
MonServiceSécurisé » lors de la création de son compte. Ainsi, il
confirme accepter sans restriction ni réserve les Conditions Générales
d'Utilisation ainsi que le traitement de ses données à caractère
personnel, conformément à la Politique de
confidentialité. Si l'Utilisateur est en désaccord avec l'un de ces
termes, y compris à l'issue d'une actualisation des Conditions
Générales d'Utilisation, il est libre de cesser d'utiliser à tout
moment les services du site et de supprimer son compte.
B. Mise à jour des Conditions Générales d'Utilisation
L'ANSSI est libre de modifier, à tout moment, les Conditions Générales
d'Utilisation, afin notamment de prendre en compte toute évolution
légale, réglementaire, jurisprudentielle et technique. La version qui
prévaut est celle qui est accessible en ligne à l'adresse suivante :
https://www.monservicesecurise.ssi.gouv.fr/cgu.
L'Utilisateur sera informé en cas de modification des Conditions
Générales d'Utilisation. Si l'Utilisateur s'oppose aux modifications
apportées, il est libre de cesser d'utiliser à tout moment les services
du Site et de supprimer son compte. S'il continue à utiliser le Site
après la publication ou l'envoi d'un avis concernant les modifications
apportées aux présentes conditions, cet usage vaut acceptation des
Conditions Générales d'Utilisation mises à jour.
4. Obligations de l'Utilisateur
Dans le cadre de l'utilisation du Site, l'Utilisateur s'engage à :
- se conformer aux stipulations décrites dans les Conditions Générales
d'Utilisation et aux dispositions des lois et règlements en vigueur,
et à respecter les droits des tiers ;
- ne créer qu'un seul compte utilisateur et ne communiquer que des
informations, fichiers et autres contenus conformes à la réalité,
honnêtes et loyaux ;
- ne pas divulguer via le Site des propos ou des contenus
illicites, et notamment tous contenus contrefaits, diffamatoires,
injurieux, insultants, obscènes, offensants, discriminatoires,
violents, xénophobes, incitant à la haine raciale ou faisant
l'apologie du terrorisme, ou tout autre contenu contraire à la
législation et réglementation applicable ainsi qu'aux bonnes mœurs et
aux règles de bienséance ;
- ne pas intégrer et diffuser via le Site du contenu qui
serait contraire à la finalité de celui-ci ;
- ne pas communiquer ou envoyer, par l'intermédiaire du site, du
contenu, quel qu'il soit, qui comprendrait des liens pointant vers
des sites internet illicites, offensants ou incompatibles avec la
finalité du Site ;
- ne pas utiliser le Site pour envoyer massivement des messages non
sollicités (publicitaires ou autres).
En outre, l'Utilisateur garantit expressément la véracité et la réalité
des informations qu'il communique sur le Site.
En cas de manquement à une ou plusieurs de ces obligations, l'ANSSI se
réserve le droit de supprimer le compte de l'Utilisateur responsable.
Compte Utilisateur
L'Utilisateur est titulaire d'un compte. Il s'engage à choisir un mot
de passe sécurisé, protéger la sécurité et la confidentialité de son
mot de passe, et est responsable de toute utilisation de son compte.
Toute utilisation abusive doit être signalée à l'ANSSI aux coordonnées
indiquées dans les Mentions légales.
Tout utilisateur peut procéder à la modification des données liées à
son compte et à sa suppression.
Contributeur
L'Utilisateur peut ajouter un contributeur à un service numérique référencé sur MonServiceSécurisé.
Dans ce cas, il renseigne l'adresse de messagerie électronique professionnelle
du contributeur, à laquelle MSS adresse une invitation à contribuer au projet
d'homologation.
Lorsque le contributeur a déjà un compte personnel, l'acceptation de l'invitation
à contribuer suffit. Lorsque le contributeur n'a pas de compte, il est invité à
s'inscrire et se voit alors appliquer les droits et obligations d'un Utilisateur.
Le contributeur ne peut ajouter un autre contributeur au service numérique référencé
auquel il est ajouté.
Les actions du collaborateur et de l'Utilisateur modifient les informations renseignées concernant
le service numérique référencé, ils sont chacun responsables de l'exactitude de leurs déclarations
respectives.
Convention de preuve
L'Utilisateur accepte qu'en cas de litige :
- Les moyens d'identification (adresse de messagerie électronique, mot
de passe) liés au compte utilisé pour accéder au Site soient
admissibles devant les tribunaux et fassent preuve des données et des
faits qu'ils contiennent ;
- les données de connexion relatives aux actions effectuées depuis le
Site soient admissibles devant les tribunaux et fassent preuve des
données et des faits qu'elles contiennent ;
- tout ou partie des informations issues du compte lui soient présumées
imputables ;
- les dates générées ou inscrites électroniquement de toute information
ou décision soient admissibles devant les tribunaux et fassent preuve
des données et des faits qu'elles contiennent.
La preuve contraire peut être rapportée.
Notifications et Messages
L'Utilisateur accepte que des notifications et des messages lui soient
communiqués par les moyens suivants : (i) via le Site (compte
Utilisateur) ou (ii) envoyés aux coordonnées fournies par l'Utilisateur
(adresse e-mail). Si ses coordonnées ne sont pas à jour, l'Utilisateur
est conscient que des notifications importantes sont susceptibles de ne
pas lui parvenir. Par conséquent, l'Utilisateur s'engage à tenir à jour
ses coordonnées.
5. Propriété intellectuelle
A. Contenus édités par le Site
Protection des contenus : sauf mention expresse contraire, tous les contenus protégeables par le
droit de la Propriété intellectuelle ne peuvent être reproduits ou
réutilisés sans l'autorisation expresse de l'ANSSI.
Demande d'autorisation : les demandes d'autorisation de reproduction d'un contenu doivent au
préalable être adressées à l'ANSSI, en écrivant à l'adresse suivante :
lab-inno [at] ssi.gouv.fr
La demande devra préciser le contenu visé ainsi que le contexte
d'utilisation prévu (supports concernés, période, destinataires, etc.).
Aucune stipulation des Conditions Générales d'Utilisation ne peut être
interprétée comme une cession de droits de propriété intellectuelle,
que ce soit tacitement ou d'une autre façon.
B. Contenus fournis par l'Utilisateur
L'Utilisateur intègre et diffuse des contenus via le Site
(informations relatives au service numérique qu'il souhaite
homologuer). À ce titre, l'Utilisateur est et reste titulaire des
droits sur lesdits contenus. Il autorise uniquement l'ANSSI à conserver
ces contenus dans l'historique du compte.
6. Responsabilités, garanties et accessibilité au Site
A. Exclusions
Les services numériques suivants ne peuvent pas être référencés sur MonServiceSécurisé :
- Les services essentiels au fonctionnement de la société ou de l'économie, des opérateurs
désignés opérateurs de services essentiels (loi n° 2018-133 du 26 février 2018 qui présente
les mesures de transposition de la direction européenne sur la sécurité des réseaux et des
systèmes d'information, décret n° 2018-384 du 23 mai 2018 en détaillant les modalités
d'application).
- Les services pour lesquels l'atteinte à la sécurité ou au bon fonctionnement engendrerait
des conséquences importantes sur le potentiel scientifique et technique (décret n° 2011-1425
du 2 novembre 2011 portant application de l'article 413-7 du code pénal relatif à la protection
du potentiel scientifique et technique de la nation).
- Les services pour lesquels l'atteinte à la sécurité ou au fonctionnement engendrerait
des conséquences importantes sur le potentiel de guerre ou économique, la sécurité ou
la capacité de survie de la Nation (articles L. 1332-1 à L. 1332-7 du Code de la Défense).
- Les services traitant d'informations protégées par le secret de la défense nationale ou
équivalent, ou de niveau diffusion restreinte (IGI 1300 relative au secret de la défense
nationale, l'IGI 2102 relatives aux informations ou supports classifiés de l'Union
européenne, l'IGI 2100 relative à la protection des supports classifiés dans le cadre
de l'OTAN, l'IGI 901 définissant les règles relatives à la protection des informations
sensibles et à diffusion restreinte).
B. Le portail MonServiceSécurisé
Le Site met en place les moyens nécessaires à son bon fonctionnement et
en particulier au maintien de la continuité et de la qualité du
service. Le service associé au Site est fourni à l'Utilisateur « en
l'état » et est accessible sans garantie absolue de disponibilité et de
régularité. L'ANSSI s'efforcera de rendre le Site accessible 24 heures
sur 24, 7 jours sur 7. Toutefois, l'ANSSI ne pourra en aucun cas être
tenue pour responsable en raison d'une interruption du service quelle
que soit la durée ou la fréquence de cette interruption et quelle qu'en
soit la cause, notamment en raison d'une maintenance nécessaire au
fonctionnement, de pannes éventuelles, d'aléas techniques liés à la
nature du réseau Internet, d'actes de malveillance ou de toute atteinte
portée au fonctionnement du Site.
C. Réseau Internet
L'ANSSI ne peut être tenue responsable des perturbations du réseau
Internet entraînant un dysfonctionnement ou une impossibilité d'accéder
au Site.
L'ANSSI ne peut également pas être tenue responsable de l'installation
et du fonctionnement des terminaux utilisés par l'Utilisateur pour
accéder aux services disponibles sur le Site.
Les taux de transfert et les temps de réponse des informations
circulant à partir du Site vers Internet ne sont pas garantis, ceux-ci
dépendant exclusivement des réseaux de communication et des modalités
de connexion utilisées par l'Utilisateur.
L'ANSSI ne saurait en aucun cas être tenue de réparer d'éventuels
dommages indirects subis par l'Utilisateur à l'occasion de
l'utilisation du service. Les dommages indirects sont ceux qui ne
résultent pas exclusivement et directement de la défaillance du Site.
En outre, la responsabilité de l'ANSSI ne peut pas être recherchée pour
des actes réalisés par l'Utilisateur ou un tiers utilisant le Site.
D. Liens hypertextes pointant vers des Sites Tiers
Le Site peut intégrer des liens hypertextes renvoyant vers des sites
internet édités par des tiers (ci-après les « Sites Tiers ») sur
lesquels l'ANSSI n'exerce aucune sorte de contrôle. L'ANSSI n'assume
aucune responsabilité quant au contenu des Sites Tiers ou au contenu
vers lequel les Sites Tiers peuvent renvoyer.
La présence de liens hypertextes vers des Sites Tiers ne saurait
signifier que l'ANSSI approuve de quelque façon que ce soit les
contenus des Sites Tiers. L'ANSSI n'est responsable d'aucune
modification ou mise à jour concernant les Sites Tiers. L'ANSSI n'est
pas responsable de la transmission d'informations à partir des Sites
Tiers, ni du mauvais fonctionnement de ceux-ci.
E. Liens hypertextes pointant vers le Site
Les liens hypertextes renvoyant vers la page d'accueil du Site ou l'une
de ses rubriques sont autorisés.
Les pages du Site ne doivent pas être imbriquées à l'intérieur des
pages d'un autre site (framing).
En toute hypothèse, l'établissement d'un lien vers le Site ne constitue
pas une approbation par l'ANSSI du contenu du site établissant ce lien.
F. Formule de calcul de l'indice cyber
L'indice cyber est calculé sur la base des informations renseignées
par l'équipe concernant les mesures de sécurité proposées par l'ANSSI
et à l'exclusion des mesures spécifiques ajoutées. Il fournit une évaluation
indicative du niveau de sécurisation du service.
Cet indice K est calculé selon la formule suivante :
Avec :
- ic le nombre de mesures indispensables cochées « faites » pour la catégorie.
- lc le nombre total de mesures indispensables proposées pour la catégorie.
- rc le nombre de mesures recommandées cochées « faites » pour la catégorie.
- Rc le nombre total de mesures recommandées proposées pour la catégorie.
- nc le nombre total de mesures proposées pour la catégorie (indispensables et recommandées).
- N le nombre total de mesures proposées pour le service (toutes catégories confondues).
Cette formule exprime les règles suivantes :
- Seules les mesures de sécurité cochées « faites » sont prises en compte dans le calcul de
l'indice pour un service.
- L'indice est calculé à partir de la totalité des mesures de sécurité proposées par l'ANSSI pour
le service à l'exclusion des mesures spécifiques ajoutées par l'équipe.
- L'indice est d'abord calculé par catégorie (gouvernance, protection, défense, résilience) sur
5 points, sur la base du rapport entre les mesures cochées « faites » et le nombre total de mesures
pour la catégorie.
- Les mesures marquées « indispensables » sont pondérées de manière à contribuer davantage que
les mesures simplement recommandées. Le coefficient de pondération pour les mesures indispensables
est de 0,6 et celui pour les mesures recommandées est de 0,4. Chaque mesure indispensable vaut
en conséquence 50% de plus qu'une mesure simplement recommandée.
- La prise en compte des mesures recommandées cochées « faites » dans le calcul de l'indice
est proportionnée à la mise en œuvre des mesures indispensables. Ainsi, si aucune mesure
indispensable n'est cochée « faite » mais que toutes les mesures recommandées le sont, la
note sera malgré tout de 0.
- L'indice global est calculé en réalisant une moyenne arithmétique pondérée des
notes de chaque catégorie, chaque coefficient de pondération étant établi à partir du
nombre de mesures contenues au sein de la catégorie correspondante.
Cette note ne constitue pas une preuve du niveau de sécurité du service mais une
évaluation indicative basée sur les déclarations de l'équipe de l'entité ayant
référencé le service. MonServiceSécurisé et l'ANSSI ne peuvent en aucun cas être
tenus responsables d'incidents de sécurité susceptibles d'affecter le service numérique,
quel que soit l'indice attribué à ce dernier.
7. Stipulations diverses
Dans le cas où certaines stipulations des Conditions Générales
d'Utilisation seraient inapplicables pour quelque raison que ce soit, y
compris en raison d'une loi ou d'une réglementation applicable,
l'Utilisateur restera lié par les autres stipulations des Conditions
Générales d'Utilisation. Le fait pour l'ANSSI ou l'Utilisateur de ne
pas se prévaloir d'une ou plusieurs stipulations des Conditions
Générales d'Utilisation ne pourra en aucun cas impliquer la
renonciation par ceux-ci à s'en prévaloir ultérieurement.
8. Droit applicable et attribution de compétence
Les Conditions Générales d'Utilisation sont régies par le droit
français. Toute difficulté relative à la validité, l'application ou
l'interprétation des Conditions Générales d'Utilisation seront
soumises, à défaut d'accord amiable, à la compétence du Tribunal
Administratif de Paris, auquel les parties attribuent compétence
territoriale, quel que soit le lieu d'exécution du Site ou le domicile
du défendeur. Cette attribution de compétence s'applique également en
cas de procédure en référé, de pluralité de défendeurs ou d'appel en
garantie.
9. Contact
Pour toute question ou réclamation concernant le Site ou les Conditions
Générales d'Utilisation, l'Utilisateur peut contacter l'ANSSI aux
coordonnées indiquées dans les Mentions
légales. Pour toute question ou réclamation relative aux cookies et
données à caractère personnel, l'Utilisateur peut contacter l'ANSSI aux
coordonnées indiquées dans la Politique de
confidentialité.