Politique de sécurité externe

ART. 1 - Définitions

Dans cette politique de sécurité, les termes suivants, au singulier ou au pluriel, auront la signification exposée ci-dessous :

RGPD
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données) ;

Interface de Programmation Applicative (API)
Application permettant à la Plateforme d’échanger des données avec un logiciel, un programme ou un composant proposé par un prestataire tiers ;

Utilisateur Final
L’utilisateur au sein de l’organisation du Client, qui dispose d’un droit d’utilisation lui permettant d’accéder à la Plateforme via un compte personnel ;

Étude d'impact relative à la protection des données (EIPD)
Processus, conformément à l'article 35.7 du RGPD, effectué par le Responsable du traitement lorsqu’un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Il décrit le traitement des Données à caractère personnel, en évalue la nécessité et la proportionnalité, et aide à gérer les risques liés ;

Données
Données du Client et Données à caractère personnel nécessaires au fonctionnement de la Plateforme ;

Violation de données
Tout incident de sécurité portant atteinte à la confidentialité, à l'intégrité ou à la disponibilité des Données à caractère personnel, pouvant entraîner la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à ces données, qu'elles soient transmises, stockées ou traitées autrement ;

Hash, Hachage, Haché
Technique cryptographique dans laquelle une quantité arbitraire de données est transformée, via un algorithme, en une chaîne de caractères unique ;

Client
Le cabinet, la personne morale ou l’entreprise individuelle, mentionné dans les conditions particulières, avec lequel LawCloud conclut un contrat ;

Données du Client
Tout contenu, matériel et données que le Client et ses Utilisateurs finaux autorisés saisissent, gèrent et stockent sur la Plateforme, ainsi que toutes les données en étant dérivées (données secondaires)

Donnée(s) à caractère personnel
Toute information concernant une personne physique identifiée ou identifiable (la “Personne concernée”), comme défini à l’article 4(1) du RGPD ;

Profilage
Toute forme de traitement automatisé de Données à caractère personnel consistant à évaluer certains aspects personnels relatifs à une personne physique, notamment en vue d’analyser ou de prédire ses performances professionnelles, sa situation économique, sa santé, ses préférences personnelles, ses intérêts, sa fiabilité, son comportement, sa localisation ou ses déplacements ;

Pseudonymisation
Traitement de Données à caractère personnel de telle manière que celles-ci ne puissent plus être attribuées à une personne concernée spécifique sans informations supplémentaires, à condition que ces informations soient conservées séparément et protégées par des mesures techniques et organisationnelles appropriées ;

Salt, Salage, Salé
Technique cryptographique utilisant des données aléatoires en entrée d’une fonction de hachage à sens unique, utilisée pour protéger les mots de passe stockés ;

Sous-traitant secondaire
Sous-traitants éventuels de LawCloud qui traitent certaines Données à caractère personnel pour le compte de LawCloud ;

Sous-traitant
Toute personne physique ou morale, autorité publique, agence ou autre organisme qui traite des Données à caractère personnel pour le compte du Responsable du traitement ;

Traitement
Toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation, la modification, la consultation, l’utilisation, la communication, la diffusion, l’alignement, la combinaison, la limitation, l’effacement ou la destruction ;

Responsable du traitement
Toute personne physique ou morale, autorité publique, agence ou autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des Données à caractère personnel. Lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, ce droit peut désigner le Responsable du traitement ou les critères de sa désignation.

ART. 2 - Objectifs et rôles

2.1. Dans cette politique de sécurité (ci-après la « Politique »), nous, LawCloud BV, dont le siège social est situé Amerikalei 122, 2000 Anvers, et enregistrée à la Banque-Carrefour des Entreprises sous le numéro 0680.741.644 (ci-après « nous » ou « LawCloud »), expliquons au Client quelles mesures techniques et organisationnelles appropriées nous prenons en vue d'assurer la sécurité du progiciel de gestion SaaS LawCloud (ci-après la « Plateforme ») que nous mettons à la disposition du Client conformément aux conditions générales et particulières signées.

2.2. Le Client reconnaît et accepte que la sécurité de l'information est une responsabilité partagée entre nous, en tant que fournisseur de la Plateforme, et le Client ainsi que ses Utilisateurs finaux autorisés. LawCloud agit uniquement en tant que Sous-traitant des Données à caractère personnel que le Client et ses Utilisateurs finaux autorisés saisissent, gèrent et stockent sur la Plateforme. Le Client prendra, sous sa propre responsabilité, les mesures de sécurité requises afin d'éviter tout incident cybernétique, quelle qu’en soit la nature, et pour prévenir notamment toute perte, destruction ou indisponibilité des Données.

2.3. LawCloud accorde par la présente au Client une autorisation expresse d’utiliser cette Politique, si cela s’avère nécessaire, pour effectuer une Étude d'impact relative à la protection des données (ci-après « EIPD ») pour les activités de traitement effectuées via la Plateforme. Le cas échéant, LawCloud assistera le Client, en tant que Sous-traitant, dans la réalisation de l’EIPD en mettant à la disposition du Client les informations nécessaires à cet effet.

ART. 3 - Activités de traitement

3.1. Description générale
La Plateforme est une application « web based » hébergée « dans le cloud ». Le Client se voit offrir la possibilité d’accéder à la Plateforme via les comptes mis à disposition, depuis n’importe quel lieu disposant d’une connexion Internet adéquate. L’objectif de l’utilisation de la Plateforme est de faciliter et de digitaliser les activités quotidiennes du Client en tant qu’avocat / cabinet d’avocats. Des activités de traitement telles que la saisie, la gestion, le stockage et la conservation des Données en font partie intégrante. Grâce à la Plateforme, le Client et ses Utilisateurs finaux peuvent créer, exécuter et suivre entièrement en ligne des dossiers.

Les Données à caractère personnel pouvant être traitées via la Plateforme sont exposées à l’article 4 de la présente Politique. L’énumération reprise dans cet article 4 est purement indicative, étant entendu que les Données à caractère personnel obtenues par le Client et/ou ses Utilisateurs finaux autorisés via des données dérivées n’y sont pas reprises. Tout Traitement de Données est effectué à l’initiative et sous la responsabilité du Client, dans le respect des dispositions de la convention de sous-traitance conclue entre le Client et LawCloud.

3.2. Services de tiers
LawCloud utilise les services de tiers de confiance qu’elle propose en combinaison avec la Plateforme, notamment :

Nom du prestataire de services tiers — Type de service fourni

• Amazon Web Services (AWS) — Hébergement de l’environnement applicatif
• OVH — Hébergement de l’environnement de migration
• Microsoft Azure Hosting — Conversion PDF
• MariaDB skySQL Hosting — Cluster de base de données
• skySQL Hosting
• Team.blue (Transip) — Hébergement de domaine

Les conditions générales de ces prestataires sont consultables ici :

• https://aws.amazon.com/
• https://www.ovhcloud.com/nl/terms-and-conditions/
• https://azure.microsoft.com/en-us/support/legal/
• https://mariadb.com/legal/
• https://skysql.com/tos/
• https://www.transip.nl/legal-and-security/algemene-voorwaarden/

3.3. API’s
LawCloud donne expressément son accord au Client pour intégrer des logiciels et services tiers dans la Plateforme via des connexions (éventuellement via des API) prévues par LawCloud. Toutefois, LawCloud ne fournit aucune garantie, ni ne peut être tenue responsable, ni ses sociétés affiliées et/ou ses préposés, pour quelque conséquence négative que ce soit, notamment à la suite de traitements et/ou d’incidents cybernétiques résultant de l’utilisation de ces logiciels et/ou API. Il est en outre de la responsabilité exclusive du Client, en tant que Responsable du traitement, de s’assurer que tout traitement (le cas échéant) soit conforme à la législation applicable.

ART. 4 - Catégories de données à caractère personnel pouvant être traitées dans la Plateforme

4.1. Le Client, en tant que Responsable du traitement, déterminera quelles catégories de Données à caractère personnel seront traitées via la Plateforme, de quelle manière elles seront traitées, combien de temps elles seront conservées et quand elles seront supprimées.

4.2. Les Données à caractère personnel suivantes peuvent notamment être traitées par le Client via la Plateforme :

Catégorie fonctionnelle de données — Types de Données à caractère personnel

• Données d’identification personnelle — Nom, titre
• Coordonnées de contact — Adresse, numéro de téléphone / GSM
• Transactions financières — Montants figurant dans un dossier, montants à payer et payés, aperçu des paiements, numéros de compte
• Activités professionnelles — Activités professionnelles d’une personne mentionnée dans un dossier
• Contrats et règlements — Accords juridiques et règlements
• Détails personnels — Âge, sexe, date de naissance, lieu de naissance, état civil, nationalité
• Composition du ménage — État civil, données d’identification des membres de la famille
• Données judiciaires — Données relatives à des soupçons, condamnations et sanctions, mesures judiciaires, sanctions administratives, procédures judiciaires
• Numéro d’identification national — Numéro d’identification national
• Résultats d’enquêtes légalement obligatoires — Résultats d’enquêtes de diligence raisonnable (KYC), résultats de la vérification UBO
• Enregistrements visuels — Enregistrement par caméra, enregistrement photographique, enregistrement vidéo, photos numériques
• Enregistrements sonores — Enregistrement audio, enregistrement téléphonique
• Catégories particulières de données à caractère personnel — Données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, données génétiques, données biométriques, données de santé, données relatives à la vie sexuelle ou à l’orientation sexuelle d’une personne
• Autres — Données du Client saisies par le Client ou un Utilisateur final

ART. 5 - Mesures de sécurité sur la Plateforme

5.1. Mesures de sécurité prises par LawCloud
En tant que Sous-traitant des Données à caractère personnel traitées dans la Plateforme, LawCloud a mis en œuvre des mesures de sécurité techniques et organisationnelles appropriées conformément à l’article 32 du RGPD.

Mesures de sécurité organisationnelles mises en place par LawCloud :

• Toute personne traitant des Données à caractère personnel pour le compte de LawCloud dans la Plateforme est soumise à une obligation contractuelle de confidentialité ; les personnes non soumises à une telle obligation ne sont pas autorisées à traiter ces données ;
• Attribution de droits d’accès spécifiques aux employés de LawCloud sur la base du principe du « besoin de savoir » ;
• Gestion des logiciels et du matériel utilisés pour la Plateforme dans un registre dédié ;
• Gestion des modifications apportées aux logiciels et matériels utilisés pour la Plateforme ;
• Conclusion des accords nécessaires avec les Sous-traitants de la Plateforme ;
• Formations régulières des employés de LawCloud sur la protection des données et les procédures de sécurité de la Plateforme ;
• Audit de sécurité annuel réalisé par un partenaire certifié de LawCloud ;
• Désignation d’un Chief Technology Officer (CTO) responsable de la mise en œuvre des mesures de sécurité adoptées.

Mesures de sécurité techniques mises en place par LawCloud :

• Utilisation de composants logiciels et d’infrastructures de base pour sécuriser les systèmes d’information de la Plateforme, tels que pare-feu, protection anti-malware et analyse antivirus ;
• Contrôle d’accès et authentification par mots de passe complexes ;
• Exécution régulière de sauvegardes complètes des logiciels utilisés pour la Plateforme ;
• Chiffrement des données transmises via Internet ;
• Les mots de passe sont toujours stockés en utilisant des techniques de salting et hashing ;
• Prévention de l’accès non autorisé aux Données via le système de droits de LawCloud ;
• Authentification multifactorielle proposée aux Utilisateurs finaux, avec possibilité pour le Client de l’imposer au niveau de l'organisation.

5.2. Sécurité des serveurs utilisés
La sécurité des Données est une priorité absolue pour LawCloud. Tous les employés de LawCloud sont familiarisés avec les techniques les plus courantes de piratage d’applications web, afin de sécuriser de manière optimale la Plateforme. 
En plus des mesures de sécurité fournies par les prestataires de services pour les serveurs de la Plateforme, LawCloud applique les mesures suivantes :

• Les employés de LawCloud suivent les « bonnes pratiques de sécurité » publiées par l’OWASP (https://www.owasp.org) et AWS ;
• Tous les serveurs sont surveillés en continu par un système de monitoring automatique. Les anomalies détectées sont signalées par SMS pour une intervention immédiate ;
• Les serveurs sont régulièrement mis à jour, avec priorité pour les mises à jour de sécurité ;
• Une veille constante est assurée concernant les vulnérabilités logicielles liées à la Plateforme, permettant une réaction rapide en cas de menace ;
• Tous les serveurs sont isolés d’Internet et uniquement accessibles via une connexion VPN et une authentification par clé privée ;
• La Plateforme est uniquement accessible via un équilibreur de charge AWS (loadbalancer) ;
• Le trafic HTTP est systématiquement chiffré par SSL (HTTPS) ;
• La terminaison SSL a lieu sur les loadbalancers AWS ;
• Tous les fichiers applicatifs sont chiffrés et uniquement accessibles via le réseau interne sécurisé de LawCloud ;
• Seules les communications internes sont autorisées avec les bases de données ;
• Le flux de données vers et depuis les bases de données est chiffré avec SSL ;
• Seuls les serveurs applicatifs ont un accès direct, mais limité, aux serveurs de bases de données ;
• Le stockage des bases de données au repos est chiffré.

5.3. Bonnes pratiques à adopter par le Client
En plus des mesures de sécurité prises par LawCloud (voir 5.1 et 5.2), le Client peut également mettre en place les mesures organisationnelles et techniques suivantes à titre de bonnes pratiques lors de l’utilisation de la Plateforme :

• Adoption d’une politique d’accès basée sur le principe du « besoin de savoir » ;
• Mise en place d’une politique de mot de passe fort pour les Utilisateurs finaux ;
• Activation de l’authentification multifactorielle proposée par LawCloud pour les Utilisateurs finaux ;
• Formation des Utilisateurs finaux aux principes fondamentaux de la cybersécurité ;
• Mise en place de logiciels anti-malware, pare-feux et scanners antivirus ;
• Utilisation d’un Cloud Access Security Broker (CASB).

ART. 6 - Localisation des données à caractère personnel traitées sur la Plateforme

Toutes les Données à caractère personnel stockées sur la Plateforme sont conservées sur des serveurs situés au sein de l’Union européenne.

ART. 7 - Divulgation responsable

LawCloud attache une grande importance à la sécurité de sa Plateforme. Malgré les mesures de sécurité mises en œuvre dans la Plateforme, il se peut qu'une vulnérabilité subsiste. Si le Client découvre une vulnérabilité dans la Plateforme, LawCloud lui demande de la signaler afin que les mesures de sécurité puissent être ajustées ou que des mesures supplémentaires puissent être prises.

7.1. Signalement de la vulnérabilité
Si le Client découvre une vulnérabilité, LawCloud lui demande de la signaler dès que possible après sa découverte.
Le Client peut soumettre ses constats en créant un ticket via le centre d’aide et en sélectionnant le sujet « Bug ou problème ». LawCloud demande de fournir suffisamment d’informations pour pouvoir reproduire la vulnérabilité et la corriger rapidement. Le Client peut, le cas échéant, joindre à la notification des pièces jointes et/ou des captures d’écran à l’appui de la description de la vulnérabilité.

7.2. Obligations du Client
Lors de la découverte d’une vulnérabilité, le Client s’abstiendra des actions suivantes :

• Rendre publique la vulnérabilité avant que LawCloud n’ait pu la corriger ;
• Exploiter la vulnérabilité pour copier, supprimer, modifier ou consulter des données de manière injustifiée, ou pour télécharger plus de données que nécessaire afin de démontrer la vulnérabilité ;
• Installer un logiciel malveillant sur la Plateforme ;
• Modifier le fonctionnement de la Plateforme ;
• Accéder de manière répétée à la Plateforme ou partager l’accès avec des tiers ;
• Utiliser des outils de scan automatisés ;
• Recourir à des attaques par « brute force » pour obtenir l’accès à la Plateforme ;
• Utiliser des attaques sur la sécurité physique, des attaques de type denial-of-service, l’ingénierie sociale, du spam ou des applications tierces ;
• Effectuer toute action susceptible d’avoir un impact sur le bon fonctionnement de la Plateforme, notamment (sans s’y limiter) la disponibilité, la performance, la confidentialité ou l’intégrité des données présentes sur la Plateforme. 
  Le Client supprimera immédiatement toutes les données obtenues via la vulnérabilité après les avoir signalées à LawCloud.

7.3. Obligations de LawCloud
LawCloud indemnisera le Client, sauf disposition légale contraire et sous réserve des mêmes conditions que celles définies à l’article 15 des Conditions Générales de l’Accord, pour toute responsabilité découlant de la découverte d’une vulnérabilité dans la Plateforme.
LawCloud traitera la notification de vulnérabilité du Client de manière confidentielle et ne divulguera aucune Donnée à caractère personnel du Client et/ou de l’Utilisateur final sans leur consentement, sauf pour satisfaire à une obligation légale qui lui incombe.

ART. 8 - Gestion des versions et modifications

LawCloud se réserve le droit de modifier cette Politique à tout moment et communiquera la nouvelle version de sa propre initiative au Client, tout en garantissant à tout moment le caractère confidentiel de celle-ci.
LawCloud est autorisée à modifier, supprimer ou ajouter des mesures de sécurité reprises dans la Politique.