Nous sommes heureux de vous présenter la deuxième version de la Charte Éthique pour un marché du droit en ligne et ses acteurs. Cette version a été présentée le jeudi 7 décembre 2017 lors du Village de la LegalTech pendant le Paris Open Source Summit.

PRÉAMBULE

La présente Charte, rédigée sous les auspices des Associations ADIJ et Open Law Le Droit Ouvert, propose un ensemble de règles visant à donner à tous les usagers du droit des garanties de compétence, de confidentialité et de responsabilité afin de stimuler l’innovation de la LegalTech dans un cadre harmonieux et respectueux de la diversité des acteurs tout en renforçant la confiance du public dans ses produits et services. Soucieux de faciliter l’accès au droit et à la justice, les signataires s’accordent sur le fait que le droit et la justice exigent une éthique particulière dans l’intérêt du justiciable et de l’État de droit. Ils reconnaissent également la nécessité d’une concurrence saine pour le développement du secteur. 

Dans cette perspective, la Charte incarne l’engagement de ses signataires à contribuer tant à la promotion des nouvelles technologies qu’à la qualité de la transition vers ces nouvelles technologies, en s’engageant en particulier sur :​

 – La qualité de service que peuvent attendre les acteurs économiques qui recourent aux services d’une LegalTech,​

 – Le respect des obligations en matière de sécurité et de confidentialité,​

 – Le respect des périmètres d’intervention de chaque profession,​

 – La responsabilité des acteurs de la LegalTech.​

Article 1 – Définition et champ d’application

​Est un acteur de la LegalTech ayant vocation à respecter et signer la présente Charte, toute organisation qui fait usage de la technologie pour développer, proposer ou fournir des produits ou des services relatifs au droit et à la justice, ou permettre l’accès des usagers du droit, professionnels ou non, à de tels produits ou services. 

Les professionnels du droit qui ont une activité similaire peuvent également être signataires de la présente Charte, laquelle ne peut en aucune façon prévaloir sur le respect de leurs obligations professionnelles et déontologiques.​

Article 2 – Protection des intérêts des clients

​Les signataires de cette charte s’engagent à agir en priorité dans l’intérêt des clients finaux au profit desquels leurs services et leurs solutions technologiques seront mis en œuvre. 

A ce titre, ils seront particulièrement attentifs à :​

 – Assurer la sécurité et la confidentialité des données et informations des clients finaux et de leurs dossiers,​

 – S’interdire toute situation potentielle de conflits d’intérêts,

 – S’assurer en permanence du fait que les services rendus sont conformes au dernier état du droit positif,

 – Délivrer au client une information loyale, claire et transparente sur la nature des prestations assurées, leurs performances et leurs risques d’erreur, leur coût et leur conformité juridique. 

Ils s’engagent également à imposer les mêmes obligations à leurs partenaires et sous-traitants dont les prestations pourraient être sollicitées pour réaliser le traitement des données de leurs clients. 

Lorsque les services assurés comportent une prestation d’intermédiation, au sens de l’article L. 111-7 du code de la consommation, les signataires concernés doivent respecter également les obligations de loyauté et d’information des consommateurs prévues au dit article.​

Article 3 – Sécurité et confidentialité

​Les signataires conviennent que les données et informations des clients finaux sauraient être stockées, échangées ou traitées hors d’un cadre sécuritaire adéquat. En conséquence ils mettent en place les mesures techniques nécessaires afin d’assurer un niveau pertinent de sécurité et de confidentialité des données et informations de l’utilisateur de leurs produits ou services. A cette fin ils se conforment aux recommandations de sécurité et de confidentialité qui font l’objet de l’annexe Sécurité de la présente Charte. Ils sont en mesure d’en justifier à tout moment.

Sous réserve de la mise en œuvre de ces moyens de sécurité, les données d’utilisation de leurs services en ligne pourront être utilisées à des fins d’amélioration du service, à condition de garantir leur anonymat et de permettre leur suppression sur simple demande. En conséquence,toutes les dispositions techniques permettant cette suppression, notamment par le biais d’un système d’identification, doivent être mises en place.

Les signataires reconnaissent l’absolue nécessité dans un État de droit de garantir le secret professionnel et s’engagent à la confidentialité de leurs échanges avec leur clientèle, en s’interdisant de révéler les informations qui leur sont confiées, hors les cas où la loi les y oblige ou les y autorise.

Article 4 – Conflits d’intérêts

​Les signataires s’abstiennent d’intervenir dans des situations de conflits d’intérêts qui s’entendent :

 – Tant de l’impossibilité de travailler directement ou indirectement pour plusieurs clients finaux ayant un litige entre eux,

 – Que de toute situation où l’acteur, du fait de sa position ou de ses prestations antérieurement réalisées, détiendrait une information confidentielle d’une personne qui pourrait modifier la façon dont il assure le traitement de la situation d’une autre personne, ou plus généralement compromettre la neutralité de ses prestations.

Dans leurs relations avec les autres acteurs de la LegalTech ainsi qu’avec des professionnels du droit, les signataires s’engagent à procéder, avant toute collaboration entre eux, à la vérification préalable des éventuels risques de conflits d’intérêts.

​Article 5 –  Conformité au droit positif

​Les signataires s’engagent à prendre toute mesure nécessaire pour que leurs activités soient en conformité avec le dernier état du droit applicable et en particulier les dispositions pertinentes dues codes de la consommation, du commerce, et des communications électroniques et de la propriété intellectuelle, ainsi que du droit de la protection des données personnelles.

Les signataires s’engagent à ce que les services qu’ils proposent qui concernent directement ou indirectement la gestion de procédures contentieuses ou pré-contentieuses, soient conçus et fournis dans le strict respect des dispositions applicables à chacun des types de contentieux concernés, dont le droit au procès équitable.

Article 6 – Information loyale, claire et transparente

​Les signataires s’engagent à donner toute information non confidentielle permettant au bénéficiaire de la prestation d’en connaître les éléments essentiels, et notamment de savoir si elle est exécutée personnellement par l’acteur, ou par un sous-traitant, partiellement ou totalement, ou si elle intègre l’utilisation d’un algorithme.

Dans ce dernier cas ils expliquent son rôle, et donnent les éléments d’information utiles pour comprendre le résultat du traitement opéré par celui-ci. Ils précisent également la part respective des différents éléments de la prestation dans son coût, et plus généralement indiquent les modalités de détermination du prix de celle-ci.

Les signataires s’engagent à éclairer l’utilisateur des produits et services qu’ils fournissent sur l’adéquation de ceux-ci à ses besoins, au regard notamment de leurs performances et du risque d’erreur qu’ils comportent. En particulier, en cas d’utilisation de traitements de données juridiques par des algorithmes, l’attention de l’utilisateur doit être appelée sur le fait que ceux-ci constituent des outils d’aide à la décision, et que celle-ci ne devrait être prise qu’après une analyse complète de la situation, en fonction de ses spécificités.

​Article 7 – Responsabilité civile professionnelle

​Les signataires s’engagent à souscrire une assurance de responsabilité civile professionnelle adaptée à leurs activités afin de garantir et d’indemniser les dommages que leurs activités seraient susceptibles de causer, tant s’agissant de prestations de service techniques qu’en matière de conseil.

Article 8 –  Travail collaboratif et concurrence saine et loyale

​Les signataires s’engagent à mettre leurs compétences au service de l’innovation et à favoriser entre eux des échanges ouverts et collaboratifs, afin de promouvoir au mieux de leurs possibilités respectives le développement des services de la LegalTech et des technologies associés.

Ils s’engagent par ailleurs à entretenir des relations de collaboration ou de concurrence loyales tant avec les autres acteurs de la LegalTech qu’avec l’ensemble des professionnels du droit. Ils accompagnent dans la mesure du possible les nouveaux signataires de la charte, en les guidant dans la mise en œuvre de celle-ci.

Article 9 – Relation avec les professions réglementées

​Les signataires s’engagent à respecter le périmètre d’intervention des professions réglementées du droit tel que défini par leurs statuts respectifs. 

Ceux des signataires qui, de par leurs activités, sont amenés à fournir des services aux professions réglementées s’engagent à se conformer aux principes essentiels et à la déontologie régissant les professions de leurs clients. 

En particulier, les signataires s’engagent, pour toute prestation de services en ligne impliquant des membres des professions réglementées, à mettre en œuvre des moyens permettant l’identification du client, la possibilité de s’assurer de l’absence de conflit d’intérêt ainsi qu’un processus ségrégé d’encaissement des fonds. 

Plus généralement, la collaboration réciproque entre LegalTechs et professionnels du droit doit s’effectuer de manière équilibrée entre eux et transparente vis-à-vis des clients.​

Article 10 – Suivi de l’application de la Charte

​Les signataires conviennent que l’adhésion à la Charte implique une démarche volontaire de mise en œuvre des engagements qu’elle contient, ainsi que de suivi et d’évaluation régulière des mesures prises en ce sens, aux fins d’amélioration constante de leurs pratiques. 

Ils s’engagent par conséquent à établir régulièrement un état des actions entreprises en application de la charte, ainsi qu’un bilan de l’accomplissement des engagements pris, expliquant le cas échéant pourquoi certains de ces engagements n’ont pu être réalisés. En fonction de ce bilan, un programme d’actions peut être défini, pour satisfaire plus largement aux engagements pris, ou aller au-delà en cas de réalisation de l’ensemble de ceux-ci. 

Au choix de chaque acteur, ces documents ainsi que tout élément d’information sur les pratiques mises en œuvre, peuvent être partagés, sur un site dédié, entre les signataires de la Charte.​

ANNEXE RELATION CLIENT

Préambule 

En signant la Charte éthique pour un marché du droit en ligne et ses acteurs (« la Charte »), les Signataires soulignent leur attachement à la promotion d’une relation client de qualité en vue de garantir l’essor du marché du droit et la confiance du public. Ils s’engagent à mettre en œuvre les principes suivants, au bénéfice des clients :

· Qualité de service
· Simplicité du parcours utilisateur
· Respect des délais d’intervention
· Transparence
· Service Relation-client
· Devoir d’information

Les Signataires réaffirment leur conviction que la relation de confiance entre les acteurs du marché du droit en ligne et ses clients pourra être considérablement renforcée par l’adoption et l’application de ces principes. 

Les signataires s’engagent à fournir des prestations de conseil et d’assistance en vue de délivrer aux clients et utilisateurs un service de qualité avec des informations utiles à la prise de décision et l’assistance nécessaire en cas de besoin. La satisfaction des clients est la priorité et doit guider l’ensemble des actions et processus. 

Article 1 – Champ d’application 

Toute personne signant ou déclarant respecter la Charte s’engage notamment à mettre en œuvre les moyens nécessaires pour adopter et appliquer les principes établis dans la présente annexe.

Article 2 – Qualité des produits et services et amélioration continue 

Les Signataires s’engagent à offrir des produits et des services de qualité.

​A cette fin :
– ils veillent à s’entourer de professionnels et sous-traitants compétents ;
– ils mettent en œuvre des processus d’amélioration continue en matière de conception et de fabrication des produits et de qualité de service.
– ils s’assurent, en matière de développement de solutions logicielles, que l’amélioration continue porte notamment sur le bon fonctionnement de la solution logicielle au regard des spécificités annoncées. 

Article 3 – Simplicité du parcours utilisateur

Les Signataires reconnaissent que la simplicité du parcours utilisateur est, pour leurs clients, un avantage significatif pour le bon développement du marché du droit en ligne. Ils s’efforcent dès lors de mettre en oeuvre les moyens pertinents pour faciliter et améliorer en continu ce parcours utilisateur.

Article 4 – Respect des délais d’intervention

Les Signataires veillent à respecter des délais d’intervention raisonnables tant en ce qui concerne la délivrance de leurs produits ou services que la maintenance en cas de difficultés d’accès au service ou de dysfonctionnement.

Article 5 – Transparence

Conscients que les clients ont besoin d’une information claire et complète, en particulier en ce qui concerne les prix, les services et les produits, les Signataires s’engagent à faire preuve de toute la transparence requise à cet égard.

En particulier, les Signataires :
– adoptent une politique de prix clair
– précisent exhaustivement le détail de chaque prestation, les spécifications de chaque produit ainsi que les délais de livraison.
– fournissent un point d’entrée facilement accessible pour toute réclamation
– fournissent au client une information claire concernant l’accès au point d’entrée pour les réclamations éventuelles.

Article 6 – Service Relation client

Les Signataires proposent à leurs clients un service relation client qui permet de répondre efficacement et rapidement à toute requête de support ainsi que d’exprimer et de traiter toute éventuelle insatisfaction des clients en vue d’assurer l’amélioration continue des produits et services.

Article 7 – Devoir d’information

Les Signataires veillent à offrir une information formalisée, simple et complète à leurs clients pour l’ensemble des points évoqués dans cette annexe. Ils s’assurent que l’information est facilement accessible et compréhensible.

ANNEXE SECURITE 

Préambule

En signant la Charte éthique pour un marché du droit en ligne et ses acteurs, les Signataires soulignent leur attachement à la sécurité de l’information. Ils s’engagent à mettre en œuvre les dispositions de sécurité de cette annexe. 

Cette annexe a été élaborée par les associations ADIJ et OPEN LAW. Elle respecte notamment :

– Les différents guides de bonnes pratiques de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)

– Le Guide des Bonnes Pratiques de l’Informatique de la CGPME 

Cette annexe à la Charte vise à instaurer la confiance du public, même averti, dans les produits et services des Signataires et contribuer tant à la qualité́ de la transition vers les nouvelles technologies qu’à la promotion de ces technologies. 

Les Signataires réaffirment leur conviction que le marché du droit en ligne ne pourra prospérer sans cet ensemble de bonnes pratiques qui représente tant un standard minimal nécessaire qu’une garantie indispensable pour les clients et partenaires des Signataires.

Article 1 – Champ d’application

Toute personne signant ou déclarant respecter la charte éthique s’engage à respecter les règles établies dans cette présente annexe. 

Les Signataires sont conscients que les menaces sur les systèmes d’Information sont nombreuses et en constante évolution. Ils sont conscients que cette réalité exige d’adopter une posture sécuritaire vis-à-vis de leur technologie. 

Article 2 – Principe de Sécurité en Profondeur

Les Signataires s’engagent à établir une sécurité qui couvre les aspects humain, organisationnel et technique de leur organisation. 

Cette charte propose un niveau minimal de sécurité, basée sur les bonnes pratiques établies par les organisations de référence et en adéquation avec la sensibilité des données traitées et les obligations strictes du Secret Professionnel grevant les professionnels du droit. 

Afin d’assurer une protection en profondeur, les Signataires s’engagent à nommer un « référent sécurité » au sein de leur organisation chargé de coordonner et assurer le respect des recommandations de cette annexe en matière de sécurité. 

Article 3 – Respect du cadre légal et réglementaire

Les Signataires confirment respecter la réglementation applicable, notamment la loi informatique et liberté, la loi dite Godfrain du 5 janvier 1998, le référentiel général de sécurité, la protection des « biens informationnels », la propriété intellectuelle et les obligations résultant du Secret Professionnel. 

Les Signataires s’engagent également à se conformer aux dispositions du Règlement européen No 910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.

Article 4 – Veille sécuritaire

Les signataires s’engagent à mettre en place une veille sur les nouvelles menaces qui pèsent sur les Systèmes d’Information dans le cadre de leur activité. 

Le référent sécurité des Signataires s’abonne a minima au CERT-FR afin d’être tenu informé des nouvelles vulnérabilités découvertes dans les logiciels et systèmes d’information.
Le référent sécurité veille au traitement des vulnérabilités identifiées.

Article 5 – Classification et manipulation de l’information

Les Signataires s’engagent à classer les différentes informations qu’ils manipulent en fonction de leurs degrés de confidentialité et à mettre en œuvre une politique de traitement des données les plus sensibles propre à garantir leur confidentialité. Cette politique de traitement des données doit indiquer comment les données sont stockées, détruites, transmises et qui y a accès en fonction de leur classification.

Toute donnée d’utilisateur traitée à d’autres fins que ceux pour quoi elles ont été fournies (tests, statistiques, etc.) doivent être préalablement anonymisées.

Article 6 – Contrôle des accès logiques

Les Signataires s’engagent à mettre en place les processus adéquats pour garantir un accès
sécurisé aux ressources de l’organisation.

1. Une politique de mot de passe doit être mise en œuvre
– Les mots de passes doivent être robustes : 8 caractères minimum (Majuscule, minuscule,
chiffre et caractère spécial). Ce nombre est porté à 12 pour les comptes d’administration ;
– Les mots de passe doivent être modifiés tous les trois mois au minimum;
– Les mots de passe sont non cessibles et personnels ;
– Les mots de passes sont stockées de manière chiffrée ;
– L’utilisation d’un coffre-fort de mot de passe est par ailleurs recommandée

2. Les accès doivent être revus régulièrement: les comptes dormants ou dont les titulaires ont quitté l’organisation doivent être systématiquement désactivés. La revue est effectuée a minima une fois par an.

3. L’accès à un système d’information doit se faire dans les règles de l’art et respecter notamment les guides de l’ANSSI ainsi que le Guide des Bonnes Pratiques de l’Informatique (ANSSI et CGPME). 

Article 7 – Stockage des données

Les données doivent être stockées dans un format chiffré et dans des infrastructures sécurisées. Le protocole de chiffrement doit être robuste ; un chiffrement SSL 256 bits est recommandé. La durée de stockage et le retraitement des données doivent se faire en conformité avec la réglementation en vigueur. 

Les fichiers de données et toute modification affectant le périmètre de ces derniers sont déclarés à la CNIL en conformité avec la loi.

Article 8 – Sauvegarde et restauration

Les Signataires s’engagent à sauvegarder leurs données selon la périodicité qu’ils déterminent au regard des besoins de leurs utilisateurs. Les sauvegardes doivent être chiffrées.

Des tests de restauration doivent être effectués afin de s’assurer de la bonne conservation des données confiées par les utilisateurs.

Article 9 – Développement sécurisé

Le développement applicatif doit respecter les standards de développement sécurisés les plus récents. Le développement Open Source est recommandé. 

Le développement de toute application web devrait respecter les standards ASVS de l’OWASP.

Le Niveau ASVS (1 à 3) sera représentatif de la sensibilité des données amenées à être traitées sur l’application web.

Il est par ailleurs recommandé d’effectuer des tests d’intrusion et des audits de code une fois par an ou après chaque mise à jour importante de l’application. 

Article 10 – Journalisation et surveillance

Les journaux d’événements doivent être stockés et protégés contre le risque de falsification ou d’accès non autorisé. Ces journaux doivent être conservés 6 mois à minima, sous réserve de réglementations applicables plus contraignantes.

Article 11 – Protection contre les logiciels malveillants

Les Signataires s’engagent à mettre en œuvre une politique de lutte contre les logiciels malveillants.

Dans le respect du principe de défense en profondeur, différents mécanismes de filtrage doivent être prévus : Pare-feu, Proxys, antivirus, etc. 

Article 12 – Principe de Sécurité à l’égard des tiers

Tous contrat signé avec des tiers doit engager ces tiers aux mêmes dispositions de sécurité que le Signataire concernant le traitement, le stockage, le transfert et l’accès aux données. 

Le Signataire veillera également à inclure dans l’annexe un droit d’audit du tiers pour s’assurer qu’il respecte ses obligations relatives à la sécurité des données.

Article 13 – Transfert de données

Les transferts de données sur les applications web doivent être sécurisés par chiffrement SSL.

Article 14 – Amélioration continue et rapport d’activité

Les Signataires s’engagent dans un processus d’amélioration continue de la sécurité de leurs systèmes d’information.
Ils rendent compte des mesures mises en place pour garantir la sécurité des données client qu’ils traitent et de leurs systèmes d’information dans un rapport établi annuellement. Le cas échéant, ce rapport indique les améliorations apportées depuis l’année précédente.


TRIBUNES POPULAIRES DU MOMENT :