L’historique du document est dans le tableau suivant :

1    Intégralité du présent accord

Le présent accord ne représente pas l’intégralité de l’accord entre l’AC et les porteurs de certificats (la notion de porteur et d’abonnée est confondue), signataires et utilisateurs de certificats.

L’intégralité des obligations et engagement de l’AC et, le cas échéant du service de signature Datasure sont décrits dans sa Politique de  Certification / Déclaration des pratiques de certification publiques.

Les présentes CGU complètent la Politique de certification de l’AC, les CGV et CGU du site Datasure.

2    Objet

Le présent document décrit les Conditions Générales d’Utilisation à destination des abonnés, porteurs de certificats, signataires et utilisateurs souhaitant

• utiliser l’AC Datasure et le service de signature et de gestion de QSCD de Datasure. et
• vérifier les certificats émis par Datasure.

Avant toute utilisation du Service, l’Utilisateur reconnaît :

• Avoir pris connaissance des présentes CGU ;
• Disposer de la capacité juridique et des habilitations pour s’engager au titre des présentes CGU
• Accepter sans réserve les présentes CGU.

L’acceptation est matérialisée en cliquant sur la case à cocher lors de la création d’un compte d’Utilisateur, d’une signature électronique, ou de la signature d’un devis/contrat comportant les CGUs en Annexe.

Les CGU sont mises à sa disposition par l’AC Datasure sur son site de publication. Elles peuvent être téléchargées au format PDF.

3    Informations de contact

Toute demande relative au service est à adresser au point de contact fourni à l’adresse suivante :

Datasure peut également être contacté au travers du formulaire de contact disponible sur son site internet :  https://www.datasure.net

4    Service d’émission de certificats

Le Service d’émission de certificat permet d’obtenir un certificat électronique pour diverses finalités après des vérifications effectuées par l’autorité d’enregistrement.

4.1    Accès au service

L’accès au Service nécessite de disposer d’équipements logiciels et matériels adaptés pour accéder au Service ; Ces équipements diffèrent selon le type de certificats

4.1.1      Accès au service par API

4.1.2      Accès au service par le navigateur

Les autres offres nécessitent d’avoir un navigateur internet récent (Edge, Safari, Chrome ou Firefox par exemple). Certain moyens d’identification à distance peuvent nécessiter des équipements supplémentaires (téléphone portable muni d’une caméra, connexion 4G…) décrit dans les conditions générales du service.

4.2    Moyen d’identification proposés

4.3    Acceptation du certificat

L’acceptation du certificat est réalisée de façon explicite.

5    Service de signature et de cachet

Datasure, pour certaines de ses offres, opère pour le compte du porteur le service de signature ou de cachet électronique à distance en mettant en œuvre la clé privée de ce dernier. Ce service concerne exclusivement les offres suivantes :

Ces services ne peuvent être souscrit sans souscription conjointe au service de signature ou de cachet correspondant.

5.1    Opérations réalisées par le service de création de signature ou de cachet à distance pour le compte du Client

Datasure réalise, pour le compte du signataire, les opérations suivantes :

• Génération de la biclé dans un dispositif QSCD à distance ;
• Génération de la demande de certificat (CSR) au nom du signataire depuis le QSCD et soumission à l’AC avec les données d’identification ;
• Récupération du certificat et installation du certificat sur le dispositif de création de signature ou de cachet à distance ;
• Création d’une signature électronique ou d’un cachet électronique à l’aide de la clé privée et du certificat à la demande du signataire et après identification ou authentification de celui-ci.

5.2    Accès au service

5.2.1      Accès au service par API (certificats de cachet à distance)

5.2.2 Accès au service au travers de l’interface de signature

.

5.3    Disponibilité

Datasure propose un niveau de 99,5% mensuel dans le cadre des presentes CGUs.

5.4    Limite du service

Seul le service de signature Datasure et le QSCD managé associé peuvent être utilisés dans le cadre de ce service. Seul la signature PAdES est supporté par le service. Le cachet est limité aux formats PAdES et aux signatures cryptographiques.

6    Type de certificats et usages

Le service d’émission de certificat est opéré conformément aux normes suivantes :

7    Limites d’utilisation

Les événements relatifs à l’émission d’un certificats sont conservés pendant une période de 7 ans après l’expiration du certificat, conformément aux exigences de l’ANSSI.

Datasure ne vérifie pas l’adéquation du service fourni avec la réglementions applicable au porteur. En particulier, Datasure n’est pas habilité à traiter des données de santé ou des données relevant de la diffusion restreinte ou du confidentiel défense. A ce titre, Datasure décline toute responsabilité en cas d’utilisation non adéquate de son service.

8    Obligations du porteur relatives au service d’émission de certificat

Le porteur a le devoir de :

• communiquer des informations exactes et à jour lors de la demande ou du renouvellement du certificat ;
• respecter les conditions d’utilisation de sa clé privée et du certificat correspondant ;
• informer l’AC de toute modification concernant les informations contenues dans son certificat ;
• faire, sans délai, une demande de révocation de son certificat auprès de l’Autorité d’enregistrement (AE), du Mandataire de certification (MC) de son entreprise, ou de l’AC, en cas de compromission ou de suspicion de compromission de sa clé privée (ou de ses données d’activation).

Des obligations complémentaires sont applicables pour certains types de certificats.

En souscrivant au service, le porteur  accepte également :

• l’ensemble des obligations suscitées, y compris l’obligation d’utiliser un QSCD pour les offres où celui-ci est nécessaire ;
• que Datasure conserve son dossier d’enregistrement et les traces de sa délivrance de certificat, et le cas échéant, les traces de cycle de vie des clés du QSCD, pour la durée légale indiquée dans les présentes CGUs, ainsi que les traces liées au processus de révocation, le cas échéant ;
• Qu’en cas d’arrêt d’activité, ces éléments puissent être transmis à un tiers en assurant sa conservation.

Datasure ne réalise pas de publication de certificats.

9    Obligations relatives à la vérification des certificats

Il est recommandé à l’utilisateur, en plus de la validation de la signature électronique, de vérifier le certificat de signature électronique ou de cachet électronique apposé. Les informations permettant de vérifier ces certificats sont disponibles sur le site de Datasure.

Le Service mis à la disposition de l’utilisateur par l’AC permet :

• D’obtenir l’ensemble des certificats de la chaîne de certification jusqu’à l’AC Racine ;
• D’obtenir les listes de certificats révoqués (LCR). Les LCR sont conformes à la norme IETF RFC 5280.

Le service est disponible, en fonctionnement normal, 24h/24 et 7J/7 selon les conditions prévues par la Politique de Certification de l’AC. Datasure met également à disposition un service de répondeur OCSP.

L’utilisateur souhaitant utiliser un certificat électronique émis par l’AC Datasure est tenu de s’assurer de l’utilisation appropriée des informations contenues dans le certificat, notamment en :

• vérifier et respecter l’usage pour lequel un certificat a été émis ;
• pour chaque certificat de la chaîne de certification, du certificat du porteur jusqu’à l’AC Racine, vérifier la signature numérique de l’AC émettrice du certificat considéré et contrôler la validité de ce certificat (dates de validité, statut de révocation) ;
• vérifier et respecter les obligations des utilisateurs de certificats exprimées dans la PC/DPC.

Ces vérifications peuvent être réalisées de façon automatique par des outils standards du marché tels que Acrobat Reader™ ou les bibliothèques Open-Source SD-DSS (fournies par la Commission européenne) et OpenSSL.

Conformément à la PC, cas de fin de vie, concernant le statut de révocation :

• la responsabilité de l’activité de publication sera reprise par le Groupe Certisure, maison mère de Datasure.
• En cas d’arrêt du groupe, Datasure a créé une entité indépendante chargée d’assurer la continuité de la publication, en particulier des dernières CRL produites. Cette entité dispose des ressources nécessaires pour assurer cette publication pour la durée légale de 7 ans.

10    Rétention des traces

L’ensemble des traces relatives aux services de confiance sont conservées pendant une période de 7 ans après expiration du certificat conformément aux exigences de l’ANSSI.

11    Limites de responsabilité.

La responsabilité de Datasure ne pourra être engagée en cas de non-respect par le porteur ou l’utilisateur des présentes conditions contractuelles.

En particulier, la responsabilité de Datasure ne pourra être engagée en cas d’inadéquation entre le niveau offert par le service, tel que décrit dans les présentes conditions et dans la politique du service, et les besoins de sécurité attendu par le client ou l’utilisateur.

Le service d’émission de certificat de Datasure se limite à la mise à disposition d’un dispositif technique aux porteurs et utilisateurs. La responsabilité de Datasure ne pourra être engagée en cas d’usage du service par le porteur ou l’utilisateur à des fins illégales ou non-conformes à la réglementation.

De même, Datasure ne pourra être tenu responsable des dommages, directs ou indirects causés par la divulgation des moyens de connexion fournis pour accéder au service.

Datasure ne pourra être tenu responsable d’aucun dommage indirect découlant de l’utilisation du service et en tout état de cause, la responsabilité sera limitée à hauteur du montant versé à Datasure pour l’obtention du certificat de signature électronique et le cas échéant, pour la réalisation d’un processus de signature.

Les informations nécessaires à la mise en œuvre de la procédure de vérification des

des signatures et certificats sont disponibles sur le Site de publication de Datasure.

En cas d’évènement affectant la sécurité du Service et qui pourraient entraîner une conséquence sur les certificats, les signatures ou les cachets, une information appropriée sera mise à la disposition des Utilisateurs via le Site de publication de Datasure.

12    Politiques applicables

Les politiques applicables pour chacune des offres sont précisées dans le tableau suivant.

13    Politique de protection des données à caractère personnel

La politique générale de protection de données à caractère personnel de Datasure est applicable.

En particulier :

• Datasure ne réalise aucune analyse du contenu sémantique des documents fournis. Un haché est calculé sur le document à des fins de création de la signature électronique
• Datasure n’utilise les données à caractères fournies, en particulier les données d’enregistrement, que dans la stricte finalité de la gestion de certificats et des signatures.

14    Politique de remboursement

Il n’est pas prévu de remboursement.

15    Disponibilité

L’engagement de disponibilité du service d’émission de certificat fourni est 99.5% mensuel. L’engagement de disponibilité du service de gestion de dispositif de création de signature ou cachet à distance est 99,5% mensuel.

16    Loi applicable

La loi applicable est la loi française.

En cas de litige entre les parties découlant de l’interprétation, l’application et/ou l’exécution du contrat et à défaut d’accord amiable entre les parties, la compétence exclusive est attribuée au Tribunal de commerce de Béziers et en tout état de cause aux juridictions de la Cour d’appel de Montpellier.

17    Procédure en cas de litige

En cas de litige, les parties chercheront un accord à l’amiable. A ce titre, Datasure pourra être contacté au point de contact mentionné dans la politique de certification et rappelé dans les présentes.

18    Conformité et audit

Le comité de Direction de Datasure procède à la validation de la conformité du service par rapport à ses engagements inscrits dans la PC.

Un contrôle de conformité est réalisé lors de la mise en service au travers d’une homologation de sécurité du service. De plus, un audit interne sera réalisé au moins tous les deux ans, en alternance avec l’audit biannuel d’évaluation de la conformité.

Dans le cadre d’obtention de la qualification eIDAS de ces services de confiance, l’audit d’évaluation de la conformité est réalisé par une société externe dûment accréditée ou autorisée, et la qualification est demandée auprès de l’organe de contrôle national, l’ANSSI.

Pour les certificats qualifiés, la procédure de qualification de l’organe de contrôle national induit la conformité :

• Aux normes ETSI EN 319401, ETSI EN 319411-1 et ETSI EN 319411-2 ;
• Aux exigences complémentaires énoncées dans ladite procédure de qualification, en particulier les exigences relatives aux dispositifs cryptographiques.