Conditions Générales d'Utilisation

Conditions Générales d'Utilisation d'EuTrustedIA.eu — règles d'usage du service Annuaire, POSITRONIA Desktop App (Local-First), Espace Client et modules Auditeur.

Dernière mise à jour : — Version V0.3

Conditions Générales d'Utilisation

Version V0.3 — 2026-06-30 Les présentes Conditions Générales d'Utilisation (ci-après « CGU ») régissent l'usage du service EuTrustedIA.eu et de ses composants associés. Elles sont conformes aux obligations légales suivantes :

  • Règlement (UE) 2022/2065 (DSA — Digital Services Act) du 19 octobre 2022, articles 14 et 16 (notice-and-action)
  • Loi pour la Confiance dans l'Économie Numérique (LCEN) du 21 juin 2004
  • Règlement Général sur la Protection des Données (RGPD) du 27 avril 2016, article 6 (consentement explicite)
  • AI Act (Règlement UE 2024/1689) du 13 juin 2024, article 50 (transparence IA)
  • Code de la consommation (articles L.212-1 et suivants — clauses abusives ; article liminaire — définition du professionnel)
  • Code civil (articles 1101 et suivants — droit des contrats)

Ces CGU sont complémentaires de nos Mentions Légales et de notre Politique de Confidentialité. Pour les conditions de vente et de paiement des abonnements et services payants, se reporter aux Conditions Générales de Vente (CGV) publiées séparément.

Dernière mise à jour : 2026-06-10 (V0.2 — passage B2B-only (clause champ d'application §2.3bis) + corrections GATE Temps 1 : terminologie nœuds ADR 2026-05-30, pricing auditeur workflow neutralisé, DSA référence LCEN mise à jour, plafond gratuits relevé, Semgrep retiré, placeholder storage résolu, renommage POSITRONIA. Validation avocat tech planifiée Phase B, cf. ADR 2026-05-07__doctrine_juridique_temps_1_temps_2.md).


Table des matières

  1. Préambule et objet
  2. Acceptation des CGU
  3. Description du service
  4. Inscription et création de compte
  5. Conditions d'accès et utilisation de l'Annuaire EuTrustedIA
  6. Conditions d'utilisation de POSITRONIA Desktop App
  7. Conditions d'utilisation de l'Espace Client cloud
  8. Active Learning POSITRONIA — opt-in par finding
  9. Comportements interdits
  10. Modération et signalement (DSA Art. 16)
  11. Suspension et résiliation du compte
  12. Propriété intellectuelle
  13. Limitation de responsabilité
  14. Données personnelles
  15. Force majeure
  16. Modification des CGU
  17. Loi applicable et juridiction
  18. Contact

1. Préambule et objet

Le service EuTrustedIA.eu (ci-après « le Service ») est édité par Laurent Gérard SOUHY, exerçant en qualité d'Entrepreneur Individuel sous la dénomination commerciale « PiaXel » (cf. Mentions Légales §1).

Les présentes CGU ont pour objet de définir les règles d'usage du Service par toute personne physique ou morale y accédant (ci-après « l'Utilisateur »), qu'il s'agisse d'un visiteur non-inscrit, d'un compte gratuit, d'un abonné payant ou d'un expert inscrit dans l'Annuaire.

Distinction CGU vs CGV :

  • Les présentes CGU régissent l'usage du Service : règles d'accès, comportements autorisés et interdits, modération, droits et obligations réciproques en matière d'utilisation des fonctionnalités.
  • Les Conditions Générales de Vente (CGV) régissent les transactions commerciales : prix, modalités de paiement, facturation, garanties commerciales, modalités d'abonnement et de résiliation des plans payants. Le droit de rétractation prévu aux articles L.221-18 et suivants du Code de la consommation ne s'applique pas au Service (cf. §2.3bis).

L'Utilisateur est invité à consulter conjointement les CGU et les CGV pour toute relation contractuelle impliquant un paiement.

2. Acceptation des CGU

2.1 Acceptation explicite à l'inscription

La création d'un compte sur le Service (Annuaire, Espace Client POSITRONIA, accès aux modules Auditeur) suppose l'acceptation explicite et préalable des présentes CGU, matérialisée par une case à cocher dédiée lors de l'inscription via le système d'authentification Better Auth.

L'absence de coche bloque techniquement la création du compte. Aucun compte ne peut être créé sans acceptation préalable des CGU.

2.2 Prise de connaissance par usage

Pour les visiteurs non-inscrits accédant aux pages publiques du Service (consultation de l'Annuaire, lecture du blog SEO, téléchargement du Livre Blanc EUDAI), l'usage du Service vaut prise de connaissance des présentes CGU dans la limite des fonctionnalités accessibles sans compte.

2.3 Capacité juridique

L'Utilisateur déclare disposer de la capacité juridique nécessaire pour s'engager au titre des présentes CGU. Pour les personnes morales, l'Utilisateur déclare être habilité à engager l'entité représentée.

Le Service est destiné à un usage professionnel B2B (solopreneurs IA, TPE/startups, agences AIA / AIaaS, cabinets juridiques, DPO). Les mineurs et les consommateurs au sens de l'article liminaire du Code de la consommation ne sont pas la cible du Service.

2.3bis Champ d'application — réservé aux professionnels

Champ d'application — réservé aux professionnels. Les Services EuTrustedIA sont réservés exclusivement aux professionnels : toute personne physique ou morale agissant pour les besoins de son activité professionnelle (commerciale, industrielle, artisanale, libérale, agricole), y compris solopreneurs, micro-entrepreneurs, TPE, startups, DPO, avocats, agences. EuTrustedIA ne contracte pas avec des consommateurs au sens de l'article liminaire du Code de la consommation. Lors de la souscription, le Client déclare expressément (case à cocher obligatoire) souscrire pour les besoins de son activité professionnelle et renseigne son numéro d'identification professionnel (SIREN/SIRET ou équivalent UE). En conséquence, le droit de rétractation des articles L.221-18 et suivants du Code de la consommation ne s'applique pas, et la médiation de la consommation n'est pas applicable.

** Réserve impérative** : si un Client était néanmoins requalifié en consommateur (ou en professionnel bénéficiant de l'extension de l'article L.221-3 du Code de la consommation pour un contrat hors établissement), les dispositions impératives protectrices du Code de la consommation lui resteraient applicables nonobstant la présente clause.

** F1** : l'opposabilité de cette clause B2B-only suppose que le processus de souscription Better Auth (§4.1) soit sécurisé par (a) une case à cocher explicite « Je déclare souscrire à titre professionnel » et (b) un champ SIRET/équivalent UE collecté techniquement. Tant que ce renforcement n'est pas implémenté, la déclaration seule ne garantit pas la résistance à une requalification B2C devant un juge (C. conso art. liminaire). Voir aussi §17 sur la compétence territoriale.

** F2** : le Service ne désigne pas de médiateur de la consommation (C. conso L616-1). Cette absence est cohérente avec le champ d'application B2B-only ci-dessus. En cas de requalification B2C ou si l'autorité compétente (DGCCRF) estimait que le profil ICP (solopreneurs = personnes physiques EI) rendait l'obligation L616-1 applicable, EuTrustedIA devrait désigner un médiateur accrédité sous peine d'amende (L616-3 : 3 000 € personne physique, 15 000 € personne morale). À trancher avec avocat : Option A (clause d'exclusion motivée) vs Option B (désignation médiateur accrédité ~200-500 €/an).

3. Description du service

Le Service EuTrustedIA.eu se compose de quatre composants principaux, dont l'accès et le périmètre dépendent du type de compte et du plan souscrit :

3.1 Annuaire EuTrustedIA (composant public web)

Annuaire payant d'experts vérifiés en conformité IA / RGPD / AI Act / NIS2 / DORA / Cyber Resilience Act, accessible via eutrustedia.eu. Inclut :

  • Recherche et consultation des profils experts par domaine, géographie, langue, certification
  • Réservation de consultation expert via intégration Cal.com
  • Blog SEO de ressources juridiques et techniques
  • Téléchargement du Livre Blanc EUDAI (lead magnet gratuit)

3.2 POSITRONIA Desktop App (composant local-first)

Application desktop installable (architecture Tauri 2 / fallback PyInstaller Python) qui s'exécute exclusivement sur la machine de l'Utilisateur. Réalise des scans de conformité IA + RGPD + AI Act sur le code source, les agents IA et les configurations applicatives de l'Utilisateur.

Pivot POSITRONIA Local-First (acté 2026-05-07) : « POSITRONIA Desktop App s'exécute sur la machine de l'Utilisateur. Le Code Source de l'Utilisateur n'est jamais transmis à EuTrustedIA. »

L'activation de POSITRONIA Desktop App nécessite une licence valide matérialisée par un token JWT signé Ed25519 (validation online périodique 7 à 30 jours selon le plan, ou token offline 30 jours pour environnements air-gappés).

Trois régimes d'usage selon plan souscrit :

  • SOLO 25 €/mois HT — scan déterministe pur (pas d'appel LLM, pas de réseau autre que validation licence)
  • GENESIS 65 €/mois HT — scan déterministe + BYOK Mistral SaaS (clé API Mistral fournie par l'Utilisateur, appel direct depuis le poste-client vers Mistral Paris, jamais via les serveurs EuTrustedIA)
  • AVANTAGES 95 €/mois HT — scan déterministe + BYOK Mistral SaaS + POSITRONIA-Observe Pro (détection runtime injection/anomalie en mode Observe-only sur les traces déjà collectées, exécution locale CPU, sans GPU dédié ni modèle tiers)

3.3 Espace Client cloud (composant web sécurisé)

Interface web sécurisée accessible via app.eutrustedia.eu, dédiée :

  • Au stockage des rapports finaux PDF générés par POSITRONIA Desktop App et synchronisés à la demande explicite de l'Utilisateur
  • À la consultation et au téléchargement de ces rapports
  • Au partage d'un rapport via lien temporaire signé (durée 7 / 30 / 90 jours)
  • Au pilotage de l'abonnement, de la licence et des préférences Active Learning

Audit-trail SHA-256 chaîné : « Chaque rapport stocké dans l'Espace Client est horodaté et son intégrité cryptographiquement scellée par hash SHA-256 chaîné et signature Ed25519, constituant un élément de preuve d'audit-trail (intégrité et authenticité). L'opposabilité temporelle pleine, soit la date opposable à un tiers, repose sur l'horodatage qualifié eIDAS prévu en Phase C. »

3.4 Module Auditeur — nœuds de la carte du système IA (Phase B juillet 2026, CO-055)

Modules complémentaires accessibles depuis l'Espace Client web (et non en application desktop, contrairement à POSITRONIA Desktop App). Ces modules auditent deux types de nœuds de la carte du système IA de l'Utilisateur :

  • Nœud « SaaS / LLM / agent IA tiers » : audit conformité d'un SaaS, LLM ou agent IA tiers nommé (scoré comme entité de la carte du système IA). Inclus dans les abonnements POSITRONIA selon quotas par plan (10 / 30 / illimité audits/mois). Inputs : URL du SaaS audité + cas d'usage déclaré + sensibilité des données. Aucun code de l'Utilisateur transmis (analyse des pages publiques uniquement).
  • Nœud « workflow IA-aided » : audit conformité d'un workflow d'automatisation IA-aided (n8n, Make, Zapier, OpenAI Tasks, Claude Skills V2, Pipedream), scoré comme nœud de la carte. Input : export JSON du workflow uploadé volontairement par l'Utilisateur. Les modalités tarifaires de ce nœud sont en cours de définition et seront précisées dans les CGU spécifiques aux modules Auditeur publiées avant la mise en service Phase B.

Des CGU spécifiques aux modules Auditeur seront publiées avant leur mise en service et viendront compléter les présentes CGU.

4. Inscription et création de compte

4.1 Système d'authentification Better Auth

L'inscription au Service s'effectue via le système d'authentification Better Auth intégré à l'application Next.js. Deux modes d'authentification sont proposés :

  • Magic link par email (envoi d'un lien temporaire signé via Brevo, sans mot de passe)
  • Email + mot de passe (mot de passe haché en bcrypt, jamais stocké en clair)

L'authentification multi-facteurs (MFA) est disponible pour les comptes Espace Client POSITRONIA et recommandée pour les experts inscrits dans l'Annuaire.

4.2 Typologie de comptes

Type de compteTarifPérimètre d'accès
Visiteur non-inscritGratuitPages publiques Annuaire + blog SEO + téléchargement Livre Blanc EUDAI (email requis pour le téléchargement)
Lecteur inscritGratuitRecherche avancée Annuaire + favoris experts + alertes mail (newsletters opt-in) + booking expert via Cal.com
Expert inscritSelon barème expert (cf. CGV)Création / édition profil expert + visibilité publique Annuaire + réception de demandes de contact (visibilité, sans garantie de leads). L'Expert facture et encaisse ses prestations directement auprès du Client final, hors plateforme
Abonné POSITRONIA SOLO / GENESIS / AVANTAGES / ENTREPRISE25 / 65 / 95 € HT / sur devis (cf. CGV)Accès POSITRONIA Desktop App + Espace Client cloud + modules Auditeur (selon plan)

4.3 Exactitude des informations

L'Utilisateur s'engage à fournir des informations exactes, complètes et à jour lors de son inscription. Toute information manifestement fausse, frauduleuse ou usurpée justifie la suspension immédiate du compte (cf. § 11).

Pour les experts inscrits, l'Utilisateur s'engage à fournir des justificatifs vérifiables de son identité professionnelle, de ses certifications déclarées et de son activité réelle de conseil en conformité. EuTrustedIA se réserve le droit de demander tout document complémentaire avant validation du profil expert.

4.4 Sécurité du compte

L'Utilisateur est seul responsable de la confidentialité de ses identifiants (mot de passe, magic links reçus par email, jetons MFA). Toute action effectuée depuis son compte est réputée avoir été effectuée par lui.

En cas de compromission suspectée, l'Utilisateur s'engage à alerter immédiatement EuTrustedIA via legal@eutrustedia.eu et à modifier ses identifiants sans délai.

5. Conditions d'accès et utilisation de l'Annuaire EuTrustedIA

5.1 Lecteurs (visiteurs et lecteurs inscrits gratuits)

Les lecteurs peuvent :

  • Consulter librement les profils experts publiés
  • Effectuer des recherches par filtres (domaine de conformité, langue, géographie, certifications)
  • Réserver une consultation auprès d'un expert via le bouton « Prendre rendez-vous » intégrant Cal.com
  • Consulter le blog SEO et télécharger le Livre Blanc EUDAI (collecte email opt-in conforme RGPD)

Les lecteurs s'engagent à ne pas extraire massivement les données de l'Annuaire (cf. § 9.2 — interdiction de scraping).

5.2 Experts inscrits

Les experts inscrits peuvent :

  • Créer, éditer et publier leur profil public dans l'Annuaire (présentation, domaines de conformité, certifications, photo, tarification indicative)
  • Recevoir des demandes de consultation via Cal.com et le formulaire de contact intégré
  • Facturer et encaisser leurs prestations directement auprès du Client final, hors plateforme : EuTrustedIA n'intervient pas dans ce paiement, ne le centralise pas et ne prélève aucune commission (cf. CGV Expert § 4)
  • Bénéficier d'une mise en avant éditoriale (badges « Vérifié », « Multi-rôle ex-client devenu expert » le cas échéant)

Les experts inscrits s'engagent à :

  • Ne pas usurper une identité, une certification ou une qualification qu'ils ne possèdent pas
  • Maintenir leur profil à jour (notamment en cas de perte d'une certification déclarée)
  • Respecter leurs propres obligations professionnelles (déontologie, secret professionnel pour les avocats inscrits, RGPD pour les DPO inscrits)
  • Honorer les rendez-vous pris via Cal.com ou prévenir les lecteurs avec un préavis raisonnable

5.3 Frontière éditoriale

EuTrustedIA agit en qualité d'hébergeur au sens de l'article 3 g iii du Règlement (UE) 2022/2065 (DSA), tel que transposé par la LCEN art. 6, pour les contenus publiés par les experts inscrits (profils, descriptions). EuTrustedIA n'effectue pas de contrôle éditorial systématique a priori sur ces contenus, mais agit promptement en cas de signalement (cf. §10).

EuTrustedIA agit en qualité d'éditeur pour les contenus rédactionnels qu'il publie directement (blog SEO, Livre Blanc EUDAI, fiches méthodologiques).

6. Conditions d'utilisation de POSITRONIA Desktop App

6.1 Architecture Local-First — Promesse fondamentale

« POSITRONIA Desktop App s'exécute sur la machine de l'Utilisateur. Le Code Source de l'Utilisateur n'est jamais transmis à EuTrustedIA. »

Cette promesse Local-First est non-négociable et constitue le différenciateur fondamental du Service. L'Utilisateur reconnaît avoir compris que :

  • Tous les scanners (POSITRONIA-RULES (closed-source PiaXel), gitleaks, Trivy, scorers custom RGPD/AI Act/Cyber maison) s'exécutent exclusivement sur la machine de l'Utilisateur
  • Aucun code source, aucune donnée métier, aucun secret de production, aucun log applicatif n'est transmis aux serveurs EuTrustedIA
  • Seuls les rapports finaux (PDF + JSON résultat structuré + métadonnées de scan) peuvent être synchronisés vers l'Espace Client cloud, uniquement à la demande explicite de l'Utilisateur

6.2 Activation et licence JWT Ed25519

POSITRONIA Desktop App nécessite une licence valide liée au compte Espace Client de l'Utilisateur, matérialisée par un token JWT signé en cryptographie asymétrique Ed25519.

Deux modes de validation :

  • Online : validation périodique du token contre les serveurs EuTrustedIA (intervalle 7 à 30 jours selon plan)
  • Offline : token offline d'une durée maximum de 30 jours, pour environnements air-gappés (banques privées, santé, défense, cabinets juridiques sensibles, infrastructures critiques)

L'Utilisateur s'engage à ne pas tenter de contourner la validation de licence (cf. §9.3).

6.3 Régimes LLM selon plan

  • SOLO 25 €/mois HT : aucun appel LLM. Scan strictement déterministe. Aucune dépendance externe en dehors de la validation de licence.
  • GENESIS 65 €/mois HT : option BYOK Mistral SaaS (Bring Your Own Key). L'Utilisateur fournit sa propre clé API Mistral. Les appels LLM sont effectués directement depuis le poste de l'Utilisateur vers Mistral (Paris 🇫🇷), sans transit par les serveurs EuTrustedIA. La facturation des tokens Mistral est à la charge de l'Utilisateur (relation contractuelle directe avec Mistral).
  • AVANTAGES 95 €/mois HT : composant supplémentaire POSITRONIA-Observe Pro (détection runtime d'injection de prompt, de jailbreaks et d'anomalies), édité par EuTrustedIA. Fonctionne en mode Observe-only sur les traces d'exécution déjà collectées par l'Utilisateur, s'exécute localement (CPU, sans GPU dédié requis) et ne dépend d'aucun modèle ni licence tiers. Un garde actif de modération léger reste une recommandation hors offre, à la charge de l'Utilisateur.

6.4 Mises à jour de règles

Les règles de scan (YAML rules + scorers Python sandbox + glossaire stateful) sont synchronisées au démarrage de POSITRONIA Desktop App depuis les serveurs EuTrustedIA en mode push-only (l'Utilisateur reçoit, EuTrustedIA n'envoie aucune donnée client en retour).

L'Utilisateur peut désactiver les mises à jour automatiques en mode air-gappé. Dans ce cas, l'efficacité du scan dépend de la fraîcheur des règles installées localement, sous la seule responsabilité de l'Utilisateur.

6.5 Marquage AI Act Article 50

Conformément à l'article 50 du Règlement UE 2024/1689, toute recommandation, suggestion ou analyse produite par un LLM (Mistral SaaS BYOK) dans les rapports POSITRONIA est explicitement marquée comme générée par IA, accompagnée du nom du modèle et de sa version.

7. Conditions d'utilisation de l'Espace Client cloud

7.1 Stockage des rapports

L'Espace Client cloud, accessible via app.eutrustedia.eu, permet à l'Utilisateur de stocker les rapports finaux générés par POSITRONIA Desktop App. Le contenu stocké est limité à :

  • Rapports PDF
  • Résultats JSON structurés
  • Métadonnées de scan (date, durée, version POSITRONIA, version règles, périmètre déclaré)
  • Hash SHA-256 du rapport et chaîne de hashs précédents (audit-trail)

Aucun code source, aucune donnée métier, aucun secret n'est stocké dans l'Espace Client.

7.2 Audit-trail SHA-256 chaîné

« Chaque rapport stocké dans l'Espace Client est horodaté et son intégrité cryptographiquement scellée par hash SHA-256 chaîné et signature Ed25519, constituant un élément de preuve d'audit-trail (intégrité et authenticité). L'opposabilité temporelle pleine, soit la date opposable à un tiers, repose sur l'horodatage qualifié eIDAS prévu en Phase C. »

La régularité des scans POSITRONIA constitue elle-même une preuve d'adaptation continue à l'évolution législative et technologique : l'Utilisateur démontre son travail de mise en conformité dans le temps.

7.3 Lien temporaire signé pour partage

« L'Utilisateur peut générer un lien signé (durée 7 / 30 / 90 jours) pour partager un rapport avec son DPO, avocat tech, ou tout organisme de contrôle (CNIL, ANSSI). »

L'Utilisateur est seul responsable du choix du destinataire du lien et de la durée d'accès. Le lien expire automatiquement à l'échéance choisie. EuTrustedIA n'a pas connaissance des destinataires effectifs des liens partagés.

7.4 Stockage souverain

Les rapports sont stockés sur infrastructure S3-compatible localisée dans l'Espace économique européen (Scaleway Object Storage — Paris, France 🇫🇷). EuTrustedIA s'engage à ne pas stocker les rapports dans un datacenter situé en dehors de l'EEE sans en informer l'Utilisateur préalablement.

Phase C migration souveraine : migration vers Infomaniak Public Cloud (Suisse 🇨🇭) planifiée pour renforcer la souveraineté de l'hébergement (hors UE, mais sous adéquation RGPD et hors CLOUD Act US). La souveraineté se cartographie couche par couche ; EuTrustedIA ne revendique pas de « 100 % souverain ».

7.5 Suppression et export

L'Utilisateur peut à tout moment :

  • Télécharger localement ses rapports (export PDF + JSON + chaîne d'audit-trail)
  • Supprimer un rapport individuel
  • Demander la suppression complète de son Espace Client (entraîne résiliation, cf. § 11)

Les durées de conservation sont précisées dans la Politique de Confidentialité §6.

8. Active Learning POSITRONIA — opt-in par finding

8.1 Principe

POSITRONIA Desktop App propose un mécanisme optionnel « Active Learning » (chantier CO-034) destiné à améliorer la qualité des règles et la détection des faux-positifs / vrais-positifs, dans une logique d'amélioration continue.

« Active Learning : opt-in PAR finding. Si activé, l'Utilisateur consent à transmettre le pattern détecté + metadata uniquement (jamais le code source) à des fins d'amélioration continue. »

8.2 Consentement explicite et granulaire (RGPD Art. 6)

Conformément à l'article 6.1.a du RGPD, l'Active Learning fonctionne sur la base d'un consentement explicite, libre, spécifique et éclairé, donné finding par finding. Concrètement :

  • Aucun envoi automatique global. Pour chaque finding pour lequel l'Utilisateur souhaite contribuer, il valide explicitement l'envoi
  • Le contenu transmis est strictement limité à : pattern abstrait anonymisé (signature de la règle déclenchée) + metadata (langage, framework, statut faux-positif/vrai-positif déclaré par l'Utilisateur)
  • Le code source brut n'est jamais transmis, en aucune circonstance
  • Aucune donnée d'identification du client ou du projet n'est associée au pattern envoyé

8.3 Révocabilité

Le consentement est révocable à tout moment depuis l'Espace Client. La révocation n'a pas d'effet rétroactif sur les patterns anonymisés déjà reçus (par construction techniquement non-reliables à l'Utilisateur).

8.4 Pas d'incitation tarifaire

EuTrustedIA s'engage à ne pas conditionner l'accès au Service ni à appliquer de remise tarifaire en contrepartie d'un consentement à l'Active Learning, conformément à la jurisprudence CNIL et EDPB sur le consentement libre.

9. Comportements interdits

L'Utilisateur s'engage à ne pas :

9.1 Détourner le scanner POSITRONIA pour attaquer un tiers

Utiliser POSITRONIA Desktop App pour scanner un système d'information dont l'Utilisateur n'est pas propriétaire ou pour lequel il ne dispose pas d'une autorisation explicite (mandat client, contrat de prestation, autorisation écrite) constitue un détournement de finalité et peut tomber sous le coup des articles 323-1 et suivants du Code pénal (atteinte aux STAD).

9.2 Effectuer du scraping massif de l'Annuaire

Extraire automatiquement, de façon massive ou systématique, les profils experts de l'Annuaire (par scraping HTTP, headless browser, API détournée) est interdit. Cette interdiction protège à la fois la base de données EuTrustedIA (droit sui generis du producteur de base de données — articles L.341-1 et suivants du CPI) et les données personnelles des experts inscrits.

Tout usage légitime de masse (intégration, syndication) doit faire l'objet d'une demande préalable à contact@eutrustedia.eu pour évaluation et conventionnement éventuel.

9.3 Contourner la licence JWT POSITRONIA

Tenter de contourner, falsifier, désactiver ou pirater le mécanisme de licence JWT Ed25519 de POSITRONIA Desktop App (rétro-ingénierie de la signature, génération de tokens frauduleux, manipulation de l'horloge système, contournement de la validation online périodique, partage frauduleux de tokens offline) constitue une violation grave des présentes CGU et expose l'Utilisateur à :

  • Suspension immédiate du compte sans préavis (cf. § 11.2)
  • Action en contrefaçon (articles L.335-2 et suivants du CPI)
  • Action en concurrence déloyale et / ou en réparation du préjudice subi

9.4 Partager ses identifiants

L'Utilisateur s'engage à ne pas partager ses identifiants de compte (email + mot de passe, magic links, jetons MFA, tokens de licence POSITRONIA) avec un tiers. Un compte = un Utilisateur identifié.

Le partage d'un token offline POSITRONIA à un tiers non-couvert par la licence est interdit. Pour les usages multi-projets ou multi-utilisateurs, le plan ENTREPRISE sur devis est la voie contractuelle prévue.

9.5 Usurper l'identité d'un expert vérifié de l'Annuaire

Se présenter, dans l'Annuaire ou dans toute communication associée, comme un expert vérifié par EuTrustedIA sans en avoir le statut effectivement validé constitue une usurpation d'identité numérique professionnelle au sens de l'article 226-4-1 du Code pénal et expose l'Utilisateur à des poursuites pénales et civiles.

EuTrustedIA se réserve le droit de signaler ces faits aux autorités compétentes.

9.6 Autres comportements interdits

De manière non-exhaustive, sont également interdits :

  • Le téléversement de contenu illégal, diffamatoire, haineux, à caractère pornographique ou portant atteinte à autrui
  • L'utilisation du Service pour envoyer du spam, du phishing ou tout contenu malveillant
  • L'introduction volontaire de virus, logiciels malveillants ou code destructif
  • Toute tentative d'accès non-autorisé aux systèmes d'EuTrustedIA ou de tiers
  • L'utilisation du Service en violation de toute loi ou réglementation applicable
  • La création de comptes multiples à des fins de fraude ou de contournement de quotas

10. Modération et signalement (DSA Art. 16)

10.1 Mécanisme de notice-and-action

Conformément à l'article 16 du Règlement (UE) 2022/2065 (DSA), EuTrustedIA met en place un mécanisme accessible et facile d'utilisation permettant à toute personne de signaler la présence d'un contenu illicite ou en violation des présentes CGU.

10.2 Formulaire de signalement

Le signalement peut être effectué :

  • Via le formulaire dédié accessible sur chaque page de profil expert et de contenu éditorial : bouton « Signaler » (à venir dès go-live 2026-05-30)
  • Par email à legal@eutrustedia.eu en précisant en objet « Signalement DSA Art. 16 »

10.3 Informations attendues dans le signalement

Conformément à l'article 16.2 du DSA, le signalement doit contenir au minimum :

  • Une explication suffisamment motivée des raisons pour lesquelles l'Utilisateur considère que le contenu signalé est illicite ou contraire aux CGU
  • Une indication précise de l'emplacement du contenu (URL exacte, identifiant du profil expert, capture d'écran le cas échéant)
  • Le nom et l'email du signalant (sauf signalement portant sur des contenus relevant des articles 3, 4 ou 5 de la directive 2011/93/UE — exception d'anonymat)
  • Une déclaration de bonne foi confirmant que les informations fournies sont exactes et complètes

10.4 Délai de traitement

EuTrustedIA s'engage à :

  • Accuser réception du signalement dans un délai de 48 heures ouvrées
  • Examiner le signalement et prendre une décision motivée dans un délai maximum de 5 jours ouvrés à compter de l'accusé de réception (DSA Art. 16.6)
  • Notifier sa décision au signalant et à l'Utilisateur dont le contenu est concerné, en exposant les motifs et les voies de recours

10.5 Mesures pouvant être prises

À l'issue de l'examen, EuTrustedIA peut :

  • Maintenir le contenu en l'état
  • Retirer le contenu signalé
  • Restreindre la visibilité du contenu (déréférencement, déclassement)
  • Suspendre temporairement ou résilier le compte de l'Utilisateur ayant publié le contenu (cf. § 11)
  • Signaler le contenu aux autorités compétentes en cas d'infraction pénale présumée

10.6 Recours interne

L'Utilisateur dont le contenu a été retiré ou dont le compte a été suspendu dispose d'un droit de recours interne gratuit dans un délai de 6 mois à compter de la décision (DSA Art. 20). Le recours doit être adressé à legal@eutrustedia.eu avec en objet « Recours DSA Art. 20 ».

10.7 Règlement extrajudiciaire des litiges

L'Utilisateur conserve le droit de recourir à un organisme de règlement extrajudiciaire des litiges certifié au titre de l'article 21 du DSA, sans préjudice de son droit d'agir devant les juridictions compétentes.

11. Suspension et résiliation du compte

11.1 Résiliation à l'initiative de l'Utilisateur

L'Utilisateur peut résilier son compte à tout moment depuis l'Espace Client (paramètres → « Supprimer mon compte ») ou par email à legal@eutrustedia.eu.

Pour les comptes payants, les modalités de résiliation, de remboursement éventuel et de conservation des accès jusqu'à terme de la période payée sont précisées dans les CGV.

11.2 Suspension à l'initiative d'EuTrustedIA

EuTrustedIA peut suspendre temporairement ou résilier un compte en cas de :

  • Violation grave des présentes CGU (notamment § 9 Comportements interdits)
  • Non-paiement constaté après mise en demeure (cf. CGV)
  • Décision motivée à l'issue d'un signalement DSA (§ 10)
  • Réquisition judiciaire ou administrative
  • Risque imminent pour la sécurité du Service ou d'un tiers

11.3 Procédure contradictoire

Sauf urgence avérée (risque imminent de sécurité, réquisition judiciaire), EuTrustedIA met en œuvre une procédure contradictoire :

  • Notification écrite à l'Utilisateur exposant les motifs de la suspension envisagée
  • Délai de 7 jours ouvrés pour formuler des observations
  • Décision motivée notifiée à l'Utilisateur, indiquant les voies de recours

11.4 Effets de la résiliation

La résiliation entraîne :

  • La désactivation immédiate de l'accès à l'Espace Client et à POSITRONIA Desktop App (révocation de la licence JWT)
  • Le maintien temporaire des données nécessaires aux obligations légales (facturation, prescription civile, audit-trail) selon les durées détaillées en Politique de Confidentialité §6
  • La possibilité pour l'Utilisateur d'exporter ses rapports avant suppression effective, dans un délai de 30 jours suivant la résiliation

12. Propriété intellectuelle

12.1 Contenus EuTrustedIA

L'ensemble des contenus produits par EuTrustedIA (textes, illustrations, logos, marques, code source du frontend public, designs, structure de l'Annuaire, articles de blog SEO, Livre Blanc EUDAI, règles YAML POSITRONIA, scorers Python, glossaire stateful) est la propriété exclusive de Laurent Gérard SOUHY EI / PiaXel, sauf mention contraire explicite.

Ces contenus sont protégés par le droit d'auteur (articles L.111-1 et suivants du CPI), le droit sui generis du producteur de base de données (articles L.341-1 et suivants du CPI) et le droit des marques (articles L.711-1 et suivants du CPI).

12.2 Contenus produits par l'Utilisateur

L'Utilisateur conserve la pleine propriété des contenus qu'il produit et téléverse dans le Service :

  • Rapports POSITRONIA générés localement sur sa machine (l'Utilisateur en est l'unique titulaire des droits)
  • Profil expert publié dans l'Annuaire (description, photo, expériences déclarées)
  • Contributions au blog SEO le cas échéant (articles invités, tribunes — un contrat éditorial spécifique encadre la publication)
  • Exports JSON workflow uploadés dans le module Auditeur (nœud « workflow IA-aided »)

12.3 Licence d'usage concédée à EuTrustedIA

En téléversant un contenu sur le Service (profil expert, contribution éditoriale), l'Utilisateur concède à EuTrustedIA une licence non-exclusive, mondiale, gratuite et limitée à la durée de présence du contenu sur le Service, aux seules fins :

  • D'afficher le contenu dans le cadre du Service
  • De l'indexer pour la recherche interne
  • De le sauvegarder pour la sécurité et la continuité du Service

Cette licence cesse automatiquement lors de la suppression du contenu ou de la résiliation du compte.

12.4 Profil expert — droits de l'expert

L'expert inscrit conserve la pleine propriété intellectuelle du contenu de son profil. Il peut à tout moment éditer, dépublier ou supprimer son profil. La suppression du profil entraîne le retrait du listing public dans un délai de 30 jours (cf. Politique de Confidentialité §6).

12.5 Composants tiers et open-source

Le Service intègre des composants logiciels open-source dont les licences respectives sont consultables dans le fichier LICENSES.md du dépôt source. Notamment : Next.js (MIT), React (MIT), Tailwind CSS (MIT), Prisma (Apache 2.0), Better Auth (MIT), Bun (MIT), Trivy (Apache 2.0), gitleaks (MIT), DirStarter (licence commerciale acquise). Le moteur de scan POSITRONIA-RULES est closed-source PiaXel. Les composants tree-sitter (Apache 2.0) constituent une dépendance open-source du moteur.

13. Limitation de responsabilité

13.1 Qualité du scan POSITRONIA — obligation de moyens

EuTrustedIA s'engage à fournir un Service POSITRONIA reposant sur un état de l'art raisonnable (moteur POSITRONIA-RULES maintenu, règles YAML actualisées, scorers RGPD/AI Act/Cyber maison). Toutefois :

  • La qualité du scan dépend des règles fournies au moment du scan, lesquelles sont en évolution continue et ne sauraient prétendre à l'exhaustivité face à une législation et un état de la menace en permanente évolution
  • En régime GENESIS et AVANTAGES, la qualité des analyses LLM-aided dépend de la qualité du modèle BYOK Mistral utilisé, sur lequel EuTrustedIA n'a aucun contrôle direct (ce modèle est édité par Mistral AI)
  • L'Utilisateur reconnaît avoir été informé qu'aucun scanner de conformité ne peut garantir l'exhaustivité de la détection, et que le résultat d'un scan POSITRONIA constitue une aide à la décision, non un certificat de conformité

EuTrustedIA souscrit ainsi à une obligation de moyens, et non de résultat, sur la qualité du scan.

13.2 EuTrustedIA n'audite pas le code des experts inscrits

L'inscription d'un expert dans l'Annuaire n'implique en aucune manière un audit de son code, de ses processus, de ses déclarations professionnelles ou de la qualité de ses prestations délivrées. EuTrustedIA vérifie l'identité, les certifications déclarées et l'activité réelle, mais ne se substitue pas à un organisme de certification professionnel ni à un ordre professionnel.

L'Utilisateur lecteur faisant appel à un expert inscrit conclut un contrat direct avec cet expert et est seul juge de la qualité de la prestation reçue. EuTrustedIA n'est pas partie à cette relation contractuelle.

13.3 POSITRONIA n'est pas un avis juridique

Les rapports POSITRONIA et les rapports des modules Auditeur (nœud SaaS/LLM/agent tiers et nœud workflow IA-aided) constituent des outils d'aide à la conformité générés par analyse automatique et, le cas échéant, recommandations LLM-aided. Ils sont fournis à titre informatif et ne se substituent en aucun cas :

  • À un avis juridique formel délivré par un avocat
  • À une décision de DPO formel
  • À une certification ou un audit conformité au sens de l'article 42-43 du RGPD ou de l'article 43 de l'AI Act
  • À toute homologation ou évaluation d'organisme de contrôle (CNIL, ANSSI, autorités sectorielles)

« Pas de cabinets / DPO / agences = nous : on documente la conformité, on ne certifie jamais au sens RGPD Art. 42-43 ou AI Act Art. 43. Le partenaire (DPO / avocat tech / expert vérifié de l'Annuaire) revoit et signe. »

13.4 Disponibilité du Service

EuTrustedIA s'efforce de maintenir le Service accessible 24h/24 et 7j/7, sous réserve :

  • Des opérations de maintenance planifiées (notifiées au préalable)
  • Des incidents techniques imprévisibles (panne de sous-traitants Vercel / Neon / Mollie / Brevo / Infisical)
  • Des cas de force majeure (cf. §15)

Aucun engagement de niveau de service (SLA) n'est pris par défaut. Un SLA contractualisé est proposé exclusivement dans le plan ENTREPRISE sur devis (cf. CGV).

13.5 Plafond de responsabilité

Sauf en cas de faute lourde, dol ou atteinte aux personnes, et dans les limites permises par le droit applicable, la responsabilité totale d'EuTrustedIA au titre des présentes CGU et de l'usage du Service est plafonnée au montant des sommes effectivement versées par l'Utilisateur au titre des 12 derniers mois précédant le fait générateur. Pour les comptes gratuits, ce plafond est fixé à 50 € (montant forfaitaire symbolique).

** F3** : un plafond à 0 € pour comptes gratuits est susceptible d'être réputé non écrit au titre de l'art. 1170 C. civ. (prive de sa substance l'obligation essentielle) ou de l'art. 1171 C. civ. (déséquilibre significatif dans un contrat d'adhésion) ou de l'art. L442-1 C. com. (déséquilibre significatif B2B). Le montant de 50 € est proposé à titre conservatoire — confirmer avec avocat que ce montant est proportionnel à la valeur perçue du service gratuit (lead magnet, Annuaire, Livre Blanc) et suffisant pour écarter les risques 1170/1171/L442-1.

EuTrustedIA ne saurait en particulier être tenu responsable des dommages indirects (perte d'exploitation, perte de chance, préjudice commercial, atteinte à la réputation) liés à un usage du Service.

13.6 Tiers et cas particuliers

EuTrustedIA n'est pas responsable :

  • Des paiements effectués via Mollie (responsable de traitement distinct)
  • Du contenu publié par les experts inscrits (statut d'hébergeur LCEN, sous réserve des obligations § 10 DSA)
  • Des décisions prises par l'Utilisateur sur la base d'un rapport POSITRONIA ou d'un rapport Auditeur
  • De la qualité des prestations délivrées par les experts inscrits dans l'Annuaire

14. Données personnelles

Le traitement des données personnelles dans le cadre du Service est intégralement détaillé dans la Politique de Confidentialité, qui fait partie intégrante des présentes CGU.

L'Utilisateur y trouvera notamment :

  • Les finalités et bases légales des traitements
  • Les catégories de données collectées
  • Les sous-traitants et leur localisation
  • Les durées de conservation
  • L'exercice des droits RGPD (accès, rectification, effacement, portabilité, opposition, retrait du consentement)
  • Le marquage AI Act Article 50 sur les outputs IA
  • L'architecture Local-First étendue aux trois modules (POSITRONIA scanner, Auditeur SaaS, Auditeur Workflow)

Point de contact RGPD : legal@eutrustedia.eu — délai de réponse 1 mois maximum (article 12.3 RGPD).

15. Force majeure

EuTrustedIA ne pourra être tenu responsable d'une inexécution ou d'un retard d'exécution des présentes CGU résultant d'un cas de force majeure au sens de l'article 1218 du Code civil et de la jurisprudence applicable.

Sont notamment considérés comme cas de force majeure : catastrophes naturelles, conflits armés, troubles civils graves, décisions d'autorité publique entravant directement l'exécution, défaillance majeure d'un sous-traitant essentiel (Vercel / Neon / Mollie / Brevo / Infisical) ne pouvant être substitué dans un délai raisonnable, attaque cyber d'ampleur exceptionnelle malgré les mesures de sécurité déployées, pandémie restreignant l'activité.

En cas de force majeure prolongée au-delà de 30 jours, chaque partie pourra résilier la relation contractuelle sans indemnité.

16. Modification des CGU

16.1 Faculté de modification

EuTrustedIA se réserve le droit de modifier les présentes CGU à tout moment, notamment pour :

  • Adapter le Service à une évolution réglementaire (DSA, RGPD, AI Act, Cyber Resilience Act, NIS2, lois nationales)
  • Intégrer de nouvelles fonctionnalités (modules Auditeur Phase B, futures Phase C+ piaxel_cve_eu, etc.)
  • Préciser ou clarifier des dispositions à la lumière de l'expérience d'exploitation
  • Tenir compte d'une décision jurisprudentielle ou d'une recommandation d'autorité (CNIL, EDPB, autorités sectorielles)

16.2 Préavis 30 jours pour modifications substantielles

Toute modification substantielle des CGU (modifications affectant les droits ou obligations de l'Utilisateur de façon non-mineure) sera notifiée à l'Utilisateur :

  • Par email, aux Utilisateurs disposant d'un compte
  • Par bandeau d'information sur le site, pendant 30 jours précédant l'entrée en vigueur

L'Utilisateur dispose ainsi d'un préavis de 30 jours pour prendre connaissance des modifications.

16.3 Acceptation tacite par usage continu

L'usage continu du Service au-delà de la date d'entrée en vigueur des CGU modifiées vaut acceptation tacite de la nouvelle version, sous réserve de la possibilité de résilier sans frais le compte avant cette date pour tout Utilisateur en désaccord avec les modifications.

16.4 Versions et historique

La date de dernière mise à jour figure en en-tête du document. L'historique des versions précédentes est conservé en bas de page et accessible à tout moment.

17. Loi applicable et juridiction

Les présentes CGU sont régies par le droit français.

Tout litige relatif à leur interprétation ou leur exécution relève de la compétence exclusive des Tribunaux de Paris, sous réserve des dispositions impératives applicables aux consommateurs (articles R.631-3 et suivants du Code de la consommation) — étant rappelé que le Service est destiné à un usage professionnel B2B (cf. §2.3).

Pour les Utilisateurs domiciliés dans un autre État membre de l'Union européenne, les règles de conflit de lois prévues par les Règlements (UE) Rome I et Rome II demeurent applicables.

Avant toute action contentieuse, les parties s'engagent à rechercher une résolution amiable du litige par échange écrit motivé adressé à legal@eutrustedia.eu, dans un délai raisonnable d'au moins 30 jours.

18. Contact

Pour toute question relative aux présentes CGU :

  • Email général : contact@eutrustedia.eu
  • Email juridique / RGPD : legal@eutrustedia.eu
  • Signalements DSA Art. 16 : legal@eutrustedia.eu (objet : « Signalement DSA Art. 16 »)
  • Recours DSA Art. 20 : legal@eutrustedia.eu (objet : « Recours DSA Art. 20 »)
  • Adresse postale : Laurent Gérard SOUHY EI / PiaXel — 138 Avenue Victor Hugo, 75016 Paris, France

Versions et historique

VersionDateÉvolution
V0.12026-05-09Version initiale rédigée en interne (DIY, cf. ADR 2026-05-07__doctrine_juridique_temps_1_temps_2.md). Couvre les 4 composants du Service : Annuaire EuTrustedIA, Sentinel Desktop App (architecture Local-First actée 2026-05-07), Espace Client cloud (audit-trail SHA-256 chaîné, lien temporaire signé 7/30/90j), modules Auditeur SaaS et Auditeur Workflow (à venir Phase B juillet 2026, CO-055). Mécanisme DSA Art. 16 notice-and-action avec délai 5 jours ouvrés. Active Learning CO-034 opt-in PAR finding (RGPD Art. 6).
V0.22026-06-10Passage B2B-only : ajout §2.3bis « Champ d'application — réservé aux professionnels » (wording canonique + réserve impérative + F1/F2). Corrections GATE Temps 1 sans avocat : terminologie Mode 1/Mode 2 → nœuds (ADR 2026-05-30 D7) ; pricing Auditeur Workflow pay-per-use neutralisé (« modalités en cours de définition ») ; référence hébergeur LCEN art. 6-I-2 → DSA art. 3 g iii ; plafond responsabilité comptes gratuits 0 € → 50 € forfaitaire ( F3) ; placeholder §7.4 storage résolu (Scaleway Paris) ; renommage Sentinel → POSITRONIA Desktop App partout ; moteur Semgrep retiré → POSITRONIA-RULES (closed-source) + gitleaks ; §2.2 « acceptation tacite » → « prise de connaissance ». Points maintenus : F1 (SIRET/B2B), F2 (médiateur L616-1), F3 (plafond 50 €), F4 (CGU/CGV résiliation sans frais). Validation avocat tech planifiée Phase B.
V0.32026-06-30Purge de la fiction « encaissement Mollie Connect » côté Expert (Lot 3 légal, alignement modèle canonique docs/strategy/MODELE_ECONOMIQUE_CANONIQUE.md). §4.2 typologie de comptes + §5.2 actions de l'Expert : l'Expert ne « encaisse plus ses prestations via Mollie Connect » — il facture et encaisse ses prestations directement auprès du Client final, hors plateforme ; EuTrustedIA n'intervient pas dans ce paiement et ne prélève aucune commission (renvoi CGV Expert § 4). « réception leads » → « réception de demandes de contact (visibilité, sans garantie de leads) ». Le paiement Mollie de l'abonnement Client (entrant, §13.6) reste inchangé.
V1 prévuePhase B (juin-juillet 2026)Validation par avocat tech spécialisé droit numérique + RGPD + AI Act, après premiers revenus encaissés. Publication CGU spécifiques modules Auditeur SaaS et Auditeur Workflow en parallèle de leur mise en service.

Pour toute question relative à ce document : legal@eutrustedia.eu.