Conditions Générales de Vente (CGV) — Société PhanTom
Version : 1.0 (Mai 2026)
Objet : Prestations d’Audit de Sécurité Offensive, de Tests d’Intrusion (Pentest) et de Scans de Vulnérabilités.
[!WARNING] AVERTISSEMENT JURIDIQUE CRITIQUE
Les prestations réalisées par la société PhanTom impliquent des techniques de simulation d’attaques informatiques (sécurité offensive). Le Client reconnaît expressément que ces opérations présentent des risques intrinsèques d’instabilité, d’interruption de service ou d’altération des systèmes et des données. Les présentes CGV définissent un cadre strict de décharge et de limitation de responsabilité accepté sans réserve par le Client dès la signature du Bon de Commande.
ARTICLE 1 : PRÉAMBULE ET CHAMP D’APPLICATION
Les présentes Conditions Générales de Vente (ci-après « CGV ») régissent de manière exclusive l’ensemble des relations contractuelles entre la société PhanTom (ci-après « PhanTom ») et ses clients professionnels (ci-après le « Client ») relatives aux prestations d’audit de sécurité, tests d’intrusion, scans de vulnérabilités, et autres interventions offensives (ci-après les « Prestations »).
Toute commande passée par le Client implique l’acceptation sans réserve des présentes CGV, qui prévalent sur tout autre document du Client, notamment ses conditions générales d’achat, sauf accord écrit dérogatoire de PhanTom.
ARTICLE 2 : DÉFINITIONS
- Autorisation de Scan / Mandat d’Intrusion : Document écrit, signé par le représentant légal du Client, octroyant expressément à PhanTom l’autorisation légale de simuler des attaques informatiques sur le Périmètre défini.
- Périmètre : Ensemble des adresses IP, plages d’adresses, noms de domaine, URL, API, systèmes, réseaux, matériels ou applications expressément désignés par le Client dans le Bon de Commande ou l’Autorisation de Scan.
- Incident de Production : Toute interruption de service, indisponibilité temporaire ou permanente, ralentissement, dysfonctionnement, crash système, perte ou altération de données survenant au sein du Périmètre ou des infrastructures connexes du Client durant ou à la suite des Prestations.
ARTICLE 3 : CADRE D’AUTORISATION ET GARANTIES DU CLIENT
3.1 Autorisation écrite (“Get Out of Jail Free Card”)
Aucune Prestation de nature offensive ne sera initiée sans la signature préalable par le représentant légal du Client d’un Mandat d’Intrusion formalisé. Ce document constitue l’autorisation écrite au sens de l’article 323-1 et suivants du Code pénal français (accès et maintien frauduleux dans un système de traitement automatisé de données).
3.2 Garantie de propriété du Périmètre
Le Client garantit expressément qu’il est propriétaire légitime du Périmètre audité ou qu’il dispose de toutes les autorisations, licences et mandats écrits nécessaires de la part des tiers propriétaires (hébergeurs, sous-traitants, éditeurs SaaS) pour faire procéder aux interventions de PhanTom. En conséquence, le Client s’engage à garantir et à indemniser PhanTom de l’ensemble des conséquences financières et juridiques (frais de défense, condamnations, indemnités) en cas de recours ou de plainte d’un tiers lié à l’exécution des Prestations sur ledit Périmètre.
ARTICLE 4 : OBLIGATION MAJEURE DE SAUVEGARDE PRÉALABLE
Le Client reconnaît que les Prestations de sécurité offensive comportent un risque inhérent de corruption de données ou d’instabilité des bases de données.
[!IMPORTANT] CONDITION SUSPENSIVE ET OBLIGATORY DE SAUVEGARDE
Le Client a l’obligation stricte, absolue et préalable de réaliser une sauvegarde complète, externalisée et fonctionnelle (testée en restauration) de l’intégralité de ses données, configurations et systèmes du Périmètre avant le début effectif des opérations de PhanTom.
À défaut de pouvoir prouver la réalisation de cette sauvegarde sur simple demande de PhanTom, le Client assume l’intégralité des risques liés à une perte de données et renonce expressément à tout recours contre PhanTom de ce chef.
ARTICLE 5 : INTERRUPTIONS DE SERVICE ET EXONÉRATION DE RESPONSABILITÉ
5.1 Nature des Prestations (Obligation de Moyens)
PhanTom s’engage à exécuter les Prestations selon les règles de l’art et avec toute la diligence professionnelle requise. Eu égard à la nature hautement technique et offensive des tests, PhanTom est soumis à une obligation de moyens, à l’exclusion de toute obligation de résultat.
5.2 Exonération de responsabilité en cas d’Interruption Accidentelle
Le Client est expressément informé que le comportement des systèmes d’exploitation, des services applicatifs, des bases de données et des équipements réseau (tels que les pare-feu ou routeurs) face à des scans de vulnérabilités, des injections de payloads ou des simulations d’exploits de failles de sécurité, est intrinsèquement imprévisible et peut provoquer :
- Des crashs système, gel d’applications ou redémarrages inopinés ;
- Des saturations de ressources (CPU, RAM, bande passante) menant à un déni de service (DoS) accidentel ;
- Le blocage ou le verrouillage de comptes utilisateurs ou d’administration.
En conséquence, PhanTom ne pourra en aucun cas être tenu responsable des pertes d’exploitation, interruptions d’activité, indisponibilités des plateformes de production ou dommages de toute nature subis par le Client ou ses propres clients du fait de telles interruptions accidentelles survenues au cours ou à la suite des tests.
ARTICLE 6 : LIMITATION STRICTE DE LA RESPONSABILITÉ CIVILE
Dans l’hypothèse où la responsabilité de PhanTom serait formellement engagée par le Client au titre d’une faute lourde ou d’un manquement prouvé dans l’exécution de ses obligations contractuelles :
- Plafonnement de l’indemnisation : Le montant cumulé des dommages-intérêts et de toute indemnité mis à la charge de PhanTom, toutes causes confondues (y compris en cas de réclamation au titre de la responsabilité civile professionnelle), sera strictement limité et plafonné au montant hors taxes (HT) effectivement payé par le Client à PhanTom au titre de la prestation spécifique à l’origine du dommage, telle que définie sur le Bon de Commande correspondant.
- Exclusion des dommages indirects : PhanTom ne pourra en aucun cas être tenu d’indemniser les dommages indirects, accessoires ou immatériels subis par le Client, incluant notamment mais sans s’y limiter : les pertes de bénéfices, de chiffre d’affaires, de marge commerciale, de clientèle, les pertes de données ou de fichiers, l’atteinte à l’image de marque ou à la réputation, ainsi que toute action ou réclamation intentée par des tiers contre le Client.
ARTICLE 7 : PRIX, FACTURATION ET MODALITÉS DE PAIEMENT
7.1 Tarifs
Les Prestations sont facturées sur la base du tarif forfaitaire ou journalier convenu dans le Bon de Commande, exprimé en Euros hors taxes (€ HT). La TVA applicable est celle en vigueur au jour de la facturation.
7.2 Retards de paiement
Conformément à l’article L. 441-10 du Code de commerce, tout retard de paiement entraînera de plein droit, dès le jour suivant la date d’échéance :
- L’application de pénalités de retard calculées au taux de refinancement de la Banque Centrale Européenne (BCE) majoré de 10 points de pourcentage ;
- Une indemnité forfaitaire pour frais de recouvrement de quarante (40) euros HT, sans préjudice de toute autre action en réparation du préjudice subi.
ARTICLE 8 : CONFIDENTIALITÉ
Les parties s’engagent à respecter une stricte confidentialité sur toutes les informations échangées dans le cadre des Prestations. Les modalités détaillées de protection des données sensibles et des vulnérabilités découvertes sont régies par l’Accord de Confidentialité (NDA) signé parallèlement entre les parties, qui fait partie intégrante du cadre contractuel global.
ARTICLE 9 : ASSURANCE RESPONSABILITÉ CIVILE PROFESSIONNELLE
PhanTom atteste avoir souscrit et maintenir en vigueur une police d’assurance Responsabilité Civile Professionnelle spécifique aux risques Cyber et Métiers de la Sécurité Informatique auprès d’une compagnie d’assurance notoirement solvable. Cette assurance couvre les conséquences financières de sa responsabilité civile contractuelle dans les limites et conditions fixées par ladite police. Une attestation d’assurance pourra être fournie au Client sur demande écrite.
ARTICLE 10 : LOI APPLICABLE ET JURIDICTION COMPÉTENTE
Les présentes CGV, le Bon de Commande et tout document contractuel y afférent sont régis exclusivement par le droit français.
[!IMPORTANT] CLAUSE ATTRIBUTIVE DE COMPÉTENCE
TOUT LITIGE RELATIF À L’INTERPRÉTATION, L’EXÉCUTION OU LA RUPTURE DES RELATIONS CONTRACTUELLES ENTRE PHANTOM ET LE CLIENT SERA DE LA COMPÉTENCE EXCLUSIVE DU TRIBUNAL DE COMMERCE DU SIÈGE SOCIAL DE PHANTOM, MÊME EN CAS D’APPEL EN GARANTIE OU DE PLURALITÉ DE DÉFENDEURS.