SLA OPERATE — SERVICE LEVEL AGREEMENT EXOCORTEX OPERATE

Version : 1.0 Date d'entrée en vigueur : 2026-04-28 Document : SLA-OPERATE-EXIOR-V1

Préambule

Le présent Service Level Agreement (« SLA Operate ») fixe les engagements de niveau de service applicables au contrat Exocortex Operate (docs/legal/contrat_operate.md). Il en est partie intégrante.

En cas de contradiction avec d'autres documents contractuels, le SLA Operate prévaut pour les questions de niveau de service, le DPA RGPD prévaut pour la protection des données.

Article 1 — Périmètre couvert

Le SLA s'applique à :

• la disponibilité du dashboard web ;
• la disponibilité de l'API REST/MCP ;
• la fraîcheur des données issues des connecteurs read-only et read-write ;
• la disponibilité des livrables récurrents (newsletters, alertes, simulations) ;
• la qualité du support technique (temps de réponse).

Hors périmètre : performances dépendantes de tiers (lenteur d'un ERP Client, indisponibilité d'une source publique externe), maintenance planifiée annoncée 48h à l'avance, force majeure.

Article 2 — Définitions

• Disponibilité : pourcentage de temps pendant lequel le service est accessible et fonctionnel, mesuré sur un mois calendaire.
• Maintenance planifiée : indisponibilité annoncée au moins 48 heures à l'avance, planifiée hors heures ouvrées (22h00-06h00 heure de Paris, week-end inclus).
• Heures ouvrées : du lundi au vendredi, 9h00-18h00 (heure de Paris), hors jours fériés français.
• Incident critique (P1) : indisponibilité totale du service, perte de données critiques, faille de sécurité exploitée.
• Incident majeur (P2) : indisponibilité partielle affectant >25 % des utilisateurs, défaillance d'un connecteur read-write, dégradation significative de performance.
• Incident standard (P3) : bug fonctionnel sans contournement disponible, dégradation mineure.
• Incident bénin (P4) : bug cosmétique, demande d'évolution.
• RTO (Recovery Time Objective) : temps maximal de rétablissement après incident critique.
• RPO (Recovery Point Objective) : perte maximale de données acceptable.

Article 3 — Engagements de disponibilité

| Indicateur | Engagement | |---|---| | Disponibilité dashboard web | ≥ 99,9 % par mois | | Disponibilité API REST/MCP | ≥ 99,9 % par mois | | Fraîcheur des connecteurs read-only | ≤ 24h | | Fraîcheur des connecteurs read-write | ≤ 1h | | Délai de génération des newsletters mensuelles | ≤ 7 jours après la fin du mois de référence | | Délai de génération d'une simulation Monte Carlo | ≤ 24h |

99,9 % par mois = ~ 43 minutes d'indisponibilité non planifiée maximum.

Article 4 — Engagements de support

| Niveau | Délai de prise en compte | Délai de résolution cible | |---|---|---| | P1 — Critique | < 4h ouvrées | 8h ouvrées | | P2 — Majeur | < 8h ouvrées | 24h ouvrées | | P3 — Standard | < 1 jour ouvré | 5 jours ouvrés | | P4 — Bénin | < 5 jours ouvrés | best effort |

Canal d'ouverture de ticket : dashboard, e-mail support@exior.fr, ou API. Aucun support téléphonique.

Article 5 — RTO et RPO

| Indicateur | Engagement | |---|---| | RTO (Recovery Time Objective) | < 4h après incident critique | | RPO (Recovery Point Objective) | < 1h de perte de données | | Backup quotidien | rétention 30 jours | | Backup hebdomadaire | rétention 12 semaines | | Backup mensuel | rétention 12 mois | | Test restauration | trimestriel |

Plan de Continuité d'Activité documenté dans docs/security/business_continuity_plan.md.

Article 6 — Notification incident sécurité

| Type | Délai de notification | |---|---| | Violation de données personnelles RGPD | < 24h (pour permettre la notification CNIL en 72h) | | Incident sécurité majeur sans violation | < 48h | | Incident sécurité bénin | rapport mensuel agrégé |

Article 7 — Mesure et reporting

7.1 Mesure

Disponibilité mesurée par sondes externes indépendantes (UptimeRobot, Pingdom, ou équivalent) toutes les 60 secondes, depuis 3 régions UE.

7.2 Reporting

Rapport mensuel automatique, accessible dans le dashboard administrateur, contenant :

• disponibilité dashboard et API ;
• incidents (nombre, durée, criticité) ;
• temps de réponse support ;
• consommation API ;
• statut des connecteurs.

7.3 Bilan annuel

Synthèse SLA annuelle accompagnant le rapport d'audit trimestriel automatique.

Article 8 — Pénalités contractuelles

En cas de manquement aux engagements de disponibilité, le Client peut demander un crédit calculé sur la facturation mensuelle :

| Disponibilité mensuelle constatée | Crédit | |---|---| | ≥ 99,9 % | 0 % | | 99,5 % à 99,9 % | 5 % | | 99,0 % à 99,5 % | 10 % | | 98,0 % à 99,0 % | 20 % | | < 98,0 % | 30 % |

Plafond annuel : 50 % du forfait annuel.

Pour le manquement aux délais de support : crédit forfaitaire de 500 € HT par incident P1 dépassant le délai, 200 € HT par incident P2.

8.1 Procédure de réclamation

Le Client demande le crédit par e-mail à support@exior.fr dans les 30 jours suivant la fin du mois concerné, en joignant les preuves (logs, captures, sondes externes). Exior répond sous 15 jours ouvrés. Le crédit est appliqué sur la facturation suivante ou remboursé en fin d'engagement.

8.2 Caractère exclusif

Le crédit constitue le seul recours contractuel pour les manquements au SLA, à l'exclusion de tout autre dommage et intérêt, sauf faute lourde ou dolosive d'Exior.

Article 9 — Maintenance planifiée

9.1 Fenêtre

Hors heures ouvrées (22h00-06h00 heure de Paris, week-end inclus). Annonce 48 heures avant via dashboard et e-mail à l'administrateur principal.

9.2 Maintenance d'urgence

En cas de faille de sécurité critique ou risque imminent, Exior peut procéder à une maintenance d'urgence avec préavis < 2 heures, par notification simultanée. Documentation post-incident sous 5 jours.

Article 10 — Évolution du SLA

Toute évolution du SLA est notifiée 60 jours avant entrée en vigueur. Aucune dégradation n'est appliquée en cours d'engagement annuel sans accord écrit du Client.

Fait à Paris, version 1.0 — 2026-04-28

EXIOR SAS — RCS Paris [NUMERO_RCS_A_COMPLETER]