Loading...

CHARTE ÉTHIQUE DU CONSORTIUM

PRÉAMBULE

 

La présente Charte, rédigée sous les auspices des Associations ADIJ et Open Law* Le Droit Ouvert, propose un ensemble de règles visant à donner à tous les usagers du droit des garanties de compétence, de confidentialité et de responsabilité afin de stimuler l’innovation de la LegalTech dans un cadre harmonieux et respectueux de la diversité des acteurs tout en renforçant la confiance du public dans ses produits et services.

 

Les signataires s’accordent sur le fait que le droit et la justice exigent une éthique particulière dans l’intérêt du justiciable et de l’État de droit. Ils reconnaissent également la nécessité d’une concurrence saine pour le développement du secteur.

 

Dans cette perspective, la Charte incarne l’engagement de ses signataires à contribuer tant à la promotion des nouvelles technologies qu’à la qualité de la transition vers ces nouvelles technologies, en s’engageant en particulier sur :

  • La qualité de service que peuvent attendre les acteurs économiques qui recourent aux services d’une LegalTech,

  • Le respect des obligations en matière de sécurité et de confidentialité,

  • Le respect des périmètres d’intervention de chaque profession,

  • La responsabilité des acteurs de la LegalTech.

 

Article 1 – Définition et champ d’application

Est défini comme acteur de la LegalTech ayant vocation à respecter et signer la présente Charte, toute organisation qui fait usage de la technologie pour développer, proposer, fournir ou permettre l’accès des justiciables ou des professionnels du droit à des services facilitant l’accès au droit et à la justice.

Les professionnels du droit qui proposent ce type de technologies peuvent également être signataires de la présente Charte, laquelle ne peut en aucune façon prévaloir sur le respect de leurs obligations professionnelles et déontologiques.

Article 2 – Protection des intérêts des clients

Les signataires de cette charte s’engagent à rechercher en priorité la satisfaction des clients finaux au profit desquels ils mettront en œuvre leurs services et leurs solutions technologiques.

A ce titre, ils seront particulièrement attentifs à :

  • assurer la confidentialité des données et informations concernant les clients finaux et leurs dossiers,
  • s’interdire toute situation potentielle de conflits d’intérêts,
  • s’assurer en permanence du fait que les services rendus sont conformes au dernier
  • état du droit positif,
  • délivrer au client une information loyale, claire et transparente sur la nature des
  • prestations assurées, leurs performances et leurs risques d’erreur, leur coût et leur conformité juridique.

 

Ils s’engagent également à imposer les mêmes obligations à leurs partenaires et sous- traitants dont les prestations pourraient être sollicitées pour réaliser le traitement des données de leurs clients.

Lorsque les services assurés comportent une prestation d’intermédiation, au sens de l’article L. 111-7 du code de la consommation, les signataires concernés doivent respecter également les obligations de loyauté et d’information des consommateurs prévues au dit article.

Article 3 – Travail collaboratif et concurrence saine et loyale

Les signataires s’engagent à mettre leurs compétences au service de l’innovation et à favoriser entre eux des échanges ouverts et collaboratifs, afin de favoriser au mieux de leurs possibilités respectives le développement des services de la LegalTech et des technologies associés.

Ils s’engagent par ailleurs à entretenir des relations de collaboration ou de concurrence loyales tant avec les autres acteurs de la LegalTech qu’avec l’ensemble des professionnels du droit.

Article 4 – Respect du cadre légal et réglementaire

Les signataires s’engagent à respecter le droit applicable à leurs activités et en particulier les dispositions pertinentes du droit de la consommation, du droit du commerce et des communications électroniques, de la protection des données personnelles et de la propriété intellectuelle.

Lorsque les services qu’ils proposent concernent directement ou indirectement la gestion de procédures contentieuses ou pré-contentieuses, les signataires s’engagent également au strict respect des dispositions procédurales applicables à chacun des types de contentieux concernés, ainsi qu’à celui du droit au procès équitable.

Article 5 – Relation avec les professions réglementées

Les signataires s’engagent à respecter le périmètre d’intervention des professions réglementées du droit conformément à leurs statuts respectifs.

Ceux des signataires qui, de par leurs activités, sont amenés à fournir des services aux professionnels réglementés s’engagent à se conformer aux principes essentiels et à la déontologie régissant leurs professions.

En particulier, les signataires s’engagent, pour toute prestation de services en ligne impliquant des membres des professions réglementées, à mettre en œuvre des moyens permettant l’identification du client, la possibilité de s’assurer de l’absence de conflit d’intérêt ainsi qu’un processus ségrégé d’encaissement des fonds.

Article 6 – Sécurité et confidentialité

Les signataires s’engagent à la confidentialité de leurs rapports avec leur clientèle. Ils reconnaissent l’absolue nécessité de garantir le secret professionnel dans un État de droit et conviennent que les données des clients finaux qu’ils leur seront confiées ne sauraient être stockées, échangées ou traitées hors d’un cadre sécuritaire adéquat.

Ils mettent en place les mesures techniques de sécurité et de confidentialité nécessaires au respect de cette sécurité en se conformant aux recommandations de sécurité et de confidentialité qui font l’objet de l’annexe Sécurité de la présente Charte. Ils sont en mesure d’en justifier à tout moment.

Sous réserve de la mise en œuvre de ces moyens de sécurité, les données d’utilisation de leurs services en ligne pourront être utilisées à des fins d’amélioration du service, à condition de garantir leur anonymat et de permettre leur suppression sur simple demande. En conséquence, toutes les dispositions techniques permettant cette suppression, notamment par le biais d’un système d’identification, doivent être mises en place.

Article 7 – Conflits d’intérêts

Les signataires s’abstiennent d’intervenir dans des situations de conflits d’intérêts qui s’entendent :

  • non seulement de l’impossibilité de travailler directement ou indirectement pour plusieurs clients finaux ayant un litige entre eux,
  • mais plus généralement de toute situation où l’acteur, du fait de sa position ou de ses prestations antérieurement réalisées, détiendrait une information confidentielle obtenue auprès d’un client ou utilisateur qui pourrait favoriser le traitement de la situation d’un autre client, ou plus généralement compromettre la neutralité de ses prestations.

 

Dans leurs relations avec les autres acteurs de la LegalTech ainsi qu’avec des professionnels du droit, les signataires s’engagent à procéder, avant toute collaboration entre eux, à la vérification préalable des éventuels risques de conflits d’intérêts.

 

Article 8 – Responsabilité civile professionnelle

Les signataires s’engagent à souscrire une assurance de responsabilité civile professionnelle adaptée à leurs activités afin de garantir et d’indemniser les dommages que leurs activités seraient susceptibles de causer, tant s’agissant de prestations de service techniques qu’en matière de conseil.

ANNEXE 1 – Sécurité

Article 0 Préambule

En signant la charte éthique, les signataires soulignent leur attachement à la sécurité de l’information. Ils s’engagent à mettre en œuvre les dispositions de sécurité de cette annexe.

Cette annexe a été élaborée par les associations ADIJ et OPEN LAW. Elle respecte notamment :

– Les différents guides de bonnes pratiques de l’ANSSI (Agence Nationale de la Sécurité des Systèmes

d’Information)

– Le Guide des Bonnes Pratiques de l’Informatique de la CGPME 

 

Cette annexe à la charte vise à instaurer la confiance du public même averti dans les produits et services des Signataires et contribuer tant à la qualité de la transition vers les nouvelles technologies qu’à la promotion de ces technologies.

Les Signataires réaffirment leur conviction que les services juridiques en ligne ne pourront prospérer sans cet ensemble de bonnes pratiques qui représente une véritable innovation pour le monde juridique et une vraie garantie pour les clients et partenaires des Signataires.

Article 1 – Champ d’application

Toute personne signant ou déclarant respecter la charte éthique s’engage à respecter les règles établies dans cette présente annexe.

Les acteurs de la LegalTech sont conscients que les menaces sur les Systèmes d’Information, incluant par conséquent les LegalTech, sont nombreuses et ne cessent d’évoluer. Ils sont conscient que cette réalité exige d’adopter une posture sécuritaire vis-à-vis de leur technologie.

Article 2 – Principe de Sécurité en Profondeur

Les nouvelles menaces obligent les signataires à fournir une sécurité qui touche à tous les niveaux de l’organisation, sur les plans humain, organisationnel et technique.

Cette charte propose un niveau minimal de sécurité, basée sur les bonnes pratiques établies par les organisations de référence et en adéquation avec la sensibilité des données traitées et les obligations strictes du Secret Professionnel grevant les professionnels du droit.

Afin d’assurer la défense en profondeur, les LegalTech s’engagent à nommer un « référent sécurité » au sein de leur organisation, dont la mission est de coordonner et assurer du respect de cette charte.

 

Article 3 – Respect du cadre légal et réglementaire

Les signataires confirment respecter la réglementation applicable, notamment la loi informatique et liberté, la loi dite Godfrain du 5 janvier 1998, le référentiel général de sécurité, la protection des « biens informationnels », la propriété intellectuelle et les obligations résultant du Secret Professionnel.

 

Article 4 – Veille sécuritaire

Les signataires s’engagent à mettre en place une veille sur les nouvelles menaces qui pèsent sur les Systèmes d’Information dans le cadre de leur activité.

Le « référent sécurité » des signataires s’abonne a minima au CERT-FR afin de recevoir les nouvelles vulnérabilités sur leurs systèmes.

Toute nouvelle menace sur les Systèmes d’Information doit être prise en compte et traitée.

 

Article 5 – Classification et manipulation de l’information

Les signataires s’engagent à classer les différentes informations qu’ils manipulent en fonction de leur degré de confidentialité et à mettre en œuvre une politique de traitement des données les plus sensibles de manière à garantir au mieux leur confidentialité. Cette politique doit indiquer comment les données sont stockées, détruites, transmises et qui y a accès.

Toute donnée d’utilisateur traitées à d’autres fins que ceux pour quoi elles ont été fournies (tests, statistiques, etc.) doivent être préalablement anonymisées.

Article 6 – Contrôle des accès logiques

Les signataires s’engagent à mettre en place les processus adéquats pour garantir un accès sécurisé aux ressources de l’organisation.

 

  1. Une politique de mot de passe doit être mise en œuvre

Les mots de passes doivent être robustes : 8 caractères minimum (Majuscule, minuscule, chiffre et caractère spécial). Ce nombre est porté à 12 pour les comptes d’administration ;

Les mots de passe doivent être modifiés tous les trois mois au minimum;

Les mots de passe sont non cessibles et personnels ;

Les mots de passes sont stockées de manière chiffrée ;

L’utilisation d’un coffre-fort de mot de passe est par ailleurs recommandée.

  1. Les accès doivent être régulièrement revus : les comptes dormants ou appartenant à une personne n’appartenant plus à l’organisation doivent être systématiquement désactivés. Une revue est attendue a minima une fois par an.

 

  1. La connexion a un système d’information doit se faire dans les règles de l’art. Les guides de l’ANSSI fournissent lesdites règles.

 

Article 7 – Stockage des données

Les données doivent être stockées dans des infrastructures sécurisées. Les données sont stockées de manière chiffrée et en utilisant un protocole de chiffrement robuste.

Par ailleurs la durée de stockage et le retraitement des données doit se faire en conformité avec la réglementation en vigueur.

Les fichiers de données sont déclarés à la CNIL en conformité avec la loi.

Article 8 – Sauvegarde et restauration

Les signataires s’engagent sauvegarder les données de manière chiffrée, selon une périodicité qu’ils auront eux-mêmes définis et qui tient compte des besoins de leurs utilisateurs.

Des tests de restauration doivent être effectués afin de s’assurer de la bonne conservation des données confiées par les utilisateurs.

 

Article 9 – Développement sécurisé

Outre le fait que les développement open sources doivent être privilégiés. Les bonnes pratiques de sécurité doivent être suivies pour le développement du site web.

Le développement de toute application web respecte le standard ASVS de l’OWASP, Niveau 1 a minima.

Il est par ailleurs recommandé d’effectuer des tests d’intrusion et des audits de code une fois par an ou après chaque mise à jour importante de l’application.

 

Article 10 – Journalisation et surveillance

Les journaux d’évènements doivent être stockés, protégés contre le risque de falsification ou d’accès non autorisé. Les journaux d’évènement sur les systèmes doivent être conservés 6 mois a minima.

 

Article 11 – Protection contre les logiciels malveillants

Le signataire s’engage à mettre en œuvre une politique de lutte contre les logiciels malveillants. Dans le respect du principe de défense en profondeur, différents mécanismes de filtrage doivent être prévus : Pare-feu, Proxys, antivirus, etc.

 

Article 12 – Principe de Sécurité à l’égard des tiers

Tous contrat signé avec des tiers doit comprendre une annexe sécurité des données. Ce contrat doit engager le prestataire aux mêmes dispositions de sécurité concernant le traitement, le stockage, le transfert et l’accès aux données que le signataire.

Un droit d’audit au bénéfice du signataire doit être prévu dans le contrat.

Article 13 – Transfert de données

Les transferts de données sur les applications web doivent être sécurisés par chiffrement SSL.

ANNEXE 2 – Relation-Client

 

 

Préambule

 

En signant la charte éthique de la LegalTech, les signataires soulignent leur attachement à la promotion d’une relation client de qualité en vue de garantir l’essor de la Legaltech et la confiance du public. Ils s’engagent à mettre en œuvre les principes suivants, au bénéfice des clients:

  • Qualité du service
  • Simplicité du parcours utilisateur
  • Respect des délais d ‘intervention
  • Transparence
  • Service Relation client
  • Devoir d’information

 

Les signataires réaffirment leur conviction que la relation de confiance entre la Legaltech et ses clients pourra être considérablement renforcée par l’adoption et l’application de ces principes

Les signataires s’engagent à fournir des prestations de conseil et d’assistance en vue de délivrer aux clients et utilisateurs un service de qualité qui leur permettent tant d’obtenir les informations utiles à la prise de décision que l’assistance nécessaire en cas de besoin.

 

La satisfaction des clients est la priorité et doit guider l’ensemble des actions et processus.

 

Article 1 – Champ d’application

Toute personne signant ou déclarant respecter la charte éthique de LegalTech s’engage à mettre en œuvre les moyens nécessaires pour adopter et appliquer les principes établis dans cette présente annexe.

Article 2 – Qualité du service

Les Signataires s’engagent à offrir des produits et des services de qualité. A cette fin ils veillent à la compétence des professionnels dont ils s’entourent y compris les sous-traitants et mettent en œuvre des processus de démarche qualité tant concernant la conception ou la fabrication des produits que la délivrance du service. S’il s’agit d’une application/logiciel, la démarche qualité s’assurera en particulier que les fonctionnalités opèrent correctement au regard des spécifications.

 

Article 3 – Simplicité du parcours utilisateur

Les Signataires reconnaissent que la simplicité du parcours de l’utilisateur qui recourt à leurs produits et services est un facteur déterminant pour le développement de la LegalTech. Ils s’efforcent dès lors de mettre en oeuvre les moyens pertinents pour faciliter et améliorer en continu ce parcours utilisateur.

 

Article 4 – Respect des délais d’intervention

Les Signataires veillent à respecter des délais d’intervention raisonnables tant en ce qui concerne la délivrance des produits ou services ou la maintenance en cas de difficultés d’accès au service, de dysfonctionnement du produit ou service.

Article 5 – Transparence

Conscients que les clients ont besoin d’une information transparente et complète, en particulier en ce qui concerne les prix, les services et les produits, les Signataires s’engagent à faire preuve de toute la transparence requise à cet égard. En particulier, ils adoptent une politique de prix claire et précisent de manière exhaustive et complète le détail de chaque prestation et les spécifications de chaque produit ainsi que les délais de délivrance des produits et services.

 

Article 6 – Service Relation client

Les Signataires proposent à leurs clients un service relation client qui permet de répondre efficacement et rapidement à toute requête de support ainsi que d’exprimer et de traiter toute éventuelle insatisfaction des clients en vue de l’amélioration continue des produits et services.

 

Article 7 – Devoir d’information

Les Signataires veillent à offrir les informations formalisées, simple et complète à leurs clients et que celle-ci soit facilement accessible et compréhensible sur l’ensemble des points évoqués dans la présente annexe.