Aller au contenu principal
EXIOR
Pilot
document légal

Conditions Générales d'Utilisation (CGU)

Conditions d'utilisation de l'instrument Exior. Limites, responsabilités, lignes rouges.

CONDITIONS GÉNÉRALES D'UTILISATION — DASHBOARD ET API EXIOR

Version : 1.0 Date d'entrée en vigueur : 2026-04-28 Document : CGU-EXIOR-FR-V1

Préambule

Les présentes Conditions Générales d'Utilisation (« CGU ») régissent l'usage du dashboard web, de l'API REST/MCP et de l'ensemble des interfaces logicielles mises à disposition par EXIOR SAS — société par actions simplifiée, RCS Paris [NUMERO_RCS_A_COMPLETER], siège social [ADRESSE_SIEGE_A_COMPLETER] — au profit de ses Clients abonnés (Pilot, Boot, Operate, Augment, Sovereign) et de leurs Utilisateurs autorisés.

Les CGU complètent les CGV (docs/legal/CGV.md) et le DPA RGPD (docs/legal/DPA_RGPD.md). En cas de contradiction, les CGV prévalent sur les CGU pour les questions commerciales et financières, le DPA prévaut pour les questions de protection des données.

L'usage du dashboard ou de l'API emporte acceptation pleine et entière des présentes CGU.

Article 1 — Définitions

  • Client : personne morale ayant souscrit un abonnement Exior conformément aux CGV.
  • Utilisateur : personne physique habilitée par le Client à accéder au dashboard ou à consommer l'API.
  • Compte : ensemble des identifiants, credentials, tokens et permissions associés à un Utilisateur.
  • Tenant : espace de données isolé propre à chaque Client.
  • Service : ensemble des fonctionnalités du dashboard, de l'API, des connecteurs et des livrables Exior.
  • Doctrine : corpus structuré de 10M+ mots, propriété d'Exior, qui alimente le scoring et les recommandations.

Article 2 — Création et gestion des comptes

2.1 Comptes administrateur

Lors de la mise en service, le Client désigne un ou plusieurs administrateurs (selon le niveau souscrit). L'administrateur principal reçoit ses credentials par canal sécurisé et est responsable de la création et de la gestion des comptes Utilisateurs au sein de son tenant.

| Niveau | Comptes Utilisateurs inclus | |---|---| | Pilot | 5 | | Boot | 10 | | Operate | 30 | | Augment | 100 | | Sovereign | illimité |

Comptes additionnels facturés 50 €/utilisateur/mois HT.

2.2 Authentification

L'authentification s'effectue par e-mail et mot de passe complexe (minimum 14 caractères, mixant majuscules, minuscules, chiffres et symboles), complété d'un second facteur obligatoire (TOTP, FIDO2 ou Passkey). Le SSO SAML 2.0 ou OIDC est inclus pour Operate, Augment et Sovereign.

2.3 Confidentialité des credentials

Chaque Utilisateur s'engage à préserver la confidentialité absolue de ses credentials. Toute action effectuée depuis un compte est réputée effectuée par son titulaire. En cas de soupçon de compromission, l'Utilisateur ou l'administrateur doit notifier immédiatement [DPO_EMAIL_A_COMPLETER] et procéder à la rotation immédiate du mot de passe et du second facteur.

2.4 Désactivation

Tout compte inactif depuis plus de 180 jours est désactivé automatiquement. La réactivation suppose validation explicite de l'administrateur principal du tenant.

Article 3 — Périmètre d'usage autorisé

3.1 Usage professionnel

Le Service est strictement réservé à un usage professionnel interne au Client, dans le cadre de ses activités déclarées lors de la souscription. Tout usage à des fins personnelles, frauduleuses, contraires à la loi ou aux bonnes mœurs est strictement prohibé.

3.2 Usages interdits

Sans préjudice d'autres dispositions, sont notamment interdits :

  1. la revente, sous-licence, location, partage public ou semi-public de tout ou partie du Service ;
  2. la rétro-ingénierie, le décompilage, le désassemblage, l'extraction d'algorithmes ;
  3. l'extraction massive ou systématique de données via scraping non autorisé ;
  4. la création d'un service concurrent à partir des contenus, doctrine, scoring ou cartographie d'Exior ;
  5. l'usage du Service pour conduire des attaques (DDoS, injection, fuzzing non autorisé) ;
  6. l'introduction de virus, vers, chevaux de Troie ou autres charges malicieuses ;
  7. la tentative de contournement des 4 lignes rouges Exior (KYC, paiement, premier contact éditorial, destruction externe irréversible) ;
  8. l'usage du Service pour traiter des données dont le Client n'aurait pas la base légale au sens du RGPD ;
  9. la transmission d'instructions visant à provoquer un comportement de l'agent Exior contraire aux 26 SafetyConstraints documentées.

3.3 Conséquence du manquement

Tout manquement caractérisé entraîne la suspension immédiate des accès, sans préavis, sans indemnité, et sans préjudice des poursuites éventuelles.

Article 4 — Disponibilité du Service

4.1 Engagement général

Exior s'engage à mettre en œuvre les meilleurs efforts pour assurer la disponibilité du Service 24h/24, 7j/7, hors fenêtres de maintenance planifiée annoncées au moins 48 heures à l'avance via le dashboard.

4.2 Engagements contractuels

Les niveaux Operate, Augment et Sovereign bénéficient d'engagements contractuels chiffrés (docs/legal/SLA_operate.md, docs/legal/SLA_augment.md, docs/legal/SLA_sovereign.md). Pilot et Boot sont fournis sans SLA contractuel.

4.3 Maintenance

Exior se réserve le droit de procéder à toute opération de maintenance corrective ou évolutive. Les maintenances majeures (> 30 minutes d'indisponibilité) sont planifiées entre 22h00 et 06h00 (heure de Paris), week-end inclus.

Article 5 — API et limites techniques

5.1 Authentification API

L'accès API s'effectue via token Bearer JWT à durée limitée (rotation 24h) ou via OAuth 2.0 Client Credentials. Les tokens doivent être stockés dans un coffre-fort de secrets (AWS Secrets Manager, HashiCorp Vault, ou équivalent), jamais en clair dans un dépôt de code.

5.2 Quotas

| Niveau | Quota par défaut | Burst | |---|---|---| | Pilot | non disponible | — | | Boot | 100 calls/jour | 10 calls/seconde | | Operate | illimité (rate limit raisonnable) | 100 calls/seconde | | Augment | illimité | 500 calls/seconde | | Sovereign | illimité, dimensionné à la souscription | négocié |

5.3 Versioning

L'API suit un versioning sémantique (v1, v2…). Toute évolution majeure (breaking change) fait l'objet d'une période de coexistence d'au moins 12 mois entre l'ancienne et la nouvelle version.

5.4 MCP server

Pour les niveaux Augment et Sovereign, un serveur MCP (Model Context Protocol) peut être déployé chez le Client pour permettre l'intégration native avec Claude Code ou tout client MCP-compatible.

Article 6 — Données et provenance

6.1 Tagging obligatoire

Toute donnée affichée dans le dashboard ou retournée par l'API est taguée selon l'un des 10 niveaux de provenance documentés dans docs/governance/DOCTRINE.md (P0). L'Utilisateur s'engage à tenir compte de ce tag dans son interprétation : une donnée taguée INFERRED_WEAK ou BENCHMARK ne peut être traitée comme un fait OBSERVED.

6.2 Audit log

Chaque action sensible (modification de configuration, exécution de levier, export de données) est consignée dans un journal d'audit immutable (data/governance/decision_log.jsonl), accessible en lecture aux administrateurs Augment et Sovereign, signé GPG pour les niveaux Augment et Sovereign (docs/legal/charte_audit_log.md).

6.3 Export et portabilité

Le Client peut à tout moment exporter ses données via l'API ou le dashboard, dans des formats ouverts (CSV, JSON, Parquet). Aucune limitation, aucune dégradation n'est appliquée.

Article 7 — Propriété intellectuelle et licence d'usage

7.1 Licence concédée

Exior concède au Client, pour la durée de l'abonnement, une licence non exclusive, non transmissible, non sous-licenciable, mondiale, d'usage du dashboard, de l'API et des livrables, dans les limites du périmètre fonctionnel souscrit.

7.2 Restrictions

Aucun élément du Service ne peut être copié, modifié, redistribué, intégré dans un produit tiers, ou utilisé pour entraîner un modèle d'IA concurrent. Toute violation est sanctionnée par une résiliation immédiate et donne lieu à dommages et intérêts.

7.3 Marques et signes distinctifs

Les marques « Exior », « Exocortex », ainsi que les logos, signes graphiques et noms de modules sectoriels sont la propriété exclusive d'Exior. Toute utilisation à des fins commerciales suppose l'accord exprès préalable d'Exior.

Article 8 — Sécurité et obligations de l'Utilisateur

8.1 Mesures de sécurité

L'Utilisateur s'engage à :

  • maintenir à jour son poste de travail (OS, navigateur, antivirus) ;
  • ne pas accéder au dashboard depuis des réseaux publics non chiffrés ;
  • verrouiller automatiquement sa session après 15 minutes d'inactivité ;
  • ne jamais transmettre ses credentials par email, messagerie instantanée ou téléphone ;
  • signaler tout comportement anormal à [DPO_EMAIL_A_COMPLETER] dans les 24 heures.

8.2 Détection et réponse aux incidents

Exior dispose d'une supervision continue (SIEM, EDR, IDS) et d'un Plan de Réponse aux Incidents documenté dans docs/security/incident_response_plan.md. Le Client est notifié de tout incident affectant ses données dans les délais imposés par le RGPD (72 heures pour notification CNIL en cas de violation à risque élevé).

Article 9 — Réversibilité et retrait

9.1 Pendant le contrat

À tout moment, le Client peut demander l'export complet de ses données via le dashboard. La livraison s'effectue sous 30 jours en formats CSV, JSON ou Parquet.

9.2 À la résiliation

Conformément aux CGV (article 6.5), les données sont restituées sur demande dans un format structuré sous 30 jours après prise d'effet de la résiliation, puis détruites conformément à la politique de rétention (docs/security/data_retention_policy.md). Une attestation de destruction signée GPG est délivrée pour les niveaux Augment et Sovereign.

Article 10 — Modifications des CGU

Exior peut faire évoluer les présentes CGU. Toute évolution substantielle est notifiée 30 jours avant entrée en vigueur, par e-mail à l'administrateur principal et bandeau d'information dans le dashboard. Le maintien de l'usage du Service après notification vaut acceptation.

Article 11 — Cookies et traceurs (volet dashboard)

Le dashboard utilise des cookies strictement nécessaires (session, authentification, CSRF) et des cookies de mesure d'audience anonymisés conformes aux exigences CNIL. Le détail figure dans docs/legal/cookies_policy.md. Aucun cookie publicitaire n'est déposé.

Article 12 — Loi applicable et juridiction

Les présentes CGU sont régies par le droit français. Tout litige relatif à leur interprétation ou exécution relève de la compétence exclusive des juridictions du ressort de la Cour d'appel de Paris.

Article 13 — Contact

Toute question relative aux CGU peut être adressée à :

  • Support : support@exior.fr (réponse < 2h heures ouvrées Boot+ ; SLA contractuel Operate+)
  • DPO : [DPO_EMAIL_A_COMPLETER]
  • Adresse postale : EXIOR SAS, [ADRESSE_SIEGE_A_COMPLETER]

Fait à Paris, version 1.0 — 2026-04-28

EXIOR SAS — RCS Paris [NUMERO_RCS_A_COMPLETER]