Aller au contenu principal
EXIOR
Pilot
document légal

Contrat Augment · 500 000 € / an + 75 000 € setup

Contrat type Augment — Comex cybernétique, SLA 1h, dédié.

CONTRAT EXOCORTEX AUGMENT — NIVEAU INSTITUTIONNEL

Niveau : Augment (jumeau numérique organisationnel, multi-pays, conformité multi-cadres) Tarif : 500 000 € HT/an + 75 000 € HT setup unique Durée : 12 mois reconductibles tacitement (engagement minimum 12 mois) Version : 1.0 Document : CONTRAT-AUGMENT-EXIOR-V1

Préambule

Le présent contrat est conclu entre :

  • EXIOR SAS, RCS Paris [NUMERO_RCS_A_COMPLETER], siège social [ADRESSE_SIEGE_A_COMPLETER] (« Exior ») ;
  • Le Client institutionnel (ETI 1 000-5 000 salariés, scale-up financée, banque tier-2, family office, fonds), identifié au Bon de Commande spécifique signé.

Augment est un niveau institutionnel. Il suppose un Bon de Commande spécifique, une due-diligence réciproque préalable, et la signature d'un NDA renforcé.

Article 1 — Objet

Exior met à disposition du Client un Exocortex Augment — couche cognitive externe permanente comprenant un jumeau numérique organisationnel complet : modélisation Monte Carlo continue, forecast 12-24 mois auto-rafraîchi quotidien, scoring prédictif des risques 6 mois (financier, opérationnel, légal, cyber), recommandation de capital allocation.

Augment ne se substitue pas au Comex : il augmente sa capacité cognitive en générant en continu les analyses, scénarios, alertes et notes de cadrage qu'un Comex devrait produire mais ne produit pas faute de bande passante.

Article 2 — Périmètre fonctionnel

2.1 Inclus (en plus du périmètre Operate)

| Item | Détail Augment | |---|---| | Jumeau numérique organisationnel complet | modèle Monte Carlo continu, P&L / bilan / cash projetés | | Forecast 12-24 mois auto-rafraîchi | quotidien, multi-scénarios | | Score prédictif risques 6 mois | financier, opérationnel, légal, cyber | | Recommandation capital allocation | automatisée, taggée provenance | | « Comex cybernétique » | livrables hebdo automatisés (note de cadrage, scénarios, alertes) | | Multi-pays | FR + 1 pays additionnel inclus (DE, BE, ES, IT, UK au choix) | | Modules sectoriels custom | 5 modules inclus (parmi le catalogue) | | Connecteurs SaaS étendus | Salesforce, HubSpot, NetSuite, SAP | | Conformité multi-cadres | ISO 27001:2022, NIS2 (directive 2022/2555), CSRD (directive 2022/2464) | | Audit log signé GPG | preuve de raisonnement Exior pour CAC / régulateurs | | Dashboard exécutif personnalisé | KPIs adaptés Comex/Conseil | | Account manager virtuel dédié | chatbot Exior premium, mémoire continue | | Support 24/7 | SLA 1h (docs/legal/SLA_augment.md) | | Audit trimestriel humain Exior team | revue scoring + drift + sécurité, 4 par an |

2.2 Exclu (réservé Sovereign)

  • déploiement on-premise / air-gap ;
  • doctrine sectorielle propriétaire Client ;
  • IP partagée ou licence perpétuelle ;
  • conformité SecNumCloud ANSSI / HDS / DORA / ITAR (disponibles via modules add-ons mais ne sont pas natifs Augment) ;
  • audit annuel par tier extérieur ;
  • account manager humain dédié.

Article 3 — Tarif, paiement et reconduction

3.1 Prix

  • Setup unique : 75 000 € HT, payable à la souscription, couvrant onboarding renforcé (60 jours), intégration multi-pays, calibration custom des modules sectoriels, formation Comex, déploiement audit log GPG, mise en conformité multi-cadres.
  • Abonnement annuel : 500 000 € HT/an.

3.2 Modalités

100 % upfront via Stripe Checkout (carte ou SEPA Instant) ou virement à réception de facture sous 8 jours. Pour les Clients institutionnels exigeant une facturation trimestrielle, échelonnement possible sur quatre trimestres (125 000 € + setup à la signature, puis 125 000 € à T+3, T+6, T+9), sous réserve d'accord écrit d'Exior.

3.3 Engagement minimum

Engagement ferme de 12 mois. La reconduction tacite par périodes de 12 mois opère sauf dénonciation 30 jours avant échéance.

3.4 Évolution tarifaire

Notification 90 jours avant échéance pour Augment (vs 60 jours pour Operate), permettant au Client d'arbitrer en toute connaissance.

Article 4 — Mise en service

4.1 Délais

  • Activation dashboard : sous 5 jours ouvrés.
  • Onboarding complet : sous 60 jours.

4.2 Plan d'onboarding renforcé

| Étape | Livrable | Délai | |---|---|---| | Kick-off institutionnel | Bon de Commande exécuté, NDA renforcé signé, MFA et SSO actifs | J+0 | | Provisioning multi-pays | tenant France + pays additionnel, géolocalisation données respectée | J+5 | | Connecteurs étendus (Salesforce, HubSpot, NetSuite, SAP) | flux validés en sandbox puis production | J+20 | | Calibration des 5 modules sectoriels | doctrines sectorielles activées | J+30 | | Construction du jumeau numérique | modèle Monte Carlo opérationnel | J+45 | | Mise en conformité multi-cadres (ISO 27001, NIS2, CSRD) | preuves générées | J+50 | | Activation audit log signé GPG | clés générées, rotation programmée | J+55 | | Premier livrable Comex cybernétique | note de cadrage hebdo + scénarios | J+60 |

4.3 Concours du Client

  • désignation d'un sponsor Comex et d'un sponsor IT ;
  • communication de la cartographie SI existante ;
  • accès aux ERP/CRM en sandbox puis production ;
  • déclaration des entités multi-pays ;
  • engagement de mise à disposition d'un point de contact RGPD/sécurité.

Article 5 — Engagements de niveau de service (SLA Augment)

Le SLA Augment (docs/legal/SLA_augment.md) est partie intégrante. Synthèse :

| Indicateur | Engagement | |---|---| | Disponibilité dashboard | ≥ 99,95 %/mois | | Disponibilité API | ≥ 99,95 %/mois | | Temps de réponse — incident critique (P1) | < 1h | | Temps de réponse — incident majeur (P2) | < 4h | | Temps de réponse — incident standard (P3) | < 8h ouvrées | | RTO | < 1h | | RPO | < 15 min | | Notification incident sécurité | < 4h | | Disponibilité support | 24/7/365 |

Pénalités contractuelles : crédit allant jusqu'à 50 % de la facturation mensuelle en cas de manquement répété, plafonné à 100 % de la facturation mensuelle.

Article 6 — Audit trimestriel humain Exior team

Quatre fois par an, une équipe humaine d'Exior procède à une revue approfondie comprenant :

  • revue de la calibration des leviers (drift, refutation results, blast_radius) ;
  • revue sécurité (logs SIEM, alertes IDS, vulnérabilités) ;
  • revue conformité (ISO 27001, NIS2, CSRD, RGPD) ;
  • revue stratégique (alignement avec les enjeux Client, recommandations) ;
  • revue de l'audit log GPG (intégrité, complétude).

Un rapport de revue est délivré sous 15 jours après la session, signé GPG, archivé dans le dashboard et exportable.

Article 7 — Conformité multi-cadres

7.1 ISO/IEC 27001:2022

Le tenant Client est aligné sur les 114 contrôles de l'Annexe A (docs/security/iso27001_readiness.md). Pour les Clients certifiés, Exior fournit les preuves nécessaires à leur propre audit annuel.

7.2 NIS2 (directive 2022/2555)

Pour les entités essentielles ou importantes au sens de NIS2, Exior fournit les preuves de conformité (mesures techniques et organisationnelles, gouvernance, gestion des incidents, supply chain, audits) — voir docs/security/nis2_readiness.md.

7.3 CSRD (directive 2022/2464)

Le reporting CSRD/ESG est généré automatiquement, conforme aux ESRS (European Sustainability Reporting Standards), avec audit trail complet.

7.4 Modules de conformité sectoriels

Pour les Clients secteurs régulés, modules add-ons disponibles (HDS pour santé, DORA pour finance, ITAR si applicable défense). Voir le catalogue.

Article 8 — Audit log signé GPG (charte spécifique)

L'audit log immutable signé GPG (docs/legal/charte_audit_log.md) constitue une preuve de raisonnement opposable :

  • chaque décision majeure consignée en JSONL append-only ;
  • signature GPG par la clé Exior dédiée au tenant Client ;
  • horodatage RFC 3161 ;
  • export à la demande pour CAC, régulateur, autorité judiciaire ;
  • intégrité vérifiable par tiers (la clé publique Exior est documentée).

Cet audit log est admissible comme preuve technique dans le cadre de la jurisprudence française (article 1366 Code civil — équivalence preuve écrite et signature électronique qualifiée).

Article 9 — Sécurité renforcée

Toutes les mesures Operate, plus :

  • KMS dédié au tenant Augment (clés racine isolées) ;
  • VPC dédié si demandé ;
  • chiffrement bout-en-bout pour les flux Comex sensibles ;
  • pentest semestriel (vs annuel pour Operate) ;
  • bug bounty programme actif (docs/security/pentests_plan.md) ;
  • Threat Modeling STRIDE actualisé annuellement (docs/security/threat_model.md) ;
  • IRP testé semestriellement (vs annuellement pour Operate) ;
  • exercice continuité trimestriel (vs bi-annuel) ;
  • formation sécurité personnalisée pour les administrateurs Client.

Article 10 — Données personnelles

DPA RGPD intégral. Hébergement strict France/UE. Notification violation < 4h (vs 24h Operate). Pour les modules sectoriels HDS, hébergement HDS certifié. Pour les modules SecNumCloud, hébergement SecNumCloud (Sovereign uniquement).

Article 11 — Propriété intellectuelle

11.1 IP Exior

Doctrine, codebase, scoring, cartographie, modules sectoriels = propriété exclusive d'Exior.

11.2 IP Client

Données brutes, résultats opérationnels, choix de gestion = propriété pleine et entière du Client.

11.3 Modules sectoriels custom et workflows

Les modules sectoriels co-construits avec le Client (5 inclus) restent IP Exior, avec licence d'usage perpétuelle non exclusive, non transmissible au profit du Client tant qu'un abonnement Augment ou Sovereign est actif.

11.4 Anonymisation

Patterns anonymisés utilisables par Exior pour le benchmark sectoriel, opposition possible. Pour les Clients institutionnels, l'opposition est facilitée par défaut sur demande.

Article 12 — Confidentialité institutionnelle

NDA renforcé signé en parallèle, alignant Exior sur les exigences de confidentialité sectorielles du Client (banque, santé, défense). Obligations survivant 10 ans après extinction (vs 5 ans pour Operate). Engagement de notification immédiate en cas d'injonction d'autorité publique étrangère (Cloud Act, FISA), avec contestation systématique dans la limite légale française.

Article 13 — Limitation de responsabilité

13.1 Plafond

Montant effectivement encaissé sur 12 mois (CGV article 8) — soit jusqu'à 575 000 € la première année, 500 000 € les années suivantes.

13.2 Cas particulier exécution automatisée

Pour les exécutions Augment, la responsabilité d'Exior est strictement limitée aux dommages directement causés par une défaillance technique imputable à Exior. Sont exclus les dommages liés à une instruction Client défectueuse, retard Client, défaillance d'un système tiers.

13.3 Exclusions

Dommages indirects, perte d'exploitation, perte de CA, perte d'image, perte d'opportunités, perte de données non sauvegardées par le Client.

Article 14 — Résiliation

14.1 Conditions normales

12 mois fermes. Reconduction tacite, dénonciation 30 jours avant échéance.

14.2 Résiliation pour ligne rouge

Résiliation immédiate, sans indemnité, sans remboursement, en cas de demande Client de franchir une ligne rouge.

14.3 Sortie organisée

En cas de résiliation, Exior s'engage à organiser une sortie maîtrisée sur 90 jours :

  • arrêt progressif des exécutions automatisées ;
  • transfert documenté des workflows custom ;
  • export complet des données (CSV, JSON, Parquet) ;
  • export de l'audit log GPG signé ;
  • fourniture des modèles Monte Carlo en format ouvert (Python notebook + paramètres) pour permettre la reprise par un autre fournisseur ou en interne ;
  • destruction des données conformément à la rétention.

14.4 Continuité après cessation Exior

Mécanisme d'escrow doctrinale et codebase chez tiers de confiance, débloqué en cas de défaillance avérée d'Exior, modalités précisables dans un avenant.

Article 15 — Loi applicable et juridiction

Droit français. Tribunaux du ressort de la Cour d'appel de Paris. Médiation conventionnelle CMAP préalable obligatoire avant toute action judiciaire.

Article 16 — Documents contractuels

Hiérarchie : DPA RGPD > SLA Augment > présent contrat Augment > CGV > CGU > NDA renforcé > documentation lignes rouges > politiques sécurité.

Article 17 — Annexes

  • Annexe A : Pays additionnel choisi
  • Annexe B : Modules sectoriels activés (5)
  • Annexe C : Périmètre multi-entités
  • Annexe D : Connecteurs SaaS activés
  • Annexe E : Liste des sponsors Comex et IT
  • Annexe F : Engagement RGPD spécifique du Client
  • Annexe G : Modalités de l'audit trimestriel humain
  • Annexe H : Configuration de l'audit log GPG (clés, rotation)

Fait à Paris, version 1.0 — 2026-04-28

EXIOR SAS — RCS Paris [NUMERO_RCS_A_COMPLETER]