Mentions légales

Politique d'utilisation acceptable

Date d'entrée en vigueur : 22 mai 2026  ·  Dernière mise à jour : 22 mai 2026

La présente politique d'utilisation acceptable (« AUP ») régit toute utilisation de la plateforme CATAAM et des services associés fournis par TheMarkups Canada Inc. Elle s'applique à tous les utilisateurs — abonnés individuels, clients grands comptes et comptes CISO Reseller / CPA Partner.

1. Objet et portée

CATAAM est une plateforme de gouvernance, de gestion des risques et de conformité (GRC) associant des capacités de gestion de la surface d'attaque interne (iASM) et de simulation d'intrusion et d'attaque (BAS). Elle est conçue pour aider les équipes de sécurité et de conformité à identifier, documenter et corriger les risques — et non à faciliter des atteintes à des systèmes, des personnes ou des organisations.

La présente AUP définit ce que vous pouvez et ne pouvez pas faire lors de l'utilisation du Service, de vos intégrations connectées et de toute donnée traitée via la plateforme. En utilisant CATAAM, vous acceptez la présente AUP. Toute violation peut entraîner la suspension ou la résiliation de votre compte, comme indiqué à la section 10.

La présente AUP est intégrée à et doit être lue conjointement avec les Conditions d'utilisation et la Politique de confidentialité.

2. Utilisations autorisées

Vous pouvez utiliser CATAAM aux fins suivantes, sous réserve des conditions de votre abonnement :

  • Gérer des programmes de conformité pour les référentiels que vous êtes autorisé à utiliser (SOC 2, ISO 27001, HIPAA, PCI-DSS, NIST CSF, etc.)
  • Collecter, téléverser et examiner des preuves d'audit pour votre propre organisation ou (pour les partenaires) celles de vos clients
  • Exécuter des analyses iASM sur des environnements cloud et des systèmes que vous possédez, exploitez ou que vous êtes explicitement autorisé par écrit à tester
  • Exécuter des simulations d'attaque BAS sur des systèmes que vous possédez, exploitez ou que vous êtes explicitement autorisé par écrit à tester
  • Connecter des intégrations (AWS, GitHub, Jira) à des systèmes que vous contrôlez ou auxquels vous êtes autorisé à accéder
  • Générer des rapports de direction, des scores de risque et des dossiers de preuves à usage interne ou pour des auditeurs externes
  • Pour les partenaires, gérer plusieurs organisations clientes via le Partner Dashboard, sous réserve de disposer d'accords valides avec chaque client
  • Utiliser les données exportées de CATAAM dans vos propres processus de conformité, votre documentation SMSI ou vos soumissions d'audit

3. Conduites interdites — Généralités

Vous ne devez pas utiliser CATAAM pour :

  • Enfreindre toute loi ou réglementation locale, provinciale, nationale ou internationale applicable
  • Porter atteinte à la propriété intellectuelle, à la vie privée ou à tout autre droit légal d'un tiers
  • Téléverser, stocker ou transmettre des contenus diffamatoires, obscènes, harcelants ou autrement illicites
  • Usurper l'identité d'une personne ou d'une entité, ou présenter de manière trompeuse votre affiliation à une organisation
  • Vous livrer à des activités frauduleuses, notamment fournir de fausses informations lors de l'inscription ou de la facturation
  • Revendre, sous-licencier ou proposer le Service comme produit en marque blanche à des tiers sans le consentement écrit préalable de CATAAM
  • Utiliser le Service pour développer un produit concurrent, évaluer le Service à des fins de veille concurrentielle ou extraire le contenu ou les données du Service
  • Partager des identifiants de compte avec des utilisateurs non autorisés ou permettre un accès au Service au-delà du nombre de licences souscrites

4. Conduites interdites — Sécurité et infrastructure

Les capacités iASM et BAS de CATAAM sont de puissants outils de sécurité. Vous ne devez pas les utiliser, ni aucune autre partie du Service, pour :

  • Analyser, sonder ou attaquer tout système, réseau ou actif que vous ne possédez pas ou que vous n'êtes pas explicitement autorisé par écrit à tester
  • Lancer des attaques par déni de service (DoS ou DDoS) contre une cible quelconque, y compris l'infrastructure de CATAAM
  • Tenter d'obtenir un accès non autorisé aux systèmes de CATAAM, aux données d'autres clients ou à des systèmes tiers
  • Introduire des logiciels malveillants, des rançongiciels, des chevaux de Troie, des exploits ou tout code malveillant dans le Service ou les intégrations connectées
  • Exploiter les vulnérabilités découvertes via le Service pour attaquer des systèmes, au lieu de les corriger par une divulgation appropriée
  • Utiliser les conclusions ou données de CATAAM pour soutenir des opérations cyberoffensives contre des tiers
  • Contourner ou désactiver tout contrôle de sécurité, limite de débit ou restriction d'accès mis en œuvre dans le Service
  • Effectuer des analyses automatisées à un volume ou à une fréquence qui dégrade le Service pour les autres utilisateurs

Exigence d'autorisation : Toutes les analyses iASM et BAS doivent cibler des systèmes que vous possédez ou pour lesquels vous détenez une autorisation de test d'intrusion écrite et en cours de validité. Vous êtes seul responsable de l'obtention et du maintien de cette autorisation. CATAAM ne vérifie pas la propriété des cibles et n'est pas responsable des analyses non autorisées menées via la plateforme.

5. Exigences relatives aux données et à la confidentialité

Lorsque vous utilisez CATAAM pour traiter des données à caractère personnel, vous devez :

  • Disposer d'une base légale valide pour chaque catégorie de données à caractère personnel que vous téléversez ou générez au sein du Service
  • Respecter toutes les lois applicables en matière de protection des données (GDPR, UK GDPR, PIPEDA, CCPA, etc.) dans votre collecte, utilisation et divulgation de données à caractère personnel
  • Conclure l'avenant relatif au traitement des données (DPA) lorsque la loi applicable l'exige, avant de téléverser des données à caractère personnel soumises au GDPR ou à une réglementation équivalente
  • Veiller à ce que les preuves et documents d'audit contenant des données à caractère personnel soient limités à ce qui est nécessaire à la finalité de conformité déclarée (minimisation des données)

Vous ne devez pas :

  • Téléverser des catégories particulières de données à caractère personnel (données de santé, biométriques, origine raciale ou ethnique, etc.) sauf si cela est strictement nécessaire à une exigence de preuve de conformité et que vous disposez de garanties appropriées
  • Utiliser le Service pour constituer des dossiers sur des individus à des fins étrangères à votre programme de conformité déclaré
  • Partager l'accès à un compte CATAAM avec des tiers d'une manière qui expose des données à caractère personnel au-delà de ce que ces tiers sont autorisés à recevoir

6. Propriété intellectuelle

Vous ne devez pas utiliser CATAAM pour :

  • Téléverser, stocker ou distribuer des contenus qui enfreignent un droit d'auteur, un brevet, une marque, un secret commercial ou tout autre droit de propriété intellectuelle d'une partie
  • Rétroconcevoir, décompiler, désassembler ou dériver le code source de toute partie de la plateforme CATAAM
  • Supprimer, modifier ou masquer toute mention de droit d'auteur, de marque ou de propriété dans le Service
  • Utiliser le nom, le logo ou l'image de marque de CATAAM d'une manière qui suggère une approbation sans consentement écrit préalable

Les composants Open Source de CATAAM sont concédés sous leurs licences respectives (voir le dépôt GitHub). Rien dans la présente AUP ne restreint vos droits au titre de ces licences concernant les composants Open Source.

7. Intégrations tierces

CATAAM s'intègre à des plateformes tierces telles qu'AWS, GitHub et Jira. Lorsque vous connectez ces intégrations :

  • Vous devez respecter les conditions d'utilisation et les politiques d'utilisation acceptable de ces plateformes.
  • Vous ne devez accorder à CATAAM que les autorisations minimales nécessaires au fonctionnement de l'intégration.
  • Vous êtes responsable de la révocation de l'accès aux intégrations si votre autorisation d'accès à ces systèmes change.
  • Vous ne devez pas utiliser les intégrations CATAAM pour collecter des données de plateformes tierces au-delà de ce qui est nécessaire à votre programme de conformité.

8. Utilisation par les partenaires et en mode multi-locataire

Les comptes CISO Reseller et CPA Partner gèrent des environnements de conformité pour le compte d'organisations clientes. Les partenaires doivent :

  • Obtenir un accord écrit explicite de chaque client avant de l'intégrer à la plateforme CATAAM.
  • Veiller à ce que les données de chaque client soient strictement isolées — les partenaires ne doivent pas accéder, partager ou recouper des données entre organisations clientes sans le consentement explicite de toutes les parties concernées.
  • Veiller à ce que l'utilisation du Service par leurs clients, telle que facilitée par le partenaire, soit conforme à la présente AUP.
  • Ne pas intégrer de clients dans le but d'accéder à la plateforme à un coût par licence réduit lorsque ces clients ne sont pas de véritables clients finaux des services du partenaire.

9. Surveillance et application

CATAAM se réserve le droit de surveiller l'utilisation du Service afin de détecter les violations de la présente AUP, notamment des volumes d'analyse anormaux, des schémas d'accès aux données inhabituels et des comportements compatibles avec un usage abusif de l'outillage de sécurité. La surveillance est effectuée conformément à notre Politique de confidentialité et à l' avenant relatif au traitement des données.

Nous n'inspectons pas systématiquement le contenu des Données client stockées dans le Service. La surveillance automatisée opère au niveau des métadonnées et du comportement (par ex. volume d'appels API, cibles d'analyse) plutôt qu'au niveau du contenu.

10. Conséquences des violations

Si nous déterminons, selon notre appréciation raisonnable, que vous avez enfreint la présente AUP, nous pouvons prendre l'une des mesures suivantes, avec ou sans préavis selon la gravité :

  • Avertissementun avis écrit identifiant la violation et l'action corrective requise
  • Restriction de fonctionnalitésuspension temporaire de certaines capacités (par ex. l'analyse iASM) pendant l'examen de la situation
  • Suspension du comptesuspension temporaire de tout accès dans l'attente d'une enquête ou d'une correction
  • Résiliation du compterésiliation définitive de votre abonnement en cas de violations graves, répétées ou non résolues
  • Action en justicesignalement aux autorités ou engagement de poursuites civiles lorsque les violations impliquent une activité criminelle ou un préjudice important pour des tiers

Nous nous efforcerons de donner un préavis et une possibilité de remédier à la situation avant d'agir, sauf lorsque la violation présente un risque immédiat de préjudice pour autrui, pour l'intégrité du Service ou pour des systèmes tiers.

11. Signalement des violations

Si vous avez connaissance d'une violation de la présente AUP — y compris un usage abusif potentiel de l'outillage de sécurité de CATAAM, ou un incident de sécurité — veuillez le signaler rapidement à :

Sécurité : security@themarkups.com
Questions générales relatives à l'AUP : legal@themarkups.com

Les chercheurs en sécurité qui découvrent des vulnérabilités dans la plateforme de CATAAM sont encouragés à les divulguer de manière responsable via la même adresse e-mail de sécurité. Nous ne prenons aucune mesure à l'encontre de la recherche en sécurité menée de bonne foi et dans le périmètre prévu.

12. Mises à jour de la présente politique

Nous pouvons mettre à jour la présente AUP à tout moment. Les modifications importantes seront communiquées par e-mail ou par notification dans la plateforme au moins 14 jours avant leur prise d'effet. La poursuite de l'utilisation du Service après la prise d'effet des modifications vaut acceptation. La version en vigueur est toujours disponible à l'adresse cataam.com/legal/aup.

13. Contact

Pour toute question concernant la présente politique :

TheMarkups Canada Inc.
Mississauga, Ontario, Canada
E-mail : legal@themarkups.com