© 2017 Open Law & ADIJ

Mentions légales

 

ANNEXE RELATION CLIENT


 

Préambule
 

En signant la Charte éthique pour un marché du droit en ligne et ses acteurs (« la Charte »), les Signataires soulignent leur attachement à la promotion d'une relation client de qualité en vue de garantir l'essor du marché du droit et la confiance du public. Ils s’engagent à mettre en œuvre les principes suivants, au bénéfice des clients :


· Qualité de service
· Simplicité du parcours utilisateur
· Respect des délais d'intervention
· Transparence
· Service Relation-client
· Devoir d'information


Les Signataires réaffirment leur conviction que la relation de confiance entre les acteurs du marché du droit en ligne et ses clients pourra être considérablement renforcée par l'adoption et l'application de ces principes.
 

Les signataires s'engagent à fournir des prestations de conseil et d'assistance en vue de délivrer aux clients et utilisateurs un service de qualité avec des informations utiles à la prise de décision et l'assistance nécessaire en cas de besoin. La satisfaction des clients est la priorité et doit guider l'ensemble des actions et processus.
 

Article 1 - Champ d’application
 

Toute personne signant ou déclarant respecter la Charte s’engage notamment à mettre en œuvre les moyens nécessaires pour adopter et appliquer les principes établis dans la présente annexe.


Article 2 - Qualité des produits et services et amélioration continue
 

Les Signataires s'engagent à offrir des produits et des services de qualité.

A cette fin :
- ils veillent à s'entourer de professionnels et sous-traitants compétents ;
- ils mettent en œuvre des processus d’amélioration continue en matière de conception et de fabrication des produits et de qualité de service.
- ils s’assurent, en matière de développement de solutions logicielles, que l’amélioration continue porte notamment sur le bon fonctionnement de la solution logicielle au regard des spécificités annoncées.

 

Article 3 - Simplicité du parcours utilisateur


Les Signataires reconnaissent que la simplicité du parcours utilisateur est, pour leurs clients, un avantage significatif pour le bon développement du marché du droit en ligne. Ils s'efforcent dès lors de mettre en oeuvre les moyens pertinents pour faciliter et améliorer en continu ce parcours utilisateur.


Article 4 - Respect des délais d'intervention


Les Signataires veillent à respecter des délais d'intervention raisonnables tant en ce qui concerne la délivrance de leurs produits ou services que la maintenance en cas de difficultés d'accès au service ou de dysfonctionnement.

 

Article 5 - Transparence


Conscients que les clients ont besoin d'une information claire et complète, en particulier en ce qui concerne les prix, les services et les produits, les Signataires s'engagent à faire preuve de toute la transparence requise à cet égard.


En particulier, les Signataires :
- adoptent une politique de prix clair
- précisent exhaustivement le détail de chaque prestation, les spécifications de chaque produit ainsi que les délais de livraison.
- fournissent un point d’entrée facilement accessible pour toute réclamation
- fournissent au client une information claire concernant l’accès au point d’entrée pour les réclamations éventuelles.


Article 6 - Service Relation client


Les Signataires proposent à leurs clients un service relation client qui permet de répondre efficacement et rapidement à toute requête de support ainsi que d'exprimer et de traiter toute éventuelle insatisfaction des clients en vue d’assurer l'amélioration continue des produits et services.


Article 7 - Devoir d'information


Les Signataires veillent à offrir une information formalisée, simple et complète à leurs clients pour l’ensemble des points évoqués dans cette annexe. Ils s’assurent que l’information est facilement accessible et compréhensible.

 

 

 

ANNEXE SECURITE
 

 

Préambule


En signant la Charte éthique pour un marché du droit en ligne et ses acteurs, les Signataires soulignent leur attachement à la sécurité de l’information. Ils s’engagent à mettre en œuvre les dispositions de sécurité de cette annexe.
 

Cette annexe a été élaborée par les associations ADIJ et OPEN LAW. Elle respecte notamment :


- Les différents guides de bonnes pratiques de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)


- Le Guide des Bonnes Pratiques de l’Informatique de la CGPME
 

Cette annexe à la Charte vise à instaurer la confiance du public, même averti, dans les produits et services des Signataires et contribuer tant à la qualité́ de la transition vers les nouvelles technologies qu’à la promotion de ces technologies.
 

Les Signataires réaffirment leur conviction que le marché du droit en ligne ne pourra prospérer sans cet ensemble de bonnes pratiques qui représente tant un standard minimal nécessaire qu’une garantie indispensable pour les clients et partenaires des Signataires.


Article 1 - Champ d’application


Toute personne signant ou déclarant respecter la charte éthique s’engage à respecter les règles établies dans cette présente annexe.
 

Les Signataires sont conscients que les menaces sur les systèmes d’Information sont nombreuses et en constante évolution. Ils sont conscients que cette réalité exige d’adopter une posture sécuritaire vis-à-vis de leur technologie.
 

Article 2 - Principe de Sécurité en Profondeur


Les Signataires s’engagent à établir une sécurité qui couvre les aspects humain, organisationnel et technique de leur organisation.
 

Cette charte propose un niveau minimal de sécurité, basée sur les bonnes pratiques établies par les organisations de référence et en adéquation avec la sensibilité des données traitées et les obligations strictes du Secret Professionnel grevant les professionnels du droit.
 

Afin d’assurer une protection en profondeur, les Signataires s’engagent à nommer un « référent sécurité » au sein de leur organisation chargé de coordonner et assurer le respect des recommandations de cette annexe en matière de sécurité.
 

Article 3 - Respect du cadre légal et réglementaire


Les Signataires confirment respecter la réglementation applicable, notamment la loi informatique et liberté, la loi dite Godfrain du 5 janvier 1998, le référentiel général de sécurité, la protection des « biens informationnels », la propriété intellectuelle et les obligations résultant du Secret Professionnel.
 

Les Signataires s’engagent également à se conformer aux dispositions du Règlement européen No 910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.

 

Article 4 - Veille sécuritaire


Les signataires s’engagent à mettre en place une veille sur les nouvelles menaces qui pèsent sur les Systèmes d’Information dans le cadre de leur activité.
 

Le référent sécurité des Signataires s’abonne a minima au CERT-FR afin d’être tenu informé des nouvelles vulnérabilités découvertes dans les logiciels et systèmes d’information.
Le référent sécurité veille au traitement des vulnérabilités identifiées.


Article 5 - Classification et manipulation de l’information


Les Signataires s’engagent à classer les différentes informations qu’ils manipulent en fonction de leurs degrés de confidentialité et à mettre en œuvre une politique de traitement des données les plus sensibles propre à garantir leur confidentialité. Cette politique de traitement des données doit indiquer comment les données sont stockées, détruites, transmises et qui y a accès en fonction de leur classification.


Toute donnée d’utilisateur traitée à d’autres fins que ceux pour quoi elles ont été fournies (tests, statistiques, etc.) doivent être préalablement anonymisées.


Article 6 - Contrôle des accès logiques


Les Signataires s’engagent à mettre en place les processus adéquats pour garantir un accès
sécurisé aux ressources de l’organisation.


1. Une politique de mot de passe doit être mise en œuvre
- Les mots de passes doivent être robustes : 8 caractères minimum (Majuscule, minuscule,
chiffre et caractère spécial). Ce nombre est porté à 12 pour les comptes d’administration ;
- Les mots de passe doivent être modifiés tous les trois mois au minimum;
- Les mots de passe sont non cessibles et personnels ;
- Les mots de passes sont stockées de manière chiffrée ;
- L’utilisation d’un coffre-fort de mot de passe est par ailleurs recommandée


2. Les accès doivent être revus régulièrement: les comptes dormants ou dont les titulaires ont quitté l’organisation doivent être systématiquement désactivés. La revue est effectuée a minima une fois par an.


3. L’accès à un système d’information doit se faire dans les règles de l’art et respecter notamment les guides de l’ANSSI ainsi que le Guide des Bonnes Pratiques de l’Informatique (ANSSI et CGPME).
 

Article 7 - Stockage des données


Les données doivent être stockées dans un format chiffré et dans des infrastructures sécurisées. Le protocole de chiffrement doit être robuste ; un chiffrement SSL 256 bits est recommandé. La durée de stockage et le retraitement des données doivent se faire en conformité avec la réglementation en vigueur.
 

Les fichiers de données et toute modification affectant le périmètre de ces derniers sont déclarés à la CNIL en conformité avec la loi.


Article 8 - Sauvegarde et restauration


Les Signataires s’engagent à sauvegarder leurs données selon la périodicité qu’ils déterminent au regard des besoins de leurs utilisateurs. Les sauvegardes doivent être chiffrées.
 

Des tests de restauration doivent être effectués afin de s’assurer de la bonne conservation des données confiées par les utilisateurs.

 

Article 9 - Développement sécurisé


Le développement applicatif doit respecter les standards de développement sécurisés les plus récents. Le développement Open Source est recommandé.
 

Le développement de toute application web devrait respecter les standards ASVS de l’OWASP.

Le Niveau ASVS (1 à 3) sera représentatif de la sensibilité des données amenées à être traitées sur l’application web.

 

Il est par ailleurs recommandé d’effectuer des tests d’intrusion et des audits de code une fois par an ou après chaque mise à jour importante de l’application.
 

Article 10 - Journalisation et surveillance


Les journaux d’événements doivent être stockés et protégés contre le risque de falsification ou d’accès non autorisé. Ces journaux doivent être conservés 6 mois à minima, sous réserve de réglementations applicables plus contraignantes.


Article 11 - Protection contre les logiciels malveillants


Les Signataires s’engagent à mettre en œuvre une politique de lutte contre les logiciels malveillants.


Dans le respect du principe de défense en profondeur, différents mécanismes de filtrage doivent être prévus : Pare-feu, Proxys, antivirus, etc.
 

Article 12 - Principe de Sécurité à l’égard des tiers


Tous contrat signé avec des tiers doit engager ces tiers aux mêmes dispositions de sécurité que le Signataire concernant le traitement, le stockage, le transfert et l’accès aux données.
 

Le Signataire veillera également à inclure dans l’annexe un droit d’audit du tiers pour s’assurer qu’il respecte ses obligations relatives à la sécurité des données.


Article 13 - Transfert de données


Les transferts de données sur les applications web doivent être sécurisés par chiffrement SSL.


Article 14 - Amélioration continue et rapport d’activité


Les Signataires s’engagent dans un processus d’amélioration continue de la sécurité de leurs systèmes d’information.
Ils rendent compte des mesures mises en place pour garantir la sécurité des données client qu’ils traitent et de leurs systèmes d’information dans un rapport établi annuellement. Le cas échéant, ce rapport indique les améliorations apportées depuis l’année précédente.