Aller au contenu principal
EXIOR
Pilot
document légal

Contrat Sovereign · 1 500 000 € / an + 250 000 € setup

Contrat type Sovereign — on-premise bank-grade, SLA 15 min.

CONTRAT EXOCORTEX SOVEREIGN — NIVEAU SOUVERAIN BANCAIRE / ÉTAT / DÉFENSE

Niveau : Sovereign (déploiement on-premise / cloud souverain, conformité bank-grade, IP partagée selon termes) Tarif : 1 500 000 € HT/an + 250 000 € HT setup, ou licence perpétuelle 5 000 000 € à 10 000 000 € HT Durée : 12 à 36 mois reconductibles, ou licence perpétuelle Version : 1.0 Document : CONTRAT-SOVEREIGN-EXIOR-V1

Préambule

Le présent contrat est conclu entre :

  • EXIOR SAS, RCS Paris [NUMERO_RCS_A_COMPLETER], siège social [ADRESSE_SIEGE_A_COMPLETER], représentée par son Président Guillaume BAUCHART (« Exior ») ;
  • Le Client souverain — banque tier-1, assureur majeur, fonds, État, ministère, administration, énergéticien régulé, opérateur d'importance vitale (OIV), industrie défense — identifié au Bon de Commande spécifique négocié.

Sovereign est un niveau bancaire / souverain. Il suppose impérativement :

  • la signature préalable du NDA Sovereign (docs/legal/NDA_sovereign.md) ;
  • une due-diligence réciproque approfondie ;
  • un Bon de Commande spécifique négocié, prévalant en cas de conflit avec les présentes ;
  • un audit tier extérieur (cabinet de sécurité au choix Client, raisonnablement accepté par Exior).

Article 1 — Objet

Exior met à disposition du Client un Exocortex Sovereign — couche cognitive externe permanente déployée on-premise sur l'infrastructure Client (cluster bank-grade) ou sur cloud souverain UE (NumSpot, S3NS, Outscale, OVH SecNumCloud Pro), avec doctrine sectorielle propriétaire dérivée d'Exior et customisée par/pour le Client, codebase auditée par tier extérieur, conformité multi-cadres avancée et air-gap deployment possible pour zones classifiées.

Sovereign est conçu pour les organisations dont la souveraineté technologique, la conformité bancaire, le secret défense, la confidentialité État, la criticité OIV ou l'exigence patrimoniale impose un niveau de garanties supérieur à toute offre cloud standard.

Article 2 — Périmètre fonctionnel

2.1 Inclus (en plus du périmètre Augment)

| Item | Détail Sovereign | |---|---| | Déploiement on-premise | Cluster bank-grade chez le Client, dimensionné par Exior | | Cloud souverain UE alternatif | NumSpot, S3NS, Outscale, OVH SecNumCloud Pro selon choix | | Air-gap deployment possible | Zones classifiées, pas de connectivité externe | | Doctrine sectorielle 100 % propriétaire Client | Dérivée Exior + customisations sectorielles, État, défense ou bancaires | | IP partagée selon termes négociés | Peut inclure transfer partiel — voir article 11 | | Codebase auditée par tier extérieur | Cabinet sécurité choix Client, raisonnablement accepté par Exior | | Compliance multi-cadres avancée | SecNumCloud référentiel ANSSI 3.2, HDS (santé), DORA règlement 2022/2554, NIS2 directive 2022/2555, ITAR si applicable défense | | Custom MCP server intégré au SI Client | Claude Code chez le Client si applicable, modèles dédiés | | Support dédié 24/7 | SLA 15 minutes (docs/legal/SLA_sovereign.md) | | Account manager humain | Escalation Exior team, point de contact unique nommé | | Audit annuel par tier extérieur | Inclus dans le forfait | | Certification annuelle multi-cadres | Renouvellement tous les 12 mois | | Modules sectoriels inclus | 5 modules (catalogue) | | Pays inclus | 5 pays (FR + 4 additionnels au choix) | | Roadmap co-construite | Comité technique mixte trimestriel |

2.2 Spécificités souveraines

  • code source consultable par les équipes sécurité du Client sous NDA renforcé ;
  • engagement de non-collaboration avec autorités étrangères au-delà des obligations légales françaises et UE ;
  • mécanisme d'escrow systématique (codebase, doctrine, clés) déposé chez un tiers de confiance ;
  • option d'audit on-site par les équipes sécurité du Client à tout moment, sur préavis raisonnable ;
  • interdiction expresse de tout transfert hors UE sans accord écrit préalable du Client.

2.3 Modules sectoriels Sovereign-only

Les modules Module Défense (150 000 €/an) et Module État/Collectivités (100 000 €/an) sont disponibles uniquement à partir du niveau Sovereign (avec dérogation possible Augment pour les Clients déjà certifiés ITAR / RGCC).

Article 3 — Tarif, paiement et modalités

3.1 Modèle abonnement annuel

  • Setup unique : 250 000 € HT, payable en deux échéances : 50 % à la signature du Bon de Commande, 50 % à la livraison validée du déploiement.
  • Abonnement annuel : 1 500 000 € HT/an, payable à la livraison initiale puis à chaque échéance annuelle. Pour les Clients exigeant un échelonnement trimestriel : 375 000 €/trimestre.

3.2 Modèle licence perpétuelle

Alternative au modèle abonnement, négociable au cas par cas pour les Clients souhaitant une autonomie totale :

  • Licence perpétuelle : 5 000 000 € à 10 000 000 € HT selon périmètre négocié (modules sectoriels, pays, doctrine étendue, transfert IP partiel) ;
  • paiement intégral à la livraison du codebase et de la doctrine, ou échelonnement 50 % / 30 % / 20 % (signature, livraison, recette) ;
  • maintenance annuelle optionnelle 15 % du prix de licence (mises à jour, patches sécurité, support) ;
  • évolutions doctrinales majeures éventuellement facturées séparément après la 36ᵉ mois.

3.3 Modalités de paiement

Virement SEPA ou SWIFT à réception de facture, dans un délai de 30 jours calendaires. Aucun paiement par carte bancaire pour les niveaux ≥ 500 000 € (limites Stripe et bonnes pratiques bancaires).

3.4 Évolution tarifaire

Notification 180 jours avant échéance. Toute évolution tarifaire de plus de 5 % au-delà de l'inflation INSEE peut être contestée et donner lieu à renégociation.

Article 4 — Mise en service Sovereign

4.1 Délais

  • Déploiement initial : entre 90 et 180 jours selon complexité (multi-pays, on-premise vs cloud souverain, certifications requises).
  • Air-gap deployment : entre 180 et 270 jours en raison des exigences spécifiques (MOPS, classifications, accréditations).

4.2 Plan d'onboarding souverain

| Phase | Livrable | Délai indicatif | |---|---|---| | Phase 0 — NDA Sovereign + due-diligence | NDA signé, dossier sécurité Exior fourni | 30 jours | | Phase 1 — Bon de Commande négocié | BC exécuté, plan de déploiement validé | 30 à 60 jours | | Phase 2 — Provisioning infra | Cluster bank-grade ou cloud souverain provisionné | 30 jours | | Phase 3 — Déploiement codebase + doctrine | Pré-production validée | 30 jours | | Phase 4 — Audit tier extérieur initial | Rapport de conformité | 30 jours | | Phase 5 — Calibration sectorielle Client | Doctrine 100 % propriétaire opérationnelle | 30 à 60 jours | | Phase 6 — Recette Client + mise en production | Procès-verbal de recette signé | 15 jours |

4.3 Concours du Client

  • mise à disposition des accès infrastructure (en respect des classifications applicables) ;
  • désignation des sponsors Comex, IT, sécurité, et conformité ;
  • communication des certifications applicables (PASSI, RGS, SecNumCloud, HDS, etc.) ;
  • ouverture des canaux d'audit (logs centraux, SIEM, IRP) ;
  • engagement de coopération de bonne foi pour les phases de recette et certification.

Article 5 — Engagements de niveau de service (SLA Sovereign)

Le SLA Sovereign (docs/legal/SLA_sovereign.md) est partie intégrante. Synthèse :

| Indicateur | Engagement | |---|---| | Disponibilité dashboard | ≥ 99,99 %/mois | | Disponibilité API | ≥ 99,99 %/mois | | Temps de réponse — incident critique (P1) | < 15 minutes | | Temps de réponse — incident majeur (P2) | < 1h | | Temps de réponse — incident standard (P3) | < 4h | | RTO | < 30 minutes | | RPO | < 5 minutes | | Notification incident sécurité | < 1h | | Disponibilité support | 24/7/365 dédié | | Account manager humain | nommé, escalation directe au CEO Exior si requis |

Pénalités contractuelles : crédit allant jusqu'à 100 % de la facturation mensuelle en cas de manquement caractérisé répété, plafonné à 200 % de la facturation mensuelle.

Article 6 — Audit tier extérieur

6.1 Audit initial

À la mise en service, un cabinet sécurité au choix du Client (raisonnablement accepté par Exior — notamment Wavestone, Almond, Synacktiv, Quarkslab, ou équivalent) audite :

  • l'architecture technique ;
  • le codebase ;
  • la doctrine ;
  • les processus opérationnels ;
  • la conformité aux référentiels exigés (SecNumCloud, HDS, DORA, NIS2, ISO 27001).

Les frais sont inclus dans le setup pour le premier audit.

6.2 Audit annuel

Renouvellement annuel, pris en charge par Exior, avec rapport remis au Client et à Exior.

6.3 Engagement de transparence

Exior s'engage à coopérer pleinement avec l'auditeur, à fournir l'accès au codebase, aux logs, aux processus, et à corriger les non-conformités majeures sous 30 jours, mineures sous 90 jours.

Article 7 — Conformité multi-cadres bank-grade

7.1 SecNumCloud référentiel ANSSI 3.2

Pour les Clients exigeant la qualification SecNumCloud (administrations, OIV, défense), Exior s'aligne sur les 364 exigences du référentiel (docs/security/secnumcloud_readiness.md). Hébergement obligatoirement sur cloud souverain qualifié.

7.2 HDS (santé)

Pour les Clients secteur santé manipulant des données de santé à caractère personnel (article R.1111-9 CSP), conformité HDS (docs/security/hds_readiness.md) avec hébergement HDS certifié.

7.3 DORA (finance)

Pour les institutions financières, conformité au Digital Operational Resilience Act (règlement UE 2022/2554) entré en vigueur le 17 janvier 2025 (docs/security/dora_readiness.md). Tests de résilience opérationnelle, gestion des risques tiers, ICT incident reporting.

7.4 NIS2

Pour les entités essentielles ou importantes (docs/security/nis2_readiness.md).

7.5 ITAR

Pour les Clients défense soumis à ITAR ou EAR américains, dispositif spécifique avec ségrégation des accès et collaborateurs habilités, sous réserve de la conformité au droit français et UE applicable.

7.6 ISO/IEC 27001:2022

Certification maintenue, audit annuel.

7.7 ISO/IEC 27701:2019

Privacy Information Management System aligné avec ISO 27701.

Article 8 — Audit log signé GPG bancaire

8.1 Spécificité Sovereign

L'audit log Sovereign (docs/legal/charte_audit_log.md) est :

  • horodaté RFC 3161 par autorité de certification reconnue (LegalAct, Universign, Docusign Standards) ;
  • signé par double clé : clé Exior + clé Client (pour les Clients ayant un PKI interne) ;
  • répliqué en quasi-temps-réel sur le SIEM du Client ;
  • archivé pendant 10 ans minimum (15 ans pour les Clients DORA) ;
  • exportable à toute autorité régulatrice (ACPR, AMF, ANSSI, CNIL, autorité de tutelle Cliente).

8.2 Valeur probante

L'audit log est conçu pour être admissible comme preuve technique dans le cadre :

  • des articles 1366 et 1367 du Code civil ;
  • du règlement eIDAS UE 910/2014 ;
  • des exigences de l'ACPR (instruction 2017-I-09 sur la lutte anti-blanchiment) ;
  • des exigences de l'AMF (RG AMF, instruction 2020-04 sur la cybersécurité) ;
  • des exigences DORA (article 17 ICT incident reporting).

Article 9 — Sécurité bank-grade

Toutes les mesures Augment, plus :

  • HSM (Hardware Security Module) dédié pour les clés critiques ;
  • segmentation réseau VLAN dédié ;
  • chiffrement homomorphe partiel pour les calculs sensibles si exigé ;
  • pentest trimestriel interne + annuel par tier extérieur ;
  • bug bounty programme renforcé ;
  • threat modeling STRIDE actualisé semestriellement ;
  • IRP testé trimestriellement ;
  • exercice continuité mensuel ;
  • formation sécurité personnalisée renforcée ;
  • background check renforcé pour les collaborateurs Exior accédant au tenant Sovereign.

Article 10 — Données personnelles et souveraineté

DPA RGPD intégral (docs/legal/DPA_RGPD.md), avec spécificités Sovereign :

  • hébergement strict France (cloud souverain qualifié SecNumCloud) ou on-premise Client ;
  • aucun sous-traitant hors UE pour le tenant Sovereign sans accord écrit préalable du Client ;
  • engagement contractuel de contestation de toute injonction extraterritoriale (Cloud Act, FISA, NSL) dans la limite légale française et UE ;
  • notification incident sécurité < 1h ;
  • DPO Exior dédié pour les comptes Sovereign avec point de contact unique.

Article 11 — Propriété intellectuelle Sovereign

11.1 Principe général

Exior conserve par défaut l'IP sur la doctrine, le codebase, le scoring, la cartographie OIF.

11.2 IP partagée selon termes négociés

Le Bon de Commande Sovereign peut prévoir :

  • Co-propriété sur les modules sectoriels co-construits (banque, défense, État) ;
  • Transfert partiel de la doctrine sectorielle dérivée au profit du Client (avec maintien de la doctrine cœur Exior) ;
  • Licence perpétuelle, exclusive ou non, sur tout ou partie du codebase ;
  • Escrow systématique pour les éléments non transférés.

Les modalités précises sont négociées dans l'Annexe IP du Bon de Commande.

11.3 Modèle licence perpétuelle

Le modèle licence perpétuelle (5 à 10 M€) emporte transfert d'une licence d'usage perpétuelle, irrévocable, mondiale, non exclusive (sauf option d'exclusivité sectorielle négociée séparément), sur le codebase et la doctrine livrés à la date de la licence. Les évolutions ultérieures peuvent faire l'objet d'une maintenance optionnelle.

11.4 IP Client

Données brutes, résultats opérationnels, choix de gestion = propriété pleine du Client.

11.5 Anonymisation

Pour les Clients Sovereign, l'opt-out de l'anonymisation sectorielle est par défaut activé. Aucun pattern Client Sovereign n'est utilisé pour le benchmark d'autres Clients sans accord écrit explicite.

Article 12 — Confidentialité bank-grade

NDA Sovereign en vigueur (docs/legal/NDA_sovereign.md), obligations survivant 15 ans après extinction. Background check renforcé pour les collaborateurs Exior accédant au tenant. Engagement de notification immédiate en cas d'injonction d'autorité publique étrangère, avec contestation systématique dans les limites légales.

Article 13 — Limitation de responsabilité

13.1 Plafond

Pour le modèle abonnement : montant effectivement encaissé sur 12 mois précédant le fait générateur — soit jusqu'à 1,75 M€ en première année, 1,5 M€ ensuite.

Pour le modèle licence perpétuelle : 100 % du prix de licence + 12 mois de maintenance, plafond global pour toutes causes confondues.

13.2 Sécurité et conformité

Pour les manquements aux engagements de sécurité ou de conformité multi-cadres causant un préjudice direct au Client (sanction ACPR, AMF, ANSSI, CNIL imputable à Exior), le plafond peut être renégocié et étendu jusqu'à 200 % du tarif annuel, dans l'hypothèse d'une faute caractérisée d'Exior.

13.3 Exclusions

Dommages indirects, perte d'exploitation, perte de réputation, perte d'opportunités, perte de données non sauvegardées par le Client.

Article 14 — Résiliation et continuité Sovereign

14.1 Résiliation à l'initiative du Client

Pour le modèle abonnement : 12 à 36 mois fermes selon Bon de Commande. Reconduction tacite ou expresse, dénonciation 90 jours avant échéance par lettre AR.

Pour le modèle licence perpétuelle : la licence est perpétuelle ; seul le contrat de maintenance peut être résilié 90 jours avant échéance.

14.2 Résiliation pour ligne rouge

Mêmes conditions, mais escalade au sponsor Comex Client + DPO Exior + CEO Exior avant résiliation effective.

14.3 Sortie maîtrisée

180 jours de transition organisée :

  • arrêt progressif des exécutions automatisées ;
  • transfert documenté des workflows custom et de la doctrine sectorielle propriétaire ;
  • export complet des données et de l'audit log GPG ;
  • transfert du modèle Monte Carlo et des paramètres ;
  • formation des équipes Client pour reprise interne ou transition vers fournisseur alternatif ;
  • destruction des données du tenant Exior conformément à la rétention.

14.4 Continuité après cessation Exior

L'escrow systématique garantit la continuité : en cas de défaillance d'Exior (cessation d'activité, redressement judiciaire, liquidation), le tiers de confiance débloque automatiquement le codebase, la doctrine et les clés en faveur du Client, conformément aux modalités définies dans l'Annexe Escrow du Bon de Commande.

Article 15 — Loi applicable et juridiction

15.1 Droit applicable

Droit français.

15.2 Juridiction

Tribunaux du ressort de la Cour d'appel de Paris.

15.3 Médiation et arbitrage

Médiation conventionnelle CMAP préalable obligatoire. Pour les Clients souverains acceptant l'arbitrage, recours possible à la Chambre de commerce internationale (CCI Paris) selon clause compromissoire spécifique au Bon de Commande.

Article 16 — Force majeure et événements exceptionnels

Outre les cas définis par l'article 1218 Code civil et la jurisprudence, sont expressément considérés comme cas de force majeure pour Sovereign :

  • attaque cyber étatique majeure documentée ANSSI / NIS2 ;
  • ordre public ou injonction d'autorité publique souveraine empêchant l'exécution ;
  • catastrophe affectant l'infrastructure critique d'hébergement ;
  • pandémie ou conflit armé affectant la zone de juridiction.

Les obligations sont suspendues pendant la durée de l'événement, avec notification < 24h.

Article 17 — Documents contractuels et hiérarchie

Hiérarchie : Bon de Commande Sovereign > NDA Sovereign > DPA RGPD > SLA Sovereign > présent contrat Sovereign > CGV > CGU > documentation lignes rouges > politiques sécurité.

Article 18 — Annexes

  • Annexe A : Modalités de déploiement (on-premise, cloud souverain, air-gap)
  • Annexe B : Modules sectoriels activés (5)
  • Annexe C : Pays activés (5)
  • Annexe D : Conformité multi-cadres applicables
  • Annexe E : Modalités de l'audit tier extérieur
  • Annexe F : Account manager humain dédié — point de contact unique
  • Annexe G : Modalités de l'audit log signé GPG bancaire
  • Annexe H : Termes de l'IP partagée / licence perpétuelle
  • Annexe I : Escrow systématique (codebase, doctrine, clés)
  • Annexe J : Engagement RGPD spécifique du Client
  • Annexe K : Modèle économique (abonnement vs licence perpétuelle)
  • Annexe L : Roadmap co-construite — comité technique mixte trimestriel

Fait à Paris, version 1.0 — 2026-04-28

EXIOR SAS — RCS Paris [NUMERO_RCS_A_COMPLETER] Représentée par son Président, Guillaume BAUCHART