Sommaire
1.
Objet :
Les présentes conditions ont pour objet de définir le rôle et les
obligations respectives :
du fournisseur de certificat : la société MEDSYS
et de l'utilisateur de ce ou ces certificats :le DEMANDEUR.
Ces conditions sont applicables à la délivrance par la société MEDSYS
:
- de certificats de protection de courrier électronique
- de certificats d'authentification
client.
Le DEMANDEUR est une personne physique, agissant à titre personnel ou
agissant à titre de personne de confiance pour représenter une personne
morale.
Dans les deux cas, le DEMANDEUR, ou CLIENT, sera pour la société MEDSYS
le seul interlocuteur reconnu, et attendu de lui qu'il respecte les
engagements énoncés dans les présentes conditions de vente .
Le demandeur déclare en avoir pris connaissance et les accepte. Il
reconnaît être lié par l'ensemble des dispositions qui font l'objet de
ces conditions.
2.
Domaines d'utilisation du ou des certificats
Les certificats de protection du courrier électronique délivrés par
l'autorité de certificat MEDSYS permettent le transfert de messages électroniques
sécurisés par :
-la signature des message
-le cryptage de messages
-le décryptage de message
-la vérification de la signature
-la vérification de l'intégrité des messages.
Les certificats d'authentification client délivrés par
l'autorité de
certificat MEDSYS permettent d'identifier l'internaute possesseur de ces
certificats auprès de sites sensibles sécurisés.
3.
Conditions et fonctions liées à la gestion des certificats
3.1 Demande du certificat.
La demande de certificat est effectuée par le biais du serveur
www.inetlab.net/certsrv dont l'identification est garantie par un certificat de
serveur délivré à la société MEDSYS par Verisign. Ce serveur
propose, par le biais d'une liaison sécurisée SSL V3, la saisie des
informations nécessaires à l'élaboration du certificats.
3.2 Règlement
A l'issue de la phase de requête du certificat, le demandeur est invité,
pour les certificats faisant l'objet d'une facturation , au règlement en
ligne de la première annuité d'abonnement. La procédure de règlement
est sécurisée et garantie par la banque de la société MEDSYS conformément
à la législation en vigueur en matière de télépaiement.
3.3 Vérification des éléments fournis par le demandeur
A réception de la demande de certificat, la société MEDSYS procède à
la vérification des éléments fournis par le demandeur conformément aux
contraintes liées aux classes de
certificats. Cette procédure n'excède
pas deux jours ouvrables.
3.4 Etat d'avancement de la demande
Le demandeur peut, à tout moment, vérifier l'état d'avancement de sa
demande sur le site www.inetlab.net/certsrv
3.5 Récupération du certificat
Au terme des vérifications, soit le certificat est délivré et disponible
sur le site www.inetlab.net/certsrv
, soit le demandeur est informé de la raison
du refus à la même adresse. Un certificat demandé, accepté et non réclamé
dans les dix jours qui suivent sa demande est automatiquement révoqué.
3.6 Règle à respecter
L'ensemble des opérations définies ci-dessus doivent être effectuées
à partir de la même machine et avec le même navigateur. Des dispositifs
de contrôle permettant le suivi de la demande et la mise en service du
certificat sont installés au cours de la procédure initiale.
3.7 Révocation du certificat
Un certificat peut être révoqué :
- soit à la demande du client qui désire interrompre son contrat.
Dans ce cas, le client devra informer la société MEDSYS par Lettre
Recommandée.
- soit à l'initiative du fournisseur , qui pour un motif grave, décide
d'interrompre l'abonnement du client. Dans ce cas, le client sera informé
de la décision de MEDSYS par Lettre Recommandée.
4.
Obligations du fournisseur
4.1 MEDSYS établit, en vue de l'émission du certificat, un lien entre
l'identité d'une personne physique ou morale et les informations
contenues dans ledit certificat .
La responsabilité de MEDSYS ne saurait être engagée en cas de perte, dégradation
ou compromission de la clé privée
du client, dont la bonne conservation
reste à sa charge.
4.2. MEDSYS s'engage à tout mettre en oeuvre pour créer et émettre des
certificats contenant des informations réputées exactes, en particulier
lorsque la classe du certificat l'exige, et ceci, en fonction des pièces
fournies par le client.
La responsabilité de MEDSYS ne saurait être engagée en cas
d'informations inexactes dues à de fausses déclarations, à de faux
documents et/ou à la non-information des modifications intervenues dans
la situation du client lors de la création du CERTIFICAT ou en cours de
validité de celui-ci, que la fausse déclaration, le faux document et/ou
l'omission soient intentionnelles ou non.
4.4 MEDSYS garantit que les services de certification mis à la
disposition du client sont conformes aux règles fixées dans le cadre des
présentes conditions générales de vente, à condition qu'ils soient
utilisés conformément à ces mêmes règles.
4.5. MEDSYS est expressément tenue à une obligation de moyen. Sa
responsabilité ne pourra être engagée qu'une fois le manquement à
cette obligation de moyen dûment prouvée par le CLIENT.
4.6. MEDSYS ne sera en aucun cas tenue responsable des éventuels dommages
indirects et/ou connexes, tels que par exemple, et de façon non
limitative, tout préjudice financier ou commercial, perte de bénéfices,
perte d'exploitation, trouble commercial, manque à gagner, pertes ou
actions intentées par un tiers contre le CLIENT, trouvant leur origine ou
étant la conséquence de l'utilisation des CERTIFICATS émis par MEDSYS
5.
Obligations du client demandeur
5.1. Le CLIENT s'engage à respecter l'ensemble des conditions énoncées
dans les présentes conditions générales.
5.2. Le CLIENT s'engage à fournir toutes informations utiles lors de la
création des certificats et
pendant toute la durée de l'abonnement. Les informations fournies doivent
être exactes et accompagnées des pièces justificatives lorsque
celles-ci sont nécessaires. Le client s'engage sur l'exactitude des
informations transmises lors de la de demande et entend qu'elles soient
conservées et utilisées par MEDSYS pour gérer les CERTIFICATS. Le
client porte la responsabilité de toute information erronée, inexacte ou
falsifiée, transmise au cours des procédures d'enregistrement.
5.3. Toute modification d'information signalée comme obligatoire lors de
l'enregistrement doit être notifiée par écrit à MEDSYS et accompagnée
des justificatifs requis.
5.4 La conservation de la clé privée du client est à la charge de
celui-ci. Le client prend les dispositions nécessaires pour en assurer la sécurité.
En conséquence, les dommages liés à la compromission de sa clé privée
n'engagent que sa responsabilité.
5.5. Le CLIENT s'engage à ne plus utiliser un CERTIFICAT après
expiration de celui-ci, après une une demande de RÉVOCATION ou après réception
de la notification de la RÉVOCATION du CERTIFICAT.
5.6. Le CLIENT s'engage à faire respecter par ses collaborateurs une
politique de sécurité sur les postes informatiques utilisés pour mettre
en oeuvre les CERTIFICATS. Il choisit le matériel et les logiciels
offrant une sécurité suffisante pour la protection et l'utilisation de
ses clés privées. Le CLIENT s'engage par ailleurs à faire respecter par
ses collaborateurs les obligations fixées dans les présentes conditions
générales.
La responsabilité de MEDSYS ne saurait être engagée en cas de problèmes
liés à l'utilisation du certificat par un tiers utilisateur.
6. Règles relatives aux informations personnelles
6.1. Les données personnelles relatives au CLIENT, transmises et détenues
par MEDSYS dans le cadre du contrat d'abonnement sont, conformément aux
dispositions de la loi n°78-17 du 6 janvier 1978, considérées comme
confidentielles et ne peuvent être ni divulguées ni traitées à des
fins de prospection ou d'actes commerciaux sans avoir obtenu le
consentement préalable du CLIENT.
6.2. Le CLIENT peut obtenir communication de ses données personnelles.
Cette communication doit être conforme au contenu fourni au moment de
l'enregistrement.
6.3. Le CLIENT peut faire rectifier, mettre à jour ou effacer les données
personnelles qui sont inexactes, incomplètes ou périmées. Une copie de
l'enregistrement modifié est alors délivrée au client.
7.
Dispositions relatives aux règlements de litiges
7.1. En cas de difficulté pour l'application des présentes conditions générales,
les parties décident de soumettre cette difficulté à une procédure
amiable, préalablement à toute procédure devant un tribunal.
A ce titre, toute partie qui souhaite mettre en jeu ladite procédure doit
notifier par lettre recommandée avec accusé de réception, une telle
volonté, en laissant un délai de quinze jours à l'autre partie.
7.2. Les parties désignent alors un expert amiable d'un commun accord
dans ledit délai de quinze jours.
7.3. A défaut d'accord, compétence expresse est attribuée à M. le Président
du TGI de Toulouse pour effectuer une telle désignation.
8.
Glossaire :
Autorité de certification
:
L'organisme qui assure la délivrance et le renouvellement des
certificats, la diffusion des listes de révocation et des clés publiques
. La société MEDSYS est une autorité de certification.
Certificat :
Document informatique délivré sous la forme d'un fichier normalisé
(X509) qui permet la signature, la vérification et le cryptage de
messages. Le contenu du certificat lie
les données, signées ou cryptées, au détenteur du certificat : l'
Utilisateur autorisé.
Un certificat se compose d'une clé privé, d'une clé publique et d'une
signature émanant de l'autorité de certification.
Classes de certificat :
La classe de certificat définit le niveau de contrôle effectué pour la
délivrance du ou des certificats. La société MEDSYS délivre des
certificats de classe 1 et de classe 2. Le contenu des certificats et donc
les procédures d'élaboration et les procédures liées a l'utilisation
ne diffèrent pas d'une classe à l'autre. Seules diffèrent les garanties
prises pour l'authentification du demandeur.
Pour les certificats de la classe 1, la société MEDSYS contrôle la
validité de l'adresse de messagerie fournie par le demandeur. Ces
certificats ne peuvent pas être utilisés à des fin marchandes. Il
peuvent être fournis à tout demandeur qui accepte les présentes
conditions.
Ces certificats sont disponibles au travers des procédures simplifiées
associées au site serveur de certificats de la société MEDSYS.
Les certificats de classe 2 ne sont fournis par MEDSYS qu'aux demandeurs
entièrement qualifiés et identifiés. Il s'agit donc soit de clients de
la société MEDSYS ayant déjà effectué des transactions commerciales
abouties, soit de futurs clients pour lesquels la société MEDSYS contrôle
l'ensemble des éléments nécessaires à une relation commerciale saine.
Les clients de la société MEDSYS disposent des éléments nécessaires
à l'obtention de certificats de classe 2 et peuvent donc en faire la
demande par les procédures simplifiées de certificats de classe 1. Le
serveur de certificat délivre automatiquement un certificat de classe 2
pour ces demandeurs.
Les futurs clients ne peuvent obtenir, avant vérification complète de
leurs qualités, que des certificats de classe 1. Ces vérifications sont
faites hors site serveur. Elle font l'objet d'une relation directe entre
notre service commercial et le demandeur.
Clé privée:
Partie du certificat, sous la responsabilité de l'Utilisateur autorisé.
Elle est destinée à la signature et au décryptage des messages.
Clé publique :
Partie du certificat qui sera diffusée. Elle est destinée à la vérification
de signature et au Cryptage des messages.
Cryptage :
Egalement appelé Chiffrement, il s'agit d'une opération mathématique,
effectuée à l'aide d'une clé publique, qui consiste à transcrire le
message à transmettre dans un " langage " que seul le
possesseur de la clé privée correspondante peut décoder. Toute personne
qui dispose de la clé publique d'un correspondant peut lui adresser un
message crypté.
Compromission de
certificat :
Il y a compromission de certificat dès lors que la diffusion réelle ou
probable des éléments secrets associés aux certificats est avérée ou
probable.
Condensat :
Le condensat est le résultat de la transformation numérique d'une
information en une suite de caractères dont le contenu garantit l'intégrité
du message transféré. Cette intégrité est vérifiée à la réception
du message, lors de la vérification de signature, par comparaison du
condensat reçu et du condensat calculé. Le caractère mathématiquement
irréversible de la transformation garantit que le contenu du message n'a
pas été falsifié.
Décryptage :
Opération mathématique, effectuée à l'aide de la clé privée, qui
consiste à décoder le message crypté à l'aide de la clé publique
associée. Cette opération ne peut être effectuée que par le détenteur
de la clé privée .
Listes de révocation:
Liste officielle des certificats qui ont fait l'objet d'une déclaration
de compromission, ou dont la date d'expiration a été atteinte sans
renouvellement. Les certificats qui figurent dans cette liste sont considérés
révoqués. Ils ne peuvent plus être utilisés ni pour la signature ni
pour le cryptage de messages. Leur utilisation peut faire l'objet de
poursuites judiciaires graves.
Révocation :
Un certificat peut faire l'objet d'une révocation. Il est alors inscrit
dans les listes de révocation et ne peut plus être utilisé. Un
certificat est révoqué :
à la demande de l'utilisateur autorisé, avant la date d'expiration,
lorsque le certificat fait l'objet d'une compromission ;
à la demande de l'autorité de certificat, lorsque la date d'expiration
est atteinte et que le certificat n'a pas été renouvelé.
Un certificat révoqué ne bénéficie plus de la garantie de l'autorité
de certificat. Son utilisation est illégale.
Secret :
Elément qui assure de la qualité du certificat sous la responsabilité
de l'utilisateur autorisé : la clé privée associée au certificat .
Utilisateur autorisé:
Personne ayant fait la demande du certificat, détenant celui-ci et
acceptant les présentes conditions.
X509 :
Norme internationale qui définit le contenu des certificats. Le respect
de cette norme assure l'interopérabilité des certificats entre les différentes
autorités. Le respect de cette norme est indispensable à la qualité de
la certification.
|
