Ss IOS SE NATE RNC CHARTE ETHIQUE | pour un marché du droit en ligne OPEN etses acteurs =ADIJ= bail PREAMBULE, La présente Charte, rédigée sous les auspices des Associations ADIJ et Open Law* Le Droit Ouvert, propose un ensemble de régles visant & donner a tous les usagers du droit des garanties de compétence, de confidentialité et de responsabilité afin de stimuler |’innovation ce la LegalTech dans un cadre harmonieux et respectueux de la diversité des acteurs tout en renforgant la confiance du public dans ses produits et services. Soucieux de faciliter l'accés au droit et a la justice, les signataires s’accordent sur |e fait que le tot et la justice exigent une éthique particuliére dans T'intérét du justiciable et de ’Etat de droit. Ils recomnaissent également la nécessité dune concurrence saine pour le développement du secteur. Dans cette perspective, la Charte incame l’engagement de ses signataires 4 contribuer tant a la promotion des nouvelles technologies qu’é Ja qualité de la transition vers ces nouvelles technologies, en s’engageant en particulier sur + La qualité de service que peuvent attendre les acteurs économiques qui recourent aux services dune LegalTech, + Le respect des obligations en matiére de sécurité ct de confidentialité, + Le respect des périmétres d’intervention de chaque profession, + La responsabilité des acteurs de la LegalTech.Article 1 - Définition et champ d’application Est un acteur de la LegalTech ayant vocation a respecter et signer la présente Charte, toute organisation qui fait usage de Ia technologie pour développer, proposer ou fournir des produits ou des services relatifs au droit et la justice, ou permentre T'accés des usagers du droit, professionnels ou non, a de tels produits ou services. Les professionnels du droit qui ont une activité similaire peuvent également étre signataires de la présente Charte, laquelle ne peut en aucune fagon prévaloir sur le respect de leurs obligations professionnelles et déontologiques. Article 2 - Protection des intéréts des clients Les signataires de cette charte s’ engagent agir en priorité dans T'intérét des clients finaux au profit desquels leurs services et leurs solutions technologiques seront mis en oeuvre. Ace titre, ils seront particufigrement attentifs & - assurer la sécurité et Ia confidentialité des données et informations des clients finaux et de leurs dossiers, - s'interdire toute situation potentielle de conflits d’intéréts, - svassurer en permanence du fait que les services rendus sont conformes au dernier état du doit positif, - délivrer au client une information loyale, claire et transparente sur la nature des prestations assurées, leurs performances et leurs risques d'erreur, leur cofit et leur conformité juridique. Ils s'engagent également a imposer les mémes obligations & leurs partenaires et sous-traitants dont les prestations pourraient étre sollicitées pour réaliser le traitement des données de leurs clients. Lorsque les services assurés comportent une prestation d’intermédiation, au sens de l'article L, 111-7 du code de la consommation, les signataires concemnés doivent respecter également les obligations de loyauté et d’information des consommateurs prévues au dit article. Article 3 ~ Sécurité et confidentialité Les signataires conviennent que les données et informations des clients finaux sauraient étre stockées, échangées ou traitées hors d’un cadre sécuritaire adéquat. En conséquence ils mettent en place les mesures techniques nécessaires afin dassurer un niveau pertinent de sécurité et de confidentialité des données et informations de l'utilisateur de leurs produits ow services. A cette fin ils se conforment aux recommandations de sécurité et de confidentialité qui font Pobjet de I'annexe Sécurité de la présente Charte. Tls sont en mesure d’en justifier & tout moment Sous réserve de la mise en ceuvre de ces moyens de sécurité, les données d'utilisation de leurs services en ligne pourront éire utilisées a des fins damélioration du service, a condition de garantir leur anonymat et de permettre leur suppression sur simple demande, En conséquence, toutes les dispositions techniques permetiant cette suppression, notamment par le biais d'un systéme d'identification, doivent étre mises en place. Les signataires reconnaissent I'absolue nécessité dans un Frat de droit de garantir le secret professionnel et s’engagent la confidentialité de leurs échanges avec leur clientéle, en s‘interdisant de révéler les informations qui leur sont confiées, hors les cas od la loi les y oblige ou les y autorise,Article 4 — Conflits d’intéréts Les signataires s’abstiennent d’intervenir dans des situations de conflits d'intéréts qui s'entendent : = tant de Vimpossibilité de travailler directement ou indirectement pour plusieurs clients finaux ayant un litige entre eux, - que de toute situation oi l’acteur, du fait de sa position ou de ses prestations antérieurement réalisées, detiendrait une information confidentielle d'une personne qui pourrait modifier la fagon dont il assure le traitement de Ja situation d’une autre personne, ou plus généralement ‘compromettre la neutralité de ses prestations, Dans leurs relations avec les autres acteurs de la LegalTech ainsi qu’avec des professionnels du droit, les signataires s'engagent @ procéder, avant toute collaboration entre eux, a la vétitication préalable des éventuels risques de conflits d’intéréts. Article 5 — Conformité au droit positif Les signataires s"engagent a prendre toute mesure nécessaire pour que leurs activités soient en conformité avec le demnicr état du droit applicable et en particulier les dispositions pertinentes dues codes de la consommation, du commerce, et des communications électroniques et de la propriété intellectuelle, ainsi que du droit de la protection des données personnelles. Les signataires s‘engagent & ce que les services qurils proposent qui concernent directement u indirectement la gestion de procédures contentieuses ou pré-contentieuses, soient congus et foumis dans le strict respect des dispositions applicables & chacun des types de contentieux concemés, dont le droit au procés équitable. Article 6 - Information loyale, claire et transparente Les signataires s'engagent & donner toute information non confidentielle permettant au énéficiaire de la prestation d'en connaitre les éléments essentiels, et notamment de savoir si elle est exécutée personnellement par Y'acteur, ou par un sous-traitant, partiellement ou totalement, ou si elle intégre Mutilisation d'un algorithme. Dans ce demier cas ils expliquent son r6le, et donnent les éléments d'information utiles pour comprendre le résultat du traitement opéré par celui: Us précisent également la part respective des différents éléments de la prestation dans son coit, et plus généralement indiquent les modalités de détermination du prix de celle-ci. Les signataires s'engagent a éclairer l'utilisateur des produits et services qu’ils fournissent sur Yadéquation de ceux-ci a ses besoins, au regard notamment de lcurs performances et du risque derreur quils comportent. En particulier, en cas d'utilisation de traitements de données juridiques par des algorithmes, l'attention de I'tilisatour doit étre appelée sur le fait que ecux- ci constituent des outils d'aide a la décision, et que celle-ci ne devrait étre prise qu’aprés une analyse complite de la situation, en fonction de ses spécificités. Article 7 — Responsabilité civile professionnelle Les signataires s’engagent & souscrire une assurance de responsabilité civile professionnelle adaptée & leurs activités afin de garantir ct d’indemniser les dommages que leurs activités seraient susceptibles de causer, tant s*agissant de prestations de service techniques qu’en matiére de conseil,Article 8 - Travail collaboratif et concurrence saine et loyale Les signataires s"engagent A metire leurs compétences au service de l'innovation et a favoriser entre eux des échanges ouverts et collaboratifs, afin de promouvoir au mieux de leurs possibilités respectives le développement des services de la LegalTech et des technologies associés. Ils s’engagent par ailleurs & entretenir des relations de collaboration ou de concurrence loyales ‘tant avec les autres acteurs de la LegalTech qu’avec l'ensemble des professionnels du droit. Ils accompagnent dans la mesure du possible les nouveaux signataires de la charte, en les guidant dans la mise en ceuvre de celle-ci. Article 9 — Relation avec les professions réglementées Les signataires s'engagent a respecter le périmétre d'intervention des professions réglementées du droit tel que défini par leurs statuts respects. Ceux des signataires qui, de par leurs activités, sont amenés & foumir des services aux professions réglementées sengagent & se conformer aux principes essenticls et a la déontologie régissant les professions de leurs clients. En particulier, les signataires s’engagent, pour toute prestation de services en ligne impliquant des membres des professions réglementées, & metire en ceuvre des moyens permettant identification du client, la possibilité de s'assurer de V'absence de conflit d’intérét ainsi qu’un processus ségrégé d’encaissement des fonds. Plus généralement, la collaboration réciproque entre LegalTechs et professionnels du droit doit s'effectuer de maniére équilibrée entre eux et transparente vis-a-vis des clients, Article 10 - Suivi de application de la Charte Les signataires vonviennent que l'adhésion a la Charte implique une démarehe volontaire de mise on ceuvre des engagements qu'elle contient, ainsi que de suivi et d’évaluation réguliére des mesures prises en ce sens, aux fins d'amélioration constante de leurs pratiques. Ils sengagent par conséquent A établir réguliérement un état des actions entreprises en application de la charte, ainsi qu'un bilan de l'accomplissement des engagements pris, expliquant le cas échéant pourquoi certains de ces engagements n'ont pu étre réalisés. En fonction de ce bilan, un programme d'actions peut étre défini, pour satisfaire plus largement aux engagements pris, ou aller au-dela en cas de réalisation de "ensemble de ceux-ci. ‘Au choix de chaque acteur, ces documents ainsi que tout élément d'information sur les pratiques mises en ceuvre, peuvent étre partagés, sur un site dédié, entre les signataires de la Chart.ANNEXE RELATION CLIENT Préambule En signant la Charte éthique pour un marché du droit en ligne et ses acteurs (« la Charte »), les Signataires soulignent leur attachement a la promotion d'une relation client de qualité en vue de garantir l'essor du marché du droit et la confiance du public. Ils s’engagent & mettre en ceuvre les principes suivants, au benéfice des clients: Qualité de service Simplicité du parcours utilisateur Respect des délais d'intervention Transparence Service Relation-client Devoir d'information Les Signataires réaffirment leur conviction que la relation de confiance entre les acteurs du marché du droit en ligne et ses clients pourra étre considérablement renforeée par !adoption et application de ces principes. Les signataires s'engagent & foumnir des prestations de conseil et d'assistance en vue de délivrer aux clients et utilisateurs un service de qualité avec des informations utiles a la prise de décision et lassistance nécessaire en cas de besoin, La satisfaction des clients est la priorité et doit guider l'ensemble des actions et processus Article 1 - Champ d’ application Toute personne signant ou déclarant respecter la Charte s’engage notamment & mettre en uvre les moyens nécessaires pour adopter et appliquer les principes établis dans la présente annexe. Article 2 - Qualité des produits et services et amélioration continue Les Signataires slengagent a ofitir des produits et des services de qualité, A cette fin : = ils veillent a stentourer de professiomnels et sous-traitants compétents ; = ils mettent en ceuvre des processus d’amélioration continue en matiére de conception et de fabrication des produits et de qualité de service. = ils s‘assurent, en matiéxe de développement de solutions logicielles, que Pamélioration continue porte notamment sur le bon fonctionnement de la solution logicielle au regard des spécificités annoncées. Article 3 - Simplicité du parcours utilisateur Les Signataires reconnaissent que la simplicité du parcours utilisateur est, pour leurs clients, un avantage significatif pour le bon développement du marché du droit en ligne. Ils slefforcent ds lors de mettre en ocuvre les moyens pertinents pour faciliter et améliorer en continu ce parcours utilisateur. Article 4 - Respect des délais d'intervention Les Signataires veillent & respecter des délais dintervention raisonnables tant en ce qui conceme la délivrance de leurs produits ou services que la maintenance en cas de difficultés aceés au service ou de dysfonetionnement.Article 5 - Transparence Conscients que les clients ont besoin d'une information claire et complete, en particulier en ce qui conceme les prix, les services et les produits, les Signataires stengagent a faire preuve de toute la transparence requisc & cet égard. En particulier, les Signataires = = adoptent une politique de prix clair = précisent exhaustivement le détail de chaque prestation, les spécifications de chaque produit ainsi que les délais de livraison. = fournissent un point d'entrée facile ment accessible pour toute réclamation = fournissent au client une information claire concernant I’accés au point d’entrée pour les réclamations éventuelles. Article 6 - Service Relation client Les Signataires proposent a leurs clients un service relation client qui permet de répondre efficacement et rapidement & toute requéte de support ainsi que dexprimer et de traiter toute éventuelle insatisfaction des clients en vue dassurer 'amélioration continue des produits et services. Article 7 - Devoir d'information ‘Les Signataires veillent a offrir une information formalisée, simple et compltte a leurs clients pour ensemble des points évoqués dans cette annexe. Ils s’assurent que l'information est facilement accessible et comprehensible.ANNEXE SECURITE Article 0 Préambule En signant la Charte éthique pour un marché du droit en ligne et ses acteurs, les Signataires sovlignent leur attachement a la sécurité de Pinformation. Ils s’engagent a mettre en ceuvre les dispositions de sécurité de cette annexe. Cette annexe a été élaborée par les associations ADIJ et OPEN LAW. Elle respecte notamment : - Les différents guides de bonnes pratiques de I’ANSSI (Agence Nationale de la Sécurité des Systémes d’Information) - Le Guide des Bonnes Pratiques de I’Informatique de la CGPME Cette annexe a la Charte vise instaurer Ja confiance du public, méme averti, dans les produits et services des Signataires et contribuer tant a Ja qualité de la transition vers les nouvelles technologies qu’a fa promotion de ces technologies. Les Signataires raffirment leur conviction que le marché du droit en ligne ne pourra prospérer sans cet ensemble de bonnes pratiques qui représente tant un standard minimal nécessaire qu'une garantie indispensable pour les clients et partenaires des Signataires. Article 1 - Champ d’application Toute personne signant ou déclarant respecter Ja charte ¢thique s’engage & respecter les regles établies dans cette présente annexe. Les Signataires sont conscients que les menaces sur les systtmes d’Information sont nombreuses et en constante évolution. Ils sont conscients que cette réalité exige d'adopter une posture sécuritaire vis-a-vis de leur technologie. Article 2 - Principe de Sécurité en Profondeur Les Signataires s'engagent & établir une sécurité qui couvre les aspects humain, organisationnel et technique de leur organisation. Ceite charte propose un niveau minimal de sécurité, basée sur les bonnes pratiques établies par les organisations de référence et en adéquation avec la sensibilité des données traitées et les obligations strictes du Secret Professionnel grevant les professionnels du droit. Afin d’assurer une protection en profondeur, les Signatsires s'engagent 4 nommer un « ré[érent sécurité » au sein de leur organisation chargé de coordonner et assurer le respect des recomsmandations de cette annexe en matiére de sécurité. Article 3 - Respect du cadre Kégal et réglementaire Les Signataires confirment respecter la réglementation applicable, notamment Ia loi informatique et liberté, la loi dite Godfrain du 5 janvier 1998, le référentiel général de sécurité, la protection des « biens informationnels », la propriété intellectuelle et les obligations résultant du Sceret Professionnel. Les Signataires s'engagent également 4 se conformer aux dispositions du Réglement européen No 910/2014 du 23 juillet 2014 sur Videntification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.Article 4 - Veille sécuritaire Les signataires s’engagent mettre en place une veille sur les nouvelles menaces qui pésent sur les Systémes d’Information dans le cadre de leur activité, Le réfitrent sécurité des Signataires s’abonne a minima au CERT-FR afin d’étre tenu informé des nouvelles vulnérabilités découvertes dans les logiciels et systémes d’information. Le référent sécurité veille au traitement des vulnérabilités identifiées. Article 5 - Classification et manipulation de information Les Signataires s"engagent & classer les différentes informations qu’ils manipulent en fonction de leurs degrés de confidentialité et & mettre en ceuvre une politique de traitement des données les plus sensibles propre garantir Icur confidentialité. Cette politique de traitement des données doit indiquer comment les données sont stockées, détruites, transmises et qui y 2 accés en fonction de leur classification. Toute donnée d'utilisateur traitée a d’autres fins que ceux pour quoi elles ont été fournies (tests, statistiques, ete.) doivent étre préalablement anonymisées. Article 6 - Controle des accés logiques Les Signataires s'engagent 4 mettre en place les processus adéquats pour garantir un accés sécurisé aux ressources de organisation. 1. Une politique de mot de passe doit étre mise en ceuvre ~ Les mots de passes doivent étre robustes : 8 caractéres minimum (Majuscule, minuscule, chifire et caractére spécial). Ce nombre est porté a 12 pour les comptes d’administration ; ~ Les mots de passe doivent étre modifiés tous les trois mois au minimum; ~ Les mots de passe sont non cessibles et personnel: ~ Les mots de passes sont stockées de maniére chiffrée ; - L'utilisation dun coffre-fort de mot de passe est par ailleurs recommandée 2. Les aceés doivent étre revus réguligrement: les comptes dormants ou dont les titulaires ont quitté organisation doivent étre systématiquement désactivés, La revue est effectuée a minima une fois par an, 3. Laces & un systéme d'information doit se faire dans les régles de l'art et respecter notamment les guides de I ANSSI ainsi que le Guide des Bones Pratiques de I’Informatique (ANSSI et CGPME). Article 7 - Stockage des données Les données doivent étre stockées dans un format chiffré et dans des infrastructures sécurisées. Le protocole de chiffrement doit étre robuste ; un chifirement SSL 256 bits est recommandé. La durée de stockage et le retraitement des données doivent se faire en conformité avec la réglementation en vigueur. Les fichiers de données et toute modification affectant le périmétre de ces demiers sont déclarés & Ja CNIL en conformité avec la loi. Article 8 - Sauvegarde et restauration Les Signataires s’engagent a sauvegarder leurs données selon la périodicité qu’ils déterminent au regard des besoins de leurs utilisateurs. Les sauvegandes doivent étre chifirées. Des tests de restauration doivent étre effectués afin de s‘assurer de la bonne conservation des données confiées par les utilisateurs.Article 9 - Développement sécurisé Le développement applicatif doit respecter les standards de développement sécurisés les plus récents, Le développement Open Source est recommandé, Le développement de toute application web devrait respecter les standards ASVS de POWASP. Le Niveau ASVS (1 & 3) sera représentatif de la sensibilité des données amenées a tre traitées sur Papplication web. Test par ailleurs recommandé d'effectuer des tests d’intrusion et des audits de code une fois par an ou aprés chaque mise & jour importante de l’application, Article 10 - Journalisation et surveillance Les journaux d’événements doivent étre stockés et protégés contre le risque de falsification ow d’accés non autorisé. Ces journaux doivent étre conservés 6 mois 4 minima, sous réserve de xéglementations applicables plus contraignantes. Article 11 - Protection contre les logiciels malveillants Les Signataires s'engagent & mettre en cuvre une politique de lutte contre les logiciels malveillants. Dans le respect du principe de défense en profondcur, différents mécanismes de filtrage doivent étre prévus : Pare-feu, Proxys, antivirus, etc. Article 12 - Principe de Sécurité & Pégard des tiers Tous contrat signé avec des tiers doit engager ces tiers aux mémes dispositions de sécurité que le Signataire concernant le traitement, le stockage, le transfert et laccés aux données. Le Signataire veillera également & inclure dans V'annexe un droit d’audit du tiers pour Sassurer qu’il respecte ses obligations relatives & la sécurité des données. Article 13 - Transfert de données Les transferts de données sur les applications web doivent étre sécurisés par chifirement SSL. Article 14 - Amélioration continue et rapport d’activité Les Signataires s’engagent dans un processus d’amélioration continue de la sécurité de leurs systémes dinformation. Ils rendent compte des mesures mises en place pour garantir la sécurité des données client qu'ils traitent ct de leurs systémes d'information dans un rapport établi annuellement, Le cas échéant, ce rapport indique les améliorations apportées depuis l'année précédente.