Résumé
- Nous voulons que vous coordonniez la divulgation via notre programme de primes Bug Bounty et nous ne voulons pas que les chercheurs aient à craindre des conséquences juridiques alors qu’ils tentent de bonne foi de se conformer à notre règlement relatif à l’attribution de primes. Nous ne pouvons pas engager la responsabilité de tiers, donc ne présumez pas que cette protection s’étend à un tiers. En cas de doute, interrogez-nous avant de vous lancer dans une action spécifique susceptible, selon vous, de dépasser les limites de notre politique.
- Étant donné que les informations identifiantes et non-identifiantes peuvent exposer un chercheur à des risques, nous limitons le contenu que nous partageons avec des tiers. Nous pouvons transmettre à un tiers concerné des informations de fond non-identifiantes issues de votre signalement, mais uniquement après vous en avoir informé et avoir reçu de ce tiers l’engagement qu’il n’intentera aucune action judiciaire à votre encontre. Nous ne partagerons d’informations identifiantes (nom, adresse e-mail, numéro de téléphone, etc.) avec un tiers que si vous nous en donnez l’autorisation écrite.
- Si votre recherche en matière de sécurité dans le cadre du programme Bug Bounty enfreint certaines limitations mentionnées dans les règlements de nos sites, les conditions des Principes de protection des données autorisent une exception limitée.
1. Conditions des Principes de la Sphère de sécurité (Safe Harbor)
Afin d’encourager la recherche et la divulgation coordonnée des failles de sécurité, nous n’engagerons pas de poursuites civiles ou pénales, et n’enverrons pas d’avis aux forces de l’ordre en cas de violation accidentelle ou de bonne foi de la présente politique. Nous considérons que les activités de recherche en lien avec la sécurité et la divulgation des vulnérabilités menées conformément à la présente politique constituent une conduite « autorisée » en vertu du Computer Fraud and Abuse Act, du DMCA et de toute autre législation applicable relative à l’utilisation de l’informatique, comme l’article 502(c) du code pénal californien. Nous renonçons à toute poursuite potentielle à votre encontre dans le cadre de la loi DMCA en cas de contournement des mesures technologiques que nous utilisons pour protéger les applications visées par ce programme Bug Bounty.
Nous vous prions de comprendre que si vos activités de recherche en lien avec la sécurité impliquent les réseaux, systèmes, informations, applications, produits ou services d’un tiers (autre que nous), nous ne pouvons pas engager la responsabilité de ce tiers et il peut donc intenter une action judiciaire à votre encontre ou faire un signalement aux forces de l’ordre. Nous ne pouvons autoriser et nous n’autorisons pas les recherches en lien avec la sécurité menées au nom d’autres entités. De plus, nous ne pouvons en aucune manière proposer de vous défendre, de vous indemniser ou de vous protéger de quelque autre manière que ce soit contre toute action intentée par un tiers sur la base de vos agissements.
Comme toujours, vous êtes tenus de respecter toutes les lois qui vous sont applicables, et de ne pas perturber ou compromettre les données au-delà de ce que ce programme Bug Bounty autorise.
Veuillez nous contacter avant d’adopter une conduite susceptible d’aller à l’encontre du présent Règlement ou qui ne serait pas couverte par ce dernier. Nous nous réservons le droit exclusif de déterminer si une violation du présent Règlement peut être qualifiée d’accidentelle ou de bonne foi. Tout contact préalable de nos services avant d’entreprendre une action constitue un facteur déterminant dans cette décision. En cas de doute, interrogez-nous au préalable !
2. Principes de protection des données (Safe Harbor) applicables aux tiers
Si vous adressez, via notre programme Bug Bounty, un signalement affectant un service tiers, nous limiterons les informations partagées avec tout tiers concerné. Nous sommes susceptibles de partager du contenu non-identifiant issu de votre signalement avec un tiers concerné, mais uniquement après vous avoir informé que nous avons l’intention de le faire et après avoir obtenu un engagement écrit dudit tiers stipulant qu’il renonce à toute poursuite juridique à votre encontre et à tout contact des forces de l’ordre sur la base de votre signalement. Nous ne partagerons pas d’informations permettant de vous identifier avec un tiers concerné sans obtenir au préalable votre consentement écrit.
Veuillez noter que nous ne pouvons pas autoriser les tests hors champ d’application au nom de tiers, car ces tests vont au-delà du champ d’application de notre Règlement. Veuillez vous rapporter au Règlement du programme Bug Bounty dudit tiers (le cas échéant) ou contacter ledit tiers directement ou via un représentant légal avant d’effectuer le moindre test sur ce tiers ou ses services. Cette déclaration ne constitue pas et ne peut pas être considérée comme un engagement de notre part à vous défendre, vous indemniser ou vous protéger de quelque manière que ce soit contre toute action intentée par un tiers sur la base de vos agissements.
Cela dit, en cas d’action légale intentée par un tiers, y compris par les forces de l’ordre, à votre encontre en raison de votre participation au présent programme Bug Bounty, si vous vous êtes suffisamment conformé au Règlement du programme Bug Bounty (autrement dit, si vous n’avez pas commis d’infractions intentionnelles ou de mauvaise foi), nous prendrons les mesures requises pour faire savoir que vos actions ont été menées conformément au présent Règlement. Bien que nous considérions les signalements soumis comme des documents confidentiels et potentiellement privilégiés devant être protégés contre toute divulgation contrainte dans la plupart des circonstances, sachez qu’un tribunal peut, malgré nos objections, nous enjoindre à partager ces informations avec un tiers.
3. Dérogation limitée aux règlements d'autres sites
Dans la mesure où vos activités de recherche en lien avec la sécurité sont en contradiction avec certaines limitations imposées par les règlements de nos sites concernés, mais sont cohérentes avec les conditions de notre Bounty Program, nous dérogeons à ces limitations dans le seul et unique but d'autoriser vos recherches en lien avec la sécurité dans le cadre du présent Bounty Program. Encore une fois, en cas de doute, contactez-nous au préalable !