Business-to-Business — valables exclusivement entre SOTHURA SAFE GmbH (i.G.) et les utilisateurs professionnels · Stand: Avril 2026 · Version: 2026-04-v1
SOTHURA SAFE est une plateforme Software-as-a-Service (ci-après « plateforme ») destinée aux intermédiaires d'assurance professionnels et aux intermédiaires connexes inscrits dans un registre du commerce cantonal ou dans le registre des intermédiaires de l'Autorité fédérale de surveillance des marchés financiers (FINMA), ayant leur siège en Suisse ou dans l'EEE. Elle met à disposition des outils pour la gestion des mandants, l'analyse des polices, l'organisation documentaire, la documentation des entretiens de conseil et les analyses assistées par IA. La plateforme ne remplace en aucun cas l'appréciation technique sous propre responsabilité, la responsabilité réglementaire ou les obligations de diligence des utilisateurs.
1.1 Les présentes conditions générales (ci-après « CG ») régissent l'ensemble des relations juridiques entre SOTHURA SAFE GmbH (en formation), Wassergasse 5, 4573 Lohn-Ammannsegg, Suisse (ci-après « le fournisseur »), et les clientes et clients de la plateforme (ci-après « le client »). Seules peuvent être clientes les personnes morales, raisons individuelles ou intermédiaires inscrits au registre professionnel exerçant à titre commercial.
1.2 La plateforme s'adresse exclusivement aux entrepreneurs au sens de l'art. 1 al. 2 et de l'art. 2 al. 2 CO. Aucune relation de consommation n'existe. Les dispositions de la loi sur les voyages à forfait, de la LCC ainsi que les droits de révocation de droit de la consommation ne sont pas applicables.
1.3 Des CG du client divergentes, contraires ou complémentaires — même connues — ne deviennent pas partie intégrante du contrat, sauf consentement écrit exprès à leur application.
1.4 Le fournisseur peut convenir avec certains clients de règles divergentes dans un contrat-cadre ou Enterprise séparé. En cas de contradiction, les conventions individuelles priment, suivies du contrat de sous-traitance des données (DPA), du SLA, de la description des prestations et enfin des présentes CG.
1.5 Self-Service vs. Enterprise. Les présentes CG constituent le contrat de base B2B pour l'exploitation Self-Service jusqu'à dix places actives incluses. Pour les organisations à partir de onze places ainsi que pour les clients ayant des exigences individuelles (SLA étendu, droits d'audit, gestion individuelle des clés, responsabilité divergente, obligations réglementaires particulières, intégrations Enterprise), le fournisseur conclut un contrat-cadre individuel avec DPA complémentaire, SLA et description des prestations. Les conditions qui y sont convenues priment sur les présentes CG (clause 1.4).
2.1 Le contrat est conclu lors de l'activation du compte client par le fournisseur ou lors de la première utilisation après acceptation des présentes CG (Click-Wrap). Le fournisseur peut refuser un enregistrement sans justification.
2.2 Le client garantit que (i) toutes les données indiquées sont véridiques, actuelles et complètes, (ii) les personnes agissant sont habilitées à le représenter, (iii) toutes les conditions réglementaires de son activité d'intermédiation sont remplies (notamment art. 40 ss LSA, standards professionnels VBV dès le 1.1.2026), et (iv) il utilise la plateforme uniquement dans le cadre de son activité commerciale.
2.3 Le client porte l'entière responsabilité de toutes les actions effectuées sous ses identifiants. Tout soupçon d'abus doit être signalé au fournisseur sans délai.
3.1 Le fournisseur met à disposition du client la plateforme et des modules fonctionnels sélectionnés via Internet, conformément à la description des prestations publiée dans le catalogue tarifaire. Les détails fonctionnels, capacités, limites de stockage et paramètres SLA résultent de la version actuelle de la description des prestations et des tarifs.
3.2 Le fournisseur est en droit, dans le cadre du développement produit habituel, de faire évoluer la plateforme sur le plan technique, fonctionnel et graphique, d'ajouter des fonctions, d'en remplacer par des équivalentes ou supérieures ou de les retirer. Les restrictions essentielles au détriment du client sont annoncées au moins 30 jours à l'avance et fondent un droit de résiliation extraordinaire.
3.3 Les fonctions désignées comme « Beta », « Preview », « Expérimental » ou de manière équivalente sont fournies sans aucune garantie et exclues des engagements de disponibilité et de responsabilité.
3.4 Aucune prestation de conseil. Le fournisseur ne fournit aucun conseil juridique, fiscal, financier ou en assurance. Toutes les analyses, comparaisons, recommandations, simulations et sorties IA générées par la plateforme constituent un pur soutien à la décision et au travail. La responsabilité technique et réglementaire de chaque conseil, recommandation ou documentation à l'égard des clients finaux incombe exclusivement au client.
4.1 Le fournisseur concède au client, pour la durée du contrat, un droit simple, non transmissible, non sous-licenciable, limité au nombre d'utilisateurs et à la finalité convenus, d'utiliser la plateforme.
4.2 Le client peut utiliser la plateforme exclusivement pour ses propres besoins d'exploitation et pour la gestion de ses propres clients finaux. Une utilisation pour le compte de tiers, l'offre de la plateforme comme service à des tiers (revente « White-Label »), l'intégration dans des produits propres ou la mise à disposition à des fournisseurs concurrents n'est admissible qu'avec le consentement écrit du fournisseur ou dans le cadre d'un plan expressément réservé à cet effet.
4.3 Il est notamment interdit au client de :
4.4 Tous les droits sur la plateforme, son code source, ses concepts, workflows, prompts IA, architectures de prompts, orchestrations de modèles, designs UI, documentation et tous les développements ultérieurs restent exclusivement la propriété du fournisseur ou de ses concédants de licence.
5.1 Propriété des données. Les données introduites par le client sur la plateforme (ci-après « données clients »), y compris les données de ses clients finaux, restent la propriété ou sous le contrôle du client. Le fournisseur n'acquiert aucun droit propre sur les données clients, à l'exception du droit d'utilisation nécessaire à la fourniture des prestations.
5.2 Sous-traitance. Dans la mesure où le fournisseur traite des données personnelles pour le compte du client, il agit en tant que sous-traitant (de données) selon l'art. 9 nLPD ou sous-traitant selon l'art. 28 RGPD. Les détails sont régis par le contrat de sous-traitance des données (DPA), qui fait partie intégrante du présent contrat.
5.3 Données agrégées. Le fournisseur peut utiliser les données clients sous forme anonymisée et agrégée — sans aucune possibilité de remonter au client ou à des personnes individuelles — pour améliorer la plateforme, à des fins d'évaluation statistique et d'études de marché. Aucun entraînement de modèles d'IA générative sur des données clients identifiables n'a lieu ; les clauses correspondantes sont contractuellement exclues avec les sous-traitants ultérieurs.
5.4 Feedback. Dans la mesure où le client fournit des feedbacks, suggestions d'amélioration ou idées, il concède irrévocablement au fournisseur, à l'échelle mondiale et à titre gratuit, un droit simple, illimité dans le temps et le contenu, d'utilisation, de mise en œuvre et de développement. Aucune prétention à la délivrance des résultats de développement n'existe.
5.5 Export et restitution des données. Le client peut à tout moment exporter ses données clients dans un format courant lisible par machine (par ex. JSON, CSV). Après la fin du contrat, les données clients restent disponibles à l'export pendant 30 jours. Elles sont ensuite supprimées dans un délai de 90 jours, sauf si des obligations légales ou réglementaires de conservation s'y opposent ; la conservation correspondante est verrouillée.
6.1 La plateforme met en œuvre une intelligence artificielle générative et analytique, notamment pour l'extraction de documents, les comparaisons de polices, les analyses de risques et le soutien au conseil.
6.2 Avant la transmission aux services IA, les données personnelles sont automatiquement pseudonymisées (notamment numéro AVS, noms, IBAN, adresses, dates de naissance). Le fournisseur n'utilise que des modèles de langage exploités dans des centres de calcul européens (région Belgique) ; les sous-traitants IA concrets sont indiqués sur la page Sous-traitants ultérieurs. Un entraînement des modèles tiers utilisés sur des données clients est exclu contractuellement.
6.3 Aucune garantie pour les sorties IA. Les sorties IA peuvent être incomplètes, inexactes, dépassées ou matériellement fausses (« hallucinations »). Le client est tenu de vérifier, plausibiliser et — si nécessaire — vérifier par des sources primaires toutes les sorties IA avant de les utiliser à l'égard des clients finaux. Toute responsabilité du fournisseur pour l'exactitude, l'exhaustivité ou l'actualité des contenus générés par IA est exclue dans la mesure légalement admissible.
6.4 Le client ne peut utiliser les sorties IA comme seule base pour des conseils contraignants, des recommandations, des documentations selon l'art. 45 LSA ou des obligations d'information selon l'art. 3 LCA, sans les apprécier techniquement.
7.1 Les prix publiés dans le catalogue tarifaire au moment de la commande s'appliquent. Tous les prix s'entendent en francs suisses (CHF), TVA légale en sus dans la mesure applicable.
7.2 La facturation s'effectue périodiquement à l'avance (mensuellement ou annuellement selon le modèle de facturation choisi). Les paiements sont dus dans un délai de 30 jours à compter de la date de facture, net.
7.3 En cas de retard de paiement, le fournisseur est en droit, sans autre mise en demeure, de percevoir des intérêts moratoires de 5 % p. a. (art. 104 CO) ainsi qu'un forfait de frais de CHF 50 par rappel. En cas de retard de plus de 30 jours, le fournisseur peut suspendre temporairement l'accès à la plateforme ; en cas de retard de plus de 60 jours, il est en droit de résilier de manière extraordinaire. Les frais de recouvrement sont à la charge du client.
7.4 Adaptations de prix. Le fournisseur peut adapter les prix à la fin de chaque période contractuelle moyennant un préavis d'au moins 60 jours. Si la hausse de prix dépasse l'indice suisse des prix à la consommation sur la période écoulée depuis la dernière adaptation de plus de 10 %, le client dispose d'un droit de résiliation extraordinaire à la date d'entrée en vigueur de l'adaptation tarifaire.
7.5 Compensation et droit de rétention. Le client ne peut compenser ses créances avec celles du fournisseur que par des contre-créances incontestées ou constatées par décision exécutoire. Des droits de rétention n'existent que dans la mesure où ils reposent sur la même relation contractuelle.
8.1 Le fournisseur garantit une disponibilité cible de la plateforme productive de 99,5 % en moyenne mensuelle, mesurée sur le système productif hors fenêtres de maintenance planifiées.
8.2 Ne sont notamment pas comptés dans la disponibilité : (i) les fenêtres de maintenance planifiées annoncées au moins 48 heures à l'avance, (ii) les maintenances d'urgence pour parer à des risques de sécurité, (iii) les indisponibilités dues à un cas de force majeure (clause 11), (iv) les indisponibilités chez les sous-traitants ou backbones Internet non imputables au fournisseur, (v) les perturbations dues au client, à des tiers dans la sphère d'influence du client ou à l'équipement terminal du client.
8.3 Des Service Levels étendus, des pénalités ou des avoirs ne peuvent être convenus que dans un SLA individuel.
9.1 Le fournisseur exploite la plateforme selon l'état de la technique (notamment AES-256 at rest, TLS 1.2+ in transit, chiffrement par clé HSM gérée en propre, Least Privilege, RBAC, isolation des mandants, journaux d'audit résistants à l'audit ; voir page Sécurité).
9.2 Incidents de sécurité. Le fournisseur informe le client sans retard injustifié, au plus tard dans les 72 heures suivant la prise de connaissance, des incidents de sécurité touchant les données clients, et soutient le client dans ses obligations d'annonce selon l'art. 24 nLPD ou les art. 33/34 RGPD.
9.3 Audit. Le client reçoit, sur demande écrite et une fois par an, l'accès aux rapports actuels d'organes de contrôle reconnus (par ex. SOC 2 Type II, ISO 27001) des sous-traitants centraux du fournisseur ainsi qu'aux rapports du fournisseur lui-même, dans la mesure disponible. Un droit direct d'audit sur place n'existe qu'en présence d'un motif documenté et aux frais du client, après convention écrite préalable ; un simple intérêt de contrôle ne suffit pas.
9.4 Responsible Disclosure. Les chercheurs en sécurité peuvent signaler des vulnérabilités à security@sothura.ch. Les tests d'intrusion non autorisés, l'exploitation de vulnérabilités trouvées au-delà de ce qui est nécessaire au signalement, la publication avant correction ainsi que la captation de données clients tierces sont inadmissibles et seront poursuivis pénalement.
10.1 Le fournisseur garantit que la plateforme correspond pour l'essentiel à la description actuelle des prestations et est exploitée avec la diligence usuelle de la branche. Toute autre garantie expresse ou tacite plus étendue est exclue dans la mesure légalement admissible, notamment pour la disponibilité ininterrompue, l'absence de défauts, l'exhaustivité, l'aptitude à un usage déterminé, la compatibilité avec l'environnement informatique du client ainsi que l'exactitude des données tierces, de marché et IA (art. 199 CO).
10.2 Le client signale les défauts par écrit, de manière compréhensible et sans délai, au plus tard dans les 10 jours ouvrables à compter de la prise de connaissance. Le fournisseur élimine les défauts signalés à juste titre dans un délai approprié par correction ou solution de contournement ; la réduction et la résolution sont exclues.
10.3 Les déclarations non contraignantes issues du marketing, des démos et des feuilles de route ne valent pas garantie au sens de l'art. 197 CO. La description écrite des prestations à la conclusion du contrat fait foi.
11.1 Faute légère. La responsabilité du fournisseur pour faute légère est exclue dans la mesure admise (art. 100 al. 2 CO).
11.2 Auxiliaires. La responsabilité pour les auxiliaires (notamment fournisseurs cloud et IA, partenaires d'intégration, indépendants) est entièrement exclue selon l'art. 101 al. 2 CO.
11.3 Faute intentionnelle et faute grave. Pour le surplus, le fournisseur répond, dans la mesure légalement impérative (art. 100 al. 1 CO), du dommage concrètement prouvé, direct et prévisible selon le type de contrat.
11.4 Exclusion de certaines catégories de dommages. En tout état de cause, le fournisseur ne répond pas des dommages indirects, dommages consécutifs, gain manqué, économies manquées, interruptions de production ou d'exploitation, atteintes à la réputation et à l'image, pertes de données évitables par un comportement adéquat d'export et de sauvegarde du client, prétentions de tiers ainsi que des amendes et sanctions réglementaires.
11.5 Plafond de responsabilité. Dans la mesure où la responsabilité existe, elle est limitée pour l'ensemble des événements d'une année civile à la rémunération nette que le client a versée au fournisseur dans les 12 mois précédant l'événement causal du dommage (hors frais uniques d'installation, de formation et de prestations de tiers).
11.6 Aucune responsabilité pour les résultats de conseil et les obligations de surveillance. La plateforme est un outil de travail et d'analyse. Le fournisseur ne répond pas de l'exactitude réglementaire, technique, fiscale ou de droit civil des conseils, recommandations, offres, analyses de risque ou documentations de conseil que le client fournit à l'égard des clients finaux, des assureurs ou des autorités, même lorsqu'ils reposent sur des sorties de la plateforme ou de l'IA. La plateforme ne remplace ni une intermédiation d'assurance au sens des art. 40 ss LSA, ni les obligations d'information, de conseil et de documentation selon l'art. 3 LCA et l'art. 45 LSA. Ces obligations restent intégralement à la charge du client.
11.7 Sorties IA. Le fournisseur ne répond pas de l'exactitude, de l'exhaustivité ou de l'actualité des contenus générés par IA. Le client vérifie les sorties IA de manière autonome avant utilisation à l'égard des clients finaux.
11.8 Services tiers et force majeure. Aucune responsabilité n'est engagée pour les contenus, fonctions ou disponibilité des services tiers intégrés (par ex. Microsoft 365 ou plateformes Office et de collaboration comparables, interfaces des assureurs, bases de données CGA/tarifaires) ainsi que pour les dommages dus à un cas de force majeure, à des cyberattaques de tiers, à des pannes Internet ou à des décisions d'autorités.
11.9 Faute concomitante. En cas de faute concomitante du client — notamment absence de signalement des défauts, absence de comportement de sauvegarde, absence de vérification technique des sorties IA ou sécurité insuffisante des terminaux — une éventuelle responsabilité est réduite en conséquence (art. 44 CO).
11.10 Prescription. Les prétentions contre le fournisseur se prescrivent dans un délai de 12 mois à compter de la prise de connaissance, au plus tard dans les trois ans à compter de l'événement causal du dommage, dans la mesure où le droit impératif ne prévoit pas de délais plus longs.
11.11 Extension. Les règles de responsabilité de la présente clause 11 s'appliquent également en faveur de la direction, des collaborateurs, mandataires et auxiliaires du fournisseur (art. 112 CO).
12.1 Le client met le fournisseur hors de cause des prétentions de tiers résultant du fait que
12.2 La mise hors de cause comprend les frais raisonnables de défense et de procédure. Le fournisseur informe le client sans délai des prétentions et lui accorde la possibilité de participer à la défense.
12.3 Indépendance. Le fournisseur est partenaire contractuel indépendant. Le contrat ne crée aucun rapport de travail, de représentation, de mandat ou de courtage. Le fournisseur n'intervient pas comme intermédiaire d'assurance au sens des art. 40 ss LSA et n'agit pas au nom du client.
Aucune partie ne répond des perturbations de prestations dues à un cas de force majeure. Sont notamment considérés comme cas de force majeure la guerre, les attentats terroristes, les émeutes, les décisions d'autorités, les pandémies, les conflits du travail, les pannes étendues d'électricité, d'Internet ou DNS, les cyberattaques de grande ampleur contre des infrastructures critiques, les catastrophes naturelles ainsi que les perturbations chez des sous-traitants non remplaçables, dans la mesure où la partie concernée n'en répond pas et ne peut les contourner avec un effort raisonnable. Si un cas de force majeure dure plus de 60 jours, chaque partie peut résilier le contrat de manière extraordinaire.
14.1 À défaut d'accord divergent, le contrat est conclu pour une durée indéterminée. Il peut être résilié de manière ordinaire à tout moment pour la fin de la période de facturation en cours, moyennant un préavis de 30 jours, en la forme textuelle.
14.2 Le droit de résiliation extraordinaire pour juste motif reste réservé aux deux parties. Un juste motif existe notamment pour le fournisseur en cas (i) de retard de paiement de plus de 60 jours, (ii) de violation des obligations d'utilisation selon la clause 4, (iii) de soupçon d'abus, de fraude ou d'activité interdite par la surveillance, (iv) de préoccupations de sécurité fondées, (v) d'ouverture d'une procédure d'insolvabilité ou de faillite sur le patrimoine du client.
14.3 Les résiliations requièrent au moins la forme textuelle (e-mail suffisant). En cas de résiliation extraordinaire pour juste motif imputable au client, la prétention du fournisseur aux rémunérations dues jusqu'à l'échéance régulière du contrat subsiste.
14.4 Après la fin du contrat, les règles relatives à la restitution et à la suppression des données selon la clause 5.5 s'appliquent.
Le fournisseur est en droit de recourir, pour l'exploitation de la plateforme, à des sous-traitants ultérieurs (par ex. infrastructure cloud, services IA, envoi d'e-mails, monitoring). La liste actuelle est publiée sur le site web (/fr-ch/subprozessoren). Le fournisseur informe des changements ou ajouts prévus ; le client peut formuler des objections motivées dans un délai de 30 jours. En cas d'objections fondées en matière de protection des données ou de sécurité, le client dispose d'un droit de résiliation extraordinaire si le fournisseur ne propose pas d'alternative équivalente.
16.1 Les deux parties traitent toutes les informations reçues dans le cadre de la relation d'affaires et marquées comme confidentielles ou manifestement confidentielles avec une stricte confidentialité, ne les utilisent qu'aux fins de l'exécution du contrat et les sécurisent selon l'état de la technique.
16.2 L'obligation de confidentialité ne s'applique pas aux informations qui (i) sont déjà publiquement connues, (ii) ont été développées indépendamment sans accès aux informations confidentielles, (iii) ont été obtenues licitement de tiers ou (iv) doivent être divulguées en raison d'une décision légale ou d'autorité impérative, la partie concernée devant — dans la mesure légalement admissible — informer l'autre partie sans délai.
16.3 L'obligation de confidentialité subsiste pendant cinq ans après la fin du contrat. Les secrets d'affaires au sens de l'art. 162 CP et de l'art. 6 LCD restent protégés sans limitation de durée.
Le fournisseur peut nommer le client — exclusivement de manière neutre avec dénomination sociale et logo — dans les listes de clients, pitches et sur le site web à titre de référence. Toute utilisation plus étendue (études de cas, citations, chiffres) requiert le consentement écrit préalable du client. Le client peut révoquer le droit de référence à tout moment avec effet pour l'avenir.
18.1 Le client ne peut céder ses droits et obligations issus du présent contrat à des tiers qu'avec le consentement écrit du fournisseur.
18.2 Le fournisseur peut céder ses droits et obligations issus du présent contrat, notamment dans le cadre de restructurations, fusions, scissions, asset deals ou share deals (Change of Control), sans consentement séparé, à des sociétés du groupe ou à des successeurs juridiques, à condition que l'exécution des obligations contractuelles soit assurée.
Le client garantit (i) ne pas figurer sur une liste de sanctions de la Suisse, de l'UE, des États-Unis ou de l'ONU, (ii) ne pas être contrôlé par une personne ou organisation sanctionnée, et (iii) ne pas utiliser la plateforme directement ou indirectement dans, depuis ou en faveur d'un territoire faisant l'objet de sanctions globales. Une violation autorise le fournisseur à résilier de manière extraordinaire et immédiate.
Le fournisseur peut adapter les présentes CG à tout moment moyennant un préavis d'au moins 30 jours. Les modifications sont communiquées au client en la forme textuelle (e-mail ou notification In-App). Si le client ne s'y oppose pas dans le délai de préavis, les modifications sont réputées approuvées. En cas d'opposition, la relation contractuelle prend fin à la date d'entrée en vigueur prévue de la modification ; les prestations fournies jusqu'alors sont décomptées au prorata.
21.1 Forme écrite. Les modifications et compléments du présent contrat requièrent la forme textuelle. Il en va de même pour la suppression de cette exigence de forme textuelle.
21.2 Clause salvatrice. Si certaines dispositions du présent contrat devaient être en tout ou partie inefficaces, invalides ou inexécutables, ou le devenir, l'efficacité des autres dispositions n'en serait pas affectée. Les parties remplaceront d'un commun accord la disposition concernée par une règle valable se rapprochant le plus du but économique de la disposition d'origine. Il en va de même pour les lacunes.
21.3 Accord intégral. Les présentes CG, accompagnées du catalogue tarifaire, de la description des prestations, du DPA et d'un éventuel contrat-cadre individuel, constituent l'accord intégral entre les parties et remplacent tous les accords oraux ou écrits antérieurs portant sur l'objet du contrat.
21.4 Communications. Les communications sont adressées aux dernières coordonnées communiquées. Le client doit mettre à jour sans délai toute modification de ses coordonnées.
22.1 Le présent contrat et toutes les prétentions en résultant ou en lien avec lui sont soumis exclusivement au droit suisse, à l'exclusion des règles de conflit et à l'exclusion de la Convention des Nations Unies sur les contrats de vente internationale de marchandises (CISG/Convention de Vienne).
22.2 Le for exclusif pour tous les litiges est le siège du fournisseur (actuellement 4573 Lohn-Ammannsegg, compétent : Tribunal de district de Bucheggberg-Wasseramt / Tribunal cantonal de Soleure). Le fournisseur est en droit de poursuivre le client également à son for ordinaire.
22.3 Dans la mesure où la Convention de Lugano s'applique à la relation contractuelle, l'accord d'élection de for ci-dessus vaut accord au sens de l'art. 23 CL.