AICPA-ICCA Principes et critères WebTrust SM/MDgestion-informatique.fr/webtrust/WebTrust_B_to_C_v2_0.pdf · 2003. 10. 15. · Principes et critères WebTrust ©1999 AICPA-ICCA Version

Principes et critères WebTrust ©1999 AICPA-ICCA Version 2.0

Page 1

CharteredAccountantsof Canada

Comptablesagréésdu Canada

AICPA-ICCA

Principes et critères WebTrust SM/MD

pour

le commerce électronique entreentreprises et consommateurs

Le 15 octobre 1999

Version 2.0


Page 2

Les présents principes et critères s’appliquent aux périodes d’examenWebTrust commençant après le 31 décembre 1999 pour tous les sceauxnouveaux et existants. L’adoption anticipée de ces principes et critères estencouragée.

Copyright 1999 par l’Institut Canadien des Comptables Agréés etl’American Institute of Certified Public Accountants, Inc.

Il est permis de faire des copies de ce document à condition que ces copies servent à des fins personnelles, organisationnelles ouéducationnelles uniquement, et qu’elles ne soient pas vendues ou diffusées, et à condition également que chaque copie porte lamention suivante : «Copyright 1999 par l’Institut Canadien des Comptables Agréés et l’American Institute of Certified PublicAccountants, Inc. Utilisation autorisée.»

Ce document peut être consulté sur le site Web de l’ICCA (http://www.icca.ca) ou sur celui de l’AICPA (http://www.aicpa.org).


Page 3

COMPOSITION DES COMITÉS ET GROUPES DE TRAVAIL

AICPAAssurance ServicesExecutive Committee

ICCAConseil sur les nouveaux servicesde certification

Robert L. Bunting, Chair John W. Beech, président

Ronald S. Cohen Kenneth W. Chase

Louis Grabowski Mark C. Davies

Everett C. Johnson, Jr. Richard Flageole

George Lewis Douglas C. Isaac

Alfonse M. Mattia Ivan Lavine

Don Pallais Manon Leclair

Edward F. Rockman Joanne R. Rogers

Susan C. Rucker Steven E. Salterio

Albert E. Trexler David W. Stephen

Gordon A. Viere

Wendy E. Visconty Permanents de l’ICCA

Darwin Voltin

William E. Zimmerman

Karen M. Duggan,Directrice de projets, Normes de certification

Permanent de l’AICPABryan WalkerDirecteur de projets, Monographies

Anthony J. PuglieseDirector of Assurance Services

Groupe de travail AICPA-ICCAsur les services de certification relatifsau commerce électronique

Everett C. Johnson, Jr., président

Yogen Appalraju Kerry L. Shackelford

Bruce R. Barrick Donald E. Sheehy

Joseph G. Griffin Christian R. Stormer

David Holyoak

Christopher J. Leach Permanents :

Patrick J. Moriarty

Walter Primoff

Bryan Walker, ICCADirecteur de projets, Monographies

Gary W. Riske Sheryl Weiner, AICPAWebTrust Team Leader


Page 4

TABLE DES MATIÈRESPage

Introduction 5

Renseignements généraux 7Qu’est-ce que le commerce électronique? ..............................................................................................................7

Quels sont les risques du commerce électronique?.................................................................................................7

Voies de recours des consommateurs .................................................................................................................. 10

Le sceau de certification WebTrust 10

Le CA et le CPA : des professionnels de la certification 11

Obtention et conservation du sceau de certification WebTrust 11Le processus de certification ................................................................................................................................11

Obtention du sceau ...............................................................................................................................................13

Conservation du sceau ..........................................................................................................................................13

Processus de gestion du sceau ..............................................................................................................................14

Authentification du sceau .....................................................................................................................................14

Principes et critères WebTrust 15Les principes WebTrust ........................................................................................................................................15

Les critères WebTrust ...........................................................................................................................................16

Annexe A – Exemples de rapports de praticiens 54

Annexe B – Questionnaire d’auto-évaluation WebTrust SM/MD (Version 2.0) 61

Annexe C – Processus d'arbitrage offert au consommateur 75Addenda 1 – États-Unis........................................................................................................................................77

Addenda 2 – Canada ............................................................................................................................................80


Page 5

INTRODUCTIONInternet offre aux consommateurs de nouveaux moyens d’obtenir des renseignements utiles, desbiens et des services. Bien que cette forme de commerce électronique ait connu une croissancerapide, particulièrement par l’entremise du Web, sa croissance a été freinée par les craintes et lesinquiétudes des consommateurs quant aux risques, réels ou imaginaires, du commerceélectronique.

En réaction à ces craintes et à ces inquiétudes et pour accroître la confiance des consommateurs àl’égard de ce nouveau marché électronique, les experts-comptables ont élaboré et font connaître leprésent ensemble de principes et de critères pour le commerce électronique entre les entreprises etles consommateurs, les «Principes et critères WebTrustMD», et le sceau de certification WebTrustqui s’y rattache, aussi appelé CPA WebTrustSM ou CA WebTrustMD. Les cabinets d’experts-comptables et les praticiens qui ont reçu un permis autorisant la prestation du service WebTrust del’Institut Canadien des Comptables Agréés (ICCA), de l’American Institute of Certified PublicAccountants (AICPA) ou d’autres organismes nationaux autorisés (les praticiens) sont en mesured’offrir des services de certification afin d’évaluer et de contrôler dans quelle mesure un site Webdonné respecte ces principes et ces critères. Le sceau de certification WebTrust est unereprésentation graphique d’un rapport sans réserve délivré par un praticien. Il indique égalementaux clients qu’il leur faut cliquer pour voir le rapport du praticien. Ce sceau peut être affiché surle site Web, avec des liens donnant accès au rapport du praticien et à d’autres renseignementspertinents.

Le présent document constitue la version 2.0 des «Principes et critères WebTrust». Il porte sur lesopérations de commerce électronique conclues entre les entreprises et les consommateurs. Lesprincipales modifications apportées à la version 1.1 (juin 1999) des «Principes et critèresWebTrust» comprennent notamment les éléments suivants :

1. Développement du principe relatif à la transparence des pratiques commerciales pourcouvrir de nouvelles informations que les entreprises électroniques devront fournirrelativement à leurs pratiques en matière de confidentialité de l’information. Lesentreprises doivent notamment indiquer les types précis de renseignements qu’ellesrecueillent, ainsi que l’utilisation et la diffusion de ces renseignements. Selon denouveaux critères, l’entreprise électronique doit indiquer au consommateur les choixqui lui sont offerts concernant la façon dont les renseignements recueillis peuvent êtreutilisés ou diffusés, et le consommateur doit avoir la possibilité de ne pas participer àdes opérations dans lesquelles les renseignements sont utilisés d’une façon qui ne luiconvient pas.

2. Développement du principe relatif à la transparence des pratiques commerciales pourcouvrir l’information relative à la façon de régler les plaintes. Ces plaintes peuventtoucher n’importe quel aspect des opérations de commerce électronique, y compris laqualité des produits et services, l’exactitude, l’exhaustivité et la diffusion des


Page 6

renseignements personnels du client1, ainsi que les conséquences pouvant découler dudéfaut de régler ces plaintes. En vertu de la version 2.0, dans le cadre de ce processusde règlement, la direction doit s’engager à faire appel au service de règlement desdifférends dispensé par un tiers dont les procédures respectent les normes WebTrust enla matière s’il s’avère qu’un client n’est pas satisfait de la façon dont une entrepriseélectronique a réglé sa plainte. Un service de règlement de différends dispensé par untiers serait utilisé à moins qu’il n’existe un programme imposé par un organisme deréglementation.

3. Développement du principe relatif à la protection de l’information pour exiger qu’uneentreprise électronique mette en place des contrôles sur la cueillette des données,qu’elle permette aux consommateurs de choisir la façon dont les renseignements qu’ilsfournissent électroniquement seront utilisés, et qu’elle leur donne la possibilité de nepas participer à une opération dans laquelle ces renseignements sont utilisés de façonnon souhaitée.

4. Développement du principe relatif à la protection de l’information pour exiger qu’uneentreprise électronique mette en place des contrôles de nature à assurer que lesrenseignements obtenus auprès des consommateurs sont exacts et complets aux fins dubut visé, et que les consommateurs puissent examiner et faire corriger toutes lesdonnées erronées conservées par l’entreprise électronique.

5. Développement du principe relatif à la protection de l’information pour exiger qu’uneentreprise électronique mette en place des contrôles visant à déterminer les politiquesen matière d’intégrité et de sécurité appliquées par les tiers auxquels lesrenseignements sont transmis.

Nous prévoyons que des révisions ultérieures seront nécessaires pour mettre à jour les critères etla documentation connexe. En outre, il faudra peut-être établir des principes et critèressupplémentaires pour étendre la focalisation aux opérations interentreprises et à d’autres aspectsdu commerce électronique.

Les «Principes et critères WebTrust» visent à répondre aux besoins des utilisateurs et à dissiperleurs inquiétudes; ils ont été conçus pour profiter aussi bien aux utilisateurs qu’aux fournisseursde services de commerce électronique. C’est pourquoi vos commentaires sont les bienvenus; ilssont même essentiels pour que ces principes et les critères de base puissent être mis à jour etcontinuer de répondre aux besoins du marché.

1 Les renseignements personnels du client comprennent les renseignements sur l’identité du client ou sur sa famille(nom, adresse, numéro de téléphone, numéro d’assurance ou de sécurité sociale ou tout autre numéro d’identificationétabli par le gouvernement, informations sur l’employeur, numéros de carte de crédit, etc.), les renseignements denature financière concernant le client ou sa famille, les renseignements de nature médicale concernant le client ou safamille, l’expérience professionnelle antérieure, la liste des achats ou de toutes autres opérations effectuées par leclient, le dossier de crédit et autres renseignements de nature similaire.


Page 7

La présente version des «Principes et critères WebTrust» a été approuvée par le AssuranceServices Executive Committee de l’AICPA et par le Conseil sur les nouveaux services decertification de l’ICCA.

Les experts-comptables ont élaboré l’ensemble des «Principes et critères WebTrust» et le sceau decertification WebTrust qui s’y rattache pour aider les entités et leurs clients à évaluer les risquesassociés aux opérations de commerce électronique. Le présent document explique en quoiconsistent le commerce électronique, les risques qui ont motivé l’élaboration des principes etcritères de commerce électronique, ainsi que le sceau de certification; il présente également cesprincipes et les critères de mesure qui les sous-tendent.

RENSEIGNEMENTS GÉNÉRAUX

Qu’est-ce que le commerce électronique?Le commerce électronique est exercé par des personnes et des organisations qui effectuent unensemble d’opérations commerciales électroniques, sans document papier, à l’aide d’ordinateurset de réseaux de télécommunications. Ces réseaux peuvent être publics, privés ou hybrides.Jusqu’à tout récemment, la définition du commerce électronique était focalisée sur l’échange dedonnées informatisé (EDI), le principal moyen pour deux entreprises liées par contrat d’effectuerdes opérations commerciales électroniques. La définition du commerce électronique s’esttoutefois élargie pour englober les opérations effectuées dans Internet (plus précisément, le W3 oule Web), même entre des entités qui ne se connaissaient pas auparavant. Cela résulte, d’une part,du gain de popularité du Web et, d’autre part, du fait qu’Internet a été accepté comme unmécanisme d’échange viable de l’information commerciale. Le recours à une infrastructurefondée sur un réseau public comme Internet peut réduire les coûts et uniformiser les règles du jeupour les PME et les grandes entreprises. De la sorte, quelle que soit leur envergure, les entreprisespeuvent avoir accès à une clientèle plus vaste.

Quels sont les risques du commerce électronique?Voici les grands secteurs de risque associés au commerce électronique.

Pratiques en matière de commerce et de confidentialité de l’information

Le commerce électronique suppose souvent des opérations entre de véritables inconnus. Lesapparences peuvent être trompeuses : comment le consommateur peut-il être sûr que les biens etservices présentés dans une page Web bien structurée seront livrés tels quels par l’entité qui lesoffre? Comment le consommateur peut-il savoir si cette entité accepte les retours d’articlesvendus ou si ces articles sont garantis? Comment sont réglées les plaintes du client concernantl’exactitude, l’exhaustivité et la diffusion des renseignements personnels qui le concernent? Étantdonné le caractère anonyme du commerce électronique et la facilité avec laquelle les personnesmalhonnêtes peuvent établir, puis abandonner, une identité virtuelle, il est essentiel que lesconsommateurs sachent que les entités avec lesquelles ils font affaire déclarent leurs pratiquescommerciales et les respectent. Sans ces renseignements utiles et sans l’assurance que l’entité arespecté dans le passé les pratiques déclarées, les consommateurs courraient un risque accru desubir des pertes, d’être victimes d’une fraude, d’éprouver des contrariétés ou de voir leurs attentesdéçues.


Page 8

La confidentialité de l’information peut être une arme à double tranchant. D’une part, lescommerçants ont besoin de certains renseignements pour pouvoir traiter la commande d’un client.D’autre part, le client ne veut pas que ces renseignements soient fournis à des tiers sans sapermission. Par ailleurs, il peut arriver que la base de données d’une entreprise renferme desdonnées erronées que le client devrait pouvoir corriger ou modifier au besoin. S’il n’existe pas deprocessus de cette nature, il se peut qu’on prenne des décisions qui pourraient s’avérerdommageables pour le consommateur.

Effet des critères relatifs à la confidentialité dans le monde

Le commerce électronique est mondial de par sa nature même. Lorsque les entreprises traversentles frontières, elles sont tenues de respecter des normes et des lois qui concernent laconfidentialité. Les commerçants qui souhaitent tirer parti du marché mondial peuvents’apercevoir que si leur site n’est pas conforme à des normes de confidentialité adéquates, leursactivités commerciales pourraient se voir interdites ou restreintes.

Les consommateurs d’autres parties du monde s’inquiètent également de la manière dont lesrenseignements qui les concernent seront utilisés, de la façon dont ils sont protégés, des processusen place qui leur permettront de corriger des renseignements erronés, et des personnes quipourront accéder à ces renseignements. Si des critères, des procédures et des contrôles adéquatsne sont pas mis en place, et s’ils ne sont pas indiqués en bonne et due forme, ces consommateurspourraient décider de faire affaire sur un autre site doté de contrôles appropriés.

Dans le monde entier, des pays établissent des politiques visant à assurer à leurs citoyens que lesrenseignements qui les concernent demeurent confidentiels. Les directives en matière deconfidentialité de l’Union européenne (UE) visant le marché européen sont les premières dans cedomaine, et l’Online Privacy Alliance (OPA) des États-Unis suit cet exemple de près. Le serviceWebTrust respecte ou excède toutes les principales exigences de ces deux instances relativement àla confidentialité et aux voies de recours des consommateurs.

Intégrité des opérations

À défaut de contrôles adéquats, les opérations et les documents électroniques peuvent êtreaisément modifiés, perdus ou reproduits et faire l’objet d’erreurs de traitement. L’intégrité desopérations et des documents électroniques risque alors d’être mise en cause, ce qui pourraitprovoquer des conflits au sujet des conditions de l’opération et de la facturation. Il est doncnormal que les personnes qui envisagent d’avoir recours au commerce électronique cherchent àobtenir l’assurance que l’entité a mis en place des contrôles efficaces sur l’intégrité desopérations, qu’elle a, dans le passé, traité les opérations de façon précise, complète et rapide, etque sa facturation respecte les modalités convenues.

Protection de l’information

Il importe donc que les consommateurs soient persuadés que le site Web qu’ils consultent estidentifié de manière adéquate et que l’entité a pris les mesures voulues pour protéger laconfidentialité des renseignements personnels des clients. Bien qu’il soit relativement facile decréer un site Web dans Internet, la technologie nécessaire est souvent complexe et pose toute unesérie de problèmes touchant à la protection des renseignements et aux questions de sécurité qui


Page 9

s’y rattachent. La confidentialité des renseignements de nature délicate transmis par Internet peutse trouver compromise. Par exemple, sans le recours à des techniques de chiffrementélémentaires, les numéros de carte de crédit des consommateurs pourraient être interceptéspendant la transmission et volés. De même, en l’absence de pare-feu et d’autres mesures desécurité, des renseignements personnels d’un client qui se trouvent sur le système informatique decommerce électronique d’une entité pourraient être, délibérément ou non, mis à la dispositiond’un tiers non lié aux activités de l’entité. Les entorses à la sécurité peuvent égalementcomprendre l’accès non autorisé à des réseaux d’entreprises, à des serveurs Internet/Web et mêmeà la connexion Internet du consommateur (par exemple, son ordinateur à la maison). Il est doncnormal que les personnes qui envisagent d’avoir recours au commerce électronique cherchent àobtenir l’assurance que l’entité a mis en place des contrôles efficaces sur la protection del’information et qu’elle a, dans le passé, protégé la confidentialité des renseignements personnelsdes clients.

Le problème du passage à l’an 2000

On a beaucoup parlé du problème du passage à l’an 2000, et les entités devraient en êtreconscientes. Mais la mesure dans laquelle elles y réagissent varie, certaines intervenant encorepeu à cet égard. Le problème est simple à expliquer : il se pose parce que, lorsque des systèmesinformatiques identifient les années au moyen de deux chiffres, les chiffres 00 risquent d’être malinterprétés, c’est-à-dire d’être interprétés comme signifiant 1900, comme un code spécial oucomme une situation d’erreur, ce qui risque d’entraîner des erreurs ou une défaillancefonctionnelle des systèmes informatiques. En outre, un certain nombre de systèmes informatiquesn’effectuent pas adéquatement les calculs où interviennent des dates postérieures au 31 décembre1998, parce qu’ils utilisent les chiffres 99 dans les zones date pour représenter autre chose quel’année 1999. Il est également important que les systèmes reconnaissent que 2000 est une annéebissextile; or, ce ne sont pas tous les systèmes informatiques qui reconnaissent que le 29 février2000 est une date valide. Le problème du passage à l’an 2000 est susceptible de se manifester le1er janvier 2000, ou encore avant ou après cette date, et il peut avoir sur la présentation del’information financière et l’exploitation des conséquences allant d’erreurs sans gravité à l’échecde l’entreprise.

Il incombe à la direction de l’entité d’évaluer les conséquences du problème du passage à l’an2000 sur ses systèmes et d’y remédier. Cette responsabilité s’étend au delà des systèmes quiproduisent l’information financière. Elle englobe tous les systèmes intervenant dans les activitésde l’entité, qu’il s’agisse des activités liées à la sécurité, à l’environnement, à la production, aucontrôle automatique ou au service. Il incombe également à la direction d’évaluer l’effetqu’auront les systèmes non adaptés des autres entités sur ses propres activités et systèmesd’information financière. Le conseil d’administration (ou autre instance investie deresponsabilités similaires) est responsable de la supervision des activités déployées par ladirection pour s’assurer que celle-ci accorde toute l’attention voulue au problème du passage àl’an 2000.

Il est important de reconnaître le fait qu’une entité, quelle qu’elle soit, ne peut ni ne pourradéclarer que ses systèmes sont parfaitement conformes pour l’an 2000 ou garantir l’efficacité desmesures palliatives qu’elle a prises. Le problème est tout simplement trop complexe pour qu’il


Page 10

puisse être légitime de faire pareille affirmation. Par conséquent, dans le cadre du serviceWebTrust, aucune assurance n’est fournie concernant la conformité pour l’an 2000.

Voies de recours des consommateurs

En raison de la nature particulière du commerce électronique, les clients d’un site Webs’inquiètent de la façon dont leurs plaintes sont traitées. Si l’entité responsable d’un site Web neveut pas ou ne peut pas dissiper les inquiétudes d’un consommateur, de quel recours disposera cedernier? Si le consommateur habite un pays différent de celui où est située l’entreprise, de quellefaçon ses droits seront-ils protégés? Certains gouvernements exigent déjà la mise en place deprocédures destinées à assurer la protection des consommateurs. Le règlement traditionnel desdifférends appliqué par l’ordre judiciaire peut nécessiter beaucoup de temps et d’argent.

Pour faciliter le règlement de différends tant pour le consommateur que pour l’entrepriseélectronique, le National Arbitration Forum (NAF) a participé à la conception d’un programmeaxé sur le commerce électronique et, plus précisément, sur le service WebTrust. Les plaintespeuvent être déposées électroniquement, par téléphone ou par la poste. Grâce au règlement dedifférends dispensé par un tiers, les consommateurs du monde entier ont maintenant accès à unservice d’arbitrage économique et rapide. Les entreprises déjà dotées d’un mécanisme derèglement de différends portant sur une partie de leurs processus de commerce électroniquecontinueront de l’utiliser et devront recourir à d’autres mécanismes pour traiter l’ensemble del’opération de commerce électronique. Tous ces mécanismes doivent être conformes auxprincipes d’arbitrage décrits dans l’Annexe C, laquelle présente une vue d’ensemble du processusd’arbitrage. Dans les pays dotés de programmes imposés par des organismes de réglementation,les entités observeront le programme en vigueur et indiqueront sur leur site Web qu’elles s’yconforment.

LE SCEAU DE CERTIFICATION WEBTRUSTLe Web a retenu l’attention des entreprises et des consommateurs, de sorte que le nombre et lestypes d’opérations électroniques se sont accrus rapidement. Pourtant, bien des gens sont d’avisque le commerce électronique atteindra son plein potentiel seulement lorsque les consommateursauront l’impression que les risques associés aux opérations commerciales électroniques sontréduits à un niveau acceptable. Les inquiétudes des consommateurs quant à l’intégrité, aucontrôle, à l’autorisation, à la confidentialité et au caractère anonyme des opérations sont souventlégitimes. Dans un univers où l’interlocuteur demeure invisible, chacun a besoin d’obtenir uneassurance d’une tierce partie objective. Cette assurance peut être fournie par un comptable agréé(CA) ou par un certified public accountant (CPA) indépendant et objectif, et constatée parl’affichage d’un sceau de certification WebTrust dans le site Web.

Le sceau de certification WebTrust symbolise, pour les clients éventuels, le fait qu’un CA ou unCPA a évalué les pratiques commerciales et les contrôles du site Web afin de déterminer s’ils sontconformes aux «Principes et critères WebTrust» pour le commerce électronique entre entrepriseset consommateurs, et qu’il a délivré un rapport dans lequel il formule une opinion sans réserveindiquant que les principes sont respectés au regard des critères WebTrust. À ce sujet, voirl’Annexe A, «Exemples de rapports de praticiens». Les principes et critères reflètent des normes


Page 11

fondamentales en matière de transparence des pratiques commerciales, d’intégrité des opérationset de protection de l’information.

LE CA ET LE CPA : DES PROFESSIONNELS DE LA CERTIFICATIONLes CA et les CPA offrent des services de certification. Leur rôle est de fournir une assurance aulecteur ou utilisateur, la plus connue étant celle qui résulte d’une vérification d’états financiers.On accorde de la valeur à une opinion de vérificateur signée par un CA ou un CPA parce que cesprofessionnels ont de l’expérience en matière de certification et de comptabilité financière etqu’ils sont reconnus pour leur indépendance, leur intégrité, leur discrétion et leur objectivité. Enoutre, les CA etles CPA se conforment à un ensemble complet de règles de déontologie et de normesprofessionnelles dans la prestation de leurs services. Toutefois, l’assurance fournie relativement àdes états financiers n’est qu’un seul des types de services de certification que peuvent offrir lesCA et les CPA. Ils sont également appelés à procurer une assurance en matière de contrôle interneet en ce qui concerne la conformité de certains éléments avec des critères déterminés.L’expérience professionnelle, l’expérience du monde des affaires, la connaissance approfondie dudomaine (sécurité, vérifiabilité et contrôle des systèmes de commerce électronique) et lescaractéristiques professionnelles (indépendance, intégrité, discrétion et objectivité) nécessairesdans le cadre de telles missions sont aussi les éléments clés qui permettent à un CA ou à un CPAd’évaluer de manière exhaustive et objective les risques, les contrôles et les informations sur lespratiques suivies qui sont associés au commerce électronique.

OBTENTION ET CONSERVATION DU SCEAU DE CERTIFICATIONWEBTRUST

Le processus de certificationLa direction de l’entité fait au praticien une déclaration (des assertions) qui pourrait ressembler àla suivante :

Dans son site Web consacré au commerce électronique (à l’adresse WWW.ABC.COM),pendant la période allant du JOUR MOIS 199X au JOUR MOIS 2000, la société ABC :• a indiqué ses pratiques en matière de commerce et de confidentialité de l’information

relatives au commerce électronique et a effectué ses opérations conformément à cespratiques,

• a mis en place des contrôles efficaces de nature à procurer une assurance raisonnable queles opérations conclues avec le client par la voie du commerce électronique ont ététraitées et facturées comme convenu,

• a mis en place des contrôles efficaces de nature à procurer une assurance raisonnable queles renseignements personnels du client obtenus dans le cadre d’une opération decommerce électronique sont protégés contre toute utilisation étrangère aux activités deABC,

en conformité avec les critères WebTrust établis conjointement par l’ICCA et l’AICPA.


Page 12

L’Annexe B contient un questionnaire intitulé «Questionnaire d’auto-évaluation WebTrustSM/MD,(Version 2.0)» visant à aider la direction d’une entité à établir le bien-fondé de ses assertions.

Dans le cas d’une déclaration initiale, la durée de la période couverte devrait être d’au moins deuxmois ou peut-être davantage selon ce que déterminera le praticien. Dans le cas des déclarationsultérieures, la période couverte devrait commencer à la fin de la période précédente afin d’assurerla continuité de la déclaration.

Pour que la déclaration soit fondée, la direction de l’entité doit avoir mis en place une structure decontrôles internes appropriée2 pour ses opérations de commerce électronique. On peut trouver desindications utiles à cet égard dans les publications du Conseil sur les critères de contrôle (CCC)au Canada, ou dans celles du Committee of Sponsoring Organizations (COSO) de la TreadwayCommission aux États-Unis. Toutefois, pour les besoins de la délivrance du sceau de certificationWebTrust, le praticien n’évalue que les éléments du contrôle interne qui sont pertinents parrapport au traitement des opérations de commerce électronique. Dans les missionsprofessionnelles, comme celles exécutées dans le cadre du service WebTrust, il est importantd’analyser et de comprendre les contrôles internes relatifs aux processus commerciaux. L’attitudede la direction à l’égard de l’établissement et du respect de bonnes pratiques commerciales, sonengagement à assurer qu’elle suit ses propres pratiques, et son processus de gestion deschangements sont quelques-uns des éléments qui constituent des bonnes pratiques en matièred’environnement de contrôle. L’environnement de contrôle reflète l’attitude générale, laconscientisation, l’engagement et les mesures prises par la direction en ce qui a trait àl’importance du contrôle interne et à son importance au sein de l’entité. Un environnement decontrôle rigoureux améliore le commerce électronique et permet de gagner la confiance desclients.

2 Il est possible que certains clients WebTrust confient à un tiers fournisseur de services (TFS) l’exécution dutraitement des opérations clés et la gestion de la sécurité relative au site Web. La responsabilité de certains contrôlesnécessaires pour satisfaire les critères WebTrust de l’ICCA et de l’AICPA peut incomber principalement au TFS ouêtre partagée entre le TFS et le client WebTrust. Dans ces circonstances, le praticien WebTrust peut consulter leGuide à l’intention des vérificateurs et utilisateurs d’un rapport de vérificateur sur un tiers fournisseur de servicesdélivré dans le cadre d’une mission WebTrust, rédigé par le Groupe de travail AICPA-ICCA sur le commerceélectronique, qui fournit des directives non officielles à l’intention du praticien WebTrust. On peut consulter ce guidesur Internet (www.icca.ca/WebTrust ou www.aicpa.org/WebTrust/index.htm).


Page 13

Un praticien indépendant, objectif et bien informé contrôle par sondages la validité d’une telledéclaration en se fondant sur les normes professionnelles3 de l’ICCA ou de l’AICPA, et fournitune opinion professionnelle qui ajoute à la crédibilité des déclarations de la direction de l’entité.

Obtention du sceauPour obtenir le sceau de certification WebTrust, l’entité doit respecter tous les principesWebTrust. L’évaluation se fait par référence aux critères WebTrust associés à chacun de cesprincipes. De plus, l’entité doit : 1) faire appel à un CA ou à un CPA à qui l’ICCA, l’AICPA ouun autre organisme comptable national autorisé a expressément délivré un permis autorisant laprestation du service WebTrust; 2) obtenir un rapport sans réserve de ce praticien.

Conservation du sceauUne fois le sceau obtenu, l’entité peut continuer de l’afficher dans son site Web si les conditionssuivantes sont remplies :

1. Le praticien met périodiquement à jour sa certification de la déclaration. L’entité doitcontinuer d’obtenir un rapport sans réserve de ce praticien. L’intervalle entre les mises à jourest fonction d’éléments tels que les suivants :a) la nature et la complexité des activités de l’entité;b) la fréquence des changements importants apportés au site Web;c) l’efficacité relative des contrôles de surveillance et de gestion des changements que

l’entité a mis en place pour assurer le respect continu des critères WebTrust chaquefois que des changements sont apportés au site Web;

d) le jugement professionnel du praticien.

Par exemple, les mises à jour seront plus fréquentes dans le cas du site Web en constanteévolution d’une institution financière dans lequel s’effectuent des opérations sur des titres quedans le cas d’un service en ligne qui vend des données d’archives dans un site Web rarementmodifié. Dans tous les cas, l’intervalle séparant deux mises à jour ne saurait excéder troismois, mais il sera souvent considérablement plus court. Afin de fournir une couverturecontinue et d’assurer la conservation du sceau, la période couverte pour les rapports de mise àjour devrait soit commencer à la fin de la période précédente, soit au début de la période viséepar le rapport initial.

3 Ces services sont fournis, au Canada, conformément aux Normes relatives aux missions de certification de l’ICCA(chapitre 5025 du Manuel de l’ICCA – Certification) ou, aux États-Unis, conformément aux Statements on Standardsfor Attestation Engagements de l’AICPA (AICPA Professional Standards, vol. 1, AT Section 100). Pour être enmesure de fournir les services WebTrust à leurs clients, les praticiens doivent posséder les compétences etl’expérience appropriées, une formation en matière de prestation de services WebTrust, et un permis délivré à cette finpar l’ICCA ou l’AICPA. Le praticien doit exécuter une mission du type «vérification» (examination aux États-Unis)afin de pouvoir délivrer le sceau WebTrust. L’exécution d’une mission du type «examen» ne suffit pas. Le nomWebTrust fait l’objet d’une marque déposée par l’ICCA, et d’une marque de service (service mark) par l’AICPA. Envertu des dispositions de ces marques, le praticien peut mentionner les «Principes et critères WebTrust» dans unrapport uniquement lorsque pareil rapport est fondé sur une mission de type vérification effectuée conformément auchapitre 5025 du Manuel de l’ICCA – Certification, «Normes relatives aux missions de certification», ou sur unemission de type vérification (examination) exécutée conformément au AICPA Professional Standards, AT section100, ou sur une mission exécutée conformément à des normes et à des niveaux d’assurance similaires dans d’autrespays, sous réserve d’une autorisation donnée à cet effet par l’ICCA ou l’AICPA.


Page 14

2. L’entité s’engage à informer le praticien, entre deux mises à jour, de tous les changementsimportants apportés à ses politiques, à ses pratiques, à ses processus et à ses contrôles enmatière de commerce et de confidentialité de l’information, en particulier lorsque ceschangements sont susceptibles d’influer sur la capacité de l’entité de continuer à respecter les«Principes et critères WebTrust», ou sur la manière dont ils sont respectés. En cas de telschangements, il pourrait s’avérer nécessaire de procéder à une mise à jour de la certificationou, dans certaines situations, au retrait du sceau jusqu’à ce qu’une vérification de mise à joursoit possible. Lorsque le praticien découvre qu’un tel changement s’est produit, il détermines’il doit effectuer une vérification de mise à jour et s’il s’avère nécessaire de retirer le sceau decertification jusqu’à l’achèvement de cette vérification et la délivrance du rapport devérificateur mis à jour.

Processus de gestion du sceauLe sceau de certification WebTrust est géré par un tiers, soit un organisme de service de confiance(le «gestionnaire de sceau»), selon les lignes directrices suivantes :

• Lorsqu’il reçoit un rapport sans réserve, le praticien obtient un numéro d’immatriculation del’ICCA, de l’AICPA ou de l’association autorisée pertinente.

• Le praticien fournit à l’entité un numéro d’immatriculation utilisé pour l’inscription sur le sitedu gestionnaire de sceau.

• À l’aide de ce numéro, l’entité doit demander et obtenir un certificat spécial de catégorie 3(special Class 3 Certificate) – à savoir, le certificat numérique WebTrust – du gestionnaire desceau.

• Le gestionnaire de sceau fournit également le matériel nécessaire à l’installation du sceauainsi qu’un certificat numérique spécial WebTrust à l’entité.

• Si, pour une raison valable, le praticien décide que le sceau doit être retiré du site Web del’entité, il en avise l’entité et demande que le sceau et le rapport connexe du praticien soientretirés du site Web. Le praticien envoie aussi un avis de révocation du sceau au gestionnairede sceau, ce qui entraîne la révocation électronique du certificat numérique.

• Les certificats numériques expirent un an après leur date de délivrance; par conséquent, lepraticien et l’entité doivent renouveler le certificat numérique chaque année.

Authentification du sceauPour vérifier l’authenticité d’un sceau affiché sur un site Web, le client peut cliquer sur le sceauafin de faire apparaître une représentation graphique d’un certificat. Ce certificat graphiqueindique au client comment procéder pour visualiser, à l’aide de son navigateur, le certificatnumérique spécial WebTrust attribué par le gestionnaire de sceau. Ce certificat numérique fournitau client une preuve de la validité du sceau WebTrust. Il indique 1) qu’il s’agit d’un certificatRSA, 2) qu’il a été délivré par suite d’une vérification WebTrust, 3) à qui le sceau a été délivré, et4) où est établie l’entreprise à qui le sceau a été accordé. À défaut de ce certificat numérique, lesceau WebTrust ne doit pas être considéré comme valide. Par ailleurs, VeriSign a posté sur sonsite Web (www.verisign.com/webtrust/siteindex.html) une liste de tous les sites Web qui ont reçule sceau WebTrust.


Page 15

PRINCIPES ET CRITÈRES WEBTRUST4

Il existe différentes plates-formes de commerce électronique, notamment les babillardsélectroniques et les ententes EDI formalisées. Les critères dont il est question dans le présentdocument visent toutefois avant tout le commerce électronique effectué sur le Web entre desentreprises et des consommateurs.

Les principes présentés ci-dessous ont été élaborés en fonction des besoins de l’utilisateur-consommateur. Par conséquent, ils sont de nature pratique et se veulent non techniques.

Les principes WebTrust5

Pratiques en matière de commerce et de confidentialité de l’information

L’entité indique ses pratiques en matière de commerce et de confidentialité del’information relatives au commerce électronique et effectue ses opérationsconformément à ces pratiques.

Pour accroître la confiance du consommateur à l’égard du commerce électronique, il importe quele consommateur soit informé des pratiques commerciales suivies par l’entité dans le cadre de sesopérations de commerce électronique. L’entité doit indiquer convenablement ses pratiquesconcernant des éléments comme les commandes, les retours éventuels et les réclamations au titred’une garantie. L’entité doit également effectuer ses opérations conformément à ces pratiques. Ilfaut notamment que la direction consente à faire appel à l’arbitrage d’un tiers pour régler lesplaintes des clients. L’entité doit en outre indiquer les pratiques qu’elle a adoptées en ce quiconcerne la façon dont elle utilise, protège et conserve les renseignements personnels des clients,de même que les voies de recours offertes aux consommateurs sur son site.

Ce principe a trait à la façon normale d’agir de l’entité en matière de commerce électronique,ainsi qu’à la méthode employée par la direction pour régler les plaintes de tiers. Toutefois, ilne concerne d’aucune manière la qualité des biens ou des services, ou leur pertinence par rapportaux besoins du consommateur (ces questions débordant le cadre des «Principes et critèresWebTrust»).

4 Ces critères sont destinés à répondre à la définition des «critères établis par des organismes reconnus» dont font étatles normes relatives aux missions de certification au Canada (paragraphe 5025.41 du Manuel de l’ICCA –Certification), ainsi que le troisième General Standard relatif aux missions d’attestation aux États-Unis (AICPAProfessional Standards, vol. 1, AT sec. 100.14).5 Les principes WebTrust satisfont ou excèdent les normes de l’Online Privacy Alliance (OPA) et les directives del’Union européenne (UE) en matière de confidentialité en date d’octobre 1999.


Page 16

Intégrité des opérations

L’entité a mis en place des contrôles efficaces de nature à procurer une assuranceraisonnable que les opérations conclues avec le client par la voie du commerceélectronique sont traitées et facturées comme convenu.

Ces contrôles ont notamment trait aux aspects suivants des opérations : 1) validation del’opération; 2) exactitude, exhaustivité et rapidité du traitement de l’opération et des facturationsy afférentes; 3) indication des modalités de l’opération et de la facturation et, le cas échéant, durèglement électronique; 4) identification appropriée de l’opération. Il s’agit de contrôles essentielspour gagner la confiance des consommateurs à l’égard du commerce électronique sur Internet.

Protection de l’information

L’entité a mis en place des contrôles efficaces de nature à procurer une assuranceraisonnable que les renseignements personnels du client obtenus dans le cadred’une opération de commerce électronique sont protégés contre toute utilisationétrangère aux activités de l’entité.

Ces contrôles ont trait aux questions touchant la protection des renseignements personnels et lasécurité, notamment au chiffrement ou à d’autres modes de protection des renseignementspersonnels du client (numéros de carte de crédit ou données personnelles et financières) transmisà l’entité par le truchement d’Internet, à la protection de ces renseignements une fois que l’entitéles a en main, et à l’obtention de la permission du client pour utiliser l’information dans un butautre que celui lié aux activités de l’entité ou pour stocker, modifier ou copier des donnéesprovenant de l’ordinateur du client. Relativement à la protection de ces renseignements, lesconsommateurs souhaitent être en mesure de corriger ou de mettre à jour les informations qu’ilsfournissent sur un site. Le fait, pour un site, de permettre ce processus peut accroîtreconsidérablement le volume des activités de commerce électronique qui s’y déroulent.L’inquiétude des consommateurs au sujet de la protection des renseignements personnels a étéjusqu’ici l’un des principaux facteurs de dissuasion à la conclusion d’opérations de commerceélectronique.

Les critères WebTrustUn certain nombre de critères WebTrust ont été élaborés pour chaque principe WebTrust afin defournir des indications plus précises. L’entité doit se conformer aux critères pour obtenir etconserver son sceau WebTrust.

Une disposition sur quatre colonnes a été utilisée pour présenter les critères. La première colonneprésente les critères en tant que tels, c’est-à-dire les conditions auxquelles l’entité doit répondrepour être en mesure de démontrer que le principe a été respecté. Les deuxième, troisième etquatrième colonnes fournissent des exemples d’informations et de contrôles relatifs au commercede biens de consommation et de services non financiers, aux opérations bancaires en ligne et au


Page 17

commerce de valeurs en ligne, respectivement. Il s’agit d’exemples d’informations que l’entitépeut fournir ou de contrôles qu’elle a pu mettre en place afin de se conformer aux critères. Desinformations et contrôles différents ou supplémentaires peuvent également être valables.

L’entité doit être en mesure de démontrer, sur une certaine période (au moins deux mois, ou peut-être davantage) : 1) qu’elle a effectué ses opérations conformément aux pratiques de commerceélectronique indiquées; 2) que ses contrôles ont fonctionné efficacement; 3) qu’elle avait en placeun environnement de contrôle propice à la communication d’informations fiables sur sespratiques commerciales et à l’application de contrôles efficaces; 4) qu’elle avait en place desprocédures de surveillance permettant d’assurer que les pratiques commerciales indiquées sonttoujours suivies et que ses contrôles continuent d’être efficaces en conformité avec les critèresWebTrust. Ces notions constituent une partie intégrante des critères WebTrust.


Page 18

A. Pratiques en matière de commerce et de confidentialité de l’information – L’entité indiqueses pratiques en matière de commerce et de confidentialité de l’information relatives aucommerce électronique et effectue ses opérations conformément à ces pratiques.

Critères Exemples d’informations —biens de consommation etautres services nonfinanciers

Exemples d’informations –opérations bancaires enligne

Exemples d’informations –commerce de valeurs en ligne

A1 Description des biens et/ou desservices

L’entité fournit une informationdescriptive sur la nature des biensqui seront livrés ou des services quiseront fournis en mentionnantnotamment :

A1.1. l’état des biens (c’est-à-dire, s’ilssont neufs, d’occasion, remis àneuf);

Vous pouvez acheter sur notre sitedes livres neufs et d’occasion; leslivres d’occasion sont clairementidentifiés comme tels.

A1.2. la description des services (ou ducontrat de service);

• Nos services Internet sont lessuivants :

− accès à vos comptes bancairesen tout temps;

− paiement de factures, y comprisles comptes de chauffage,d’eau, de téléphone, de câble,de cartes de crédit courantes etde cartes de crédit des grandsmagasins, de taxes et de gaz;

− virement de fonds entre voscomptes;

− vérification du solde de voscomptes bancaires;

• Courtiers ABC inc. offre diverscomptes de négociation, ycompris des comptes aucomptant, des comptes surmarge, des comptes d’options etdes comptes de vente àdécouvert. Tous portent intérêtde sorte que votre argent vousrapporte même lorsqu’il estinactif.

• Nos services sur Internet sontles suivants :

− actions canadiennes etaméricaines — achat et vente detitres cotés en Bourse : AMEX,


Page 19





− suivi des écritures dans voscomptes;

− paiements ou tirages sur votreligne de crédit;

− vérification du solde etremboursement de la plupart devos emprunts.

• Avec notre service en ligne,vous avez accès à votre comptechèques, votre compted’épargne, votre compte dedépôt du marché monétaire,votre ligne de crédit sur valeurdomiciliaire.

NASDAQ, Bourse de NewYork, Bourse de Toronto,Bourse de Montréal, Bourse deVancouver et Bourse del’Alberta;

− opérations sur options — achatd’options d’achat ou de venteou vente d’options d’achat oude vente couvertes sur tous lesmarchés canadiens etaméricains;

− vente à découvert — nousempruntons des actions au nomde l’investisseur pour couvririnitialement la vente àdécouvert; la vente à découvertde titres comporte un degréélevé de risque et ne convientdonc pas nécessairement à tousles investisseurs;

− actions étrangères — opérationssur la plupart des marchésboursiers du monde,notamment : Hong-Kong,Shanghai, Shenzhen, Djakarta,Thaïlande, Kuala Lumpur,Londres, Tokyo, Paris,Francfort, Genève, Sydney,


Page 20





Johannesbourg, Zurich,Singapour, Manille et nombred’autres;

− fonds communs de placement— possibilité d’investir dansplus de 1 000 fonds communsde placement nord-américains.

• Vous pouvez visualiser votrecompte de placement, envoyerdes demandes d’opérations, voiroù en sont vos opérations et lavaleur de votre portefeuille entout temps.

A1.3. les sources des informations (c’est-à-dire comment elles ont étéobtenues et comment elles sontétablies).

• Nous avons produit ce rapport àpartir de données scientifiquesobtenues dans le cadre derecherches menées dans dixuniversités. Vous trouverez laliste de ces recherches dans lerapport. Le rapport contientégalement une analyse préparéepar nos chercheurs. Aucunepartie du rapport ne peut êtrereproduite ni transmise sansnotre permission écrite parapplication des lois sur le droitd’auteur.

• L’information sur le tauxpréférentiel vient de la Banquedu Canada. L’information sur lanotation des obligations vient deStandard and Poor’s.

• Courtiers ABC inc. utilise unsystème informatisé de routagepour obtenir de l’informationsur les prix. Les ordres sontacheminés vers le marchécompte tenu du prix et de laliquidité.

A2 Modalités


Page 21





L’entité décrit les modalités de sesopérations de commerceélectronique en indiquantnotamment :

A2.1. le délai d’exécution des opérations(le terme «opération» se rapporte àl’exécution des commandes dans lecas de la vente de biens et à laprestation d’un service dans le casoù un service est fourni);

• Notre politique consiste à livrerla commande dans la semainesuivant la réception d’unecommande approuvée par leclient. Selon nos statistiques,plus de 90 % de noscommandes sont livrées dansles 48 heures; les autres sontlivrées dans la semaine.

• Les virements de fondseffectués les jours ouvrablesavant 17 h (heure normale duPacifique) sont enregistrés dansvotre compte le jour même.Tous les virements effectués lesjours ouvrables après 17 h(heure normale du Pacifique)ainsi que les samedis, lesdimanches et les jours de congébancaire sont enregistrés le jourouvrable suivant.

• Les ordres au cours du marchédonnés pendant les heuresd’ouverture des marchés sontnormalement exécutés etconfirmés en quelquessecondes. Notre moduled’identification du meilleurmarché détermine le marché surlequel seront placés les ordres àcours limité donnés pendant lesheures d’ouverture des marchés.Si le marché est fermé, votreordre est transmis à ce marchéavant l’ouverture du jour denégociation suivant.

• Notre site Web indique entemps réel où en est votre ordre.De plus, si vous nous avezdonné votre adresseélectronique, vous pouvez êtreinformé par courriel du momentoù votre ordre est exécuté. Vousrecevez également confirmation


Page 22





écrite de l’opération parcourrier.

• Votre ordre est traité avec lamême efficience que ceux desinstitutions, avec toutes lesressources d’exécution desopérations dont disposeCourtiers ABC inc.

• Vous pouvez donner un ordreen tout temps, sur notre siteWeb ou par le truchement denotre système téléphoniqueautomatisé. Si le marché estfermé au moment où vousdonnez votre ordre, celui-ci seratraité à l’ouverture du marché lejour de négociation suivant.

• Vous êtes informé dans les cinqjours ouvrables précédantl’expiration des ordres de vente.


Page 23





A2.2. le délai et le mode de notification duclient en cas de dérogations autraitement habituel des commandesou des demandes de services;

• Nous vous informerons parcourriel dans les 24 heures sinous ne pouvons remplir votrecommande comme convenu aumoment où vous la passez, etnous vous donnerons lapossibilité de l’annuler sansengagement de votre part;aucune facturation n’a lieuavant la livraison.

• Dans le cas improbable où nousne serions pas en mesure detraiter votre opération, nousvous en aviserons dans l’heurepar courriel ou par téléphone.

• Notre site Web indique où enest votre ordre. De plus, si vousnous avez donné votre adresseélectronique, vous pouvez êtreinformé par courriel du momentoù votre ordre est exécuté. Si,pour une raison quelconque,votre ordre ne peut être exécuté,un message d’erreur apparaîtra(État d’exécution = ERR), etvous en serez informéimmédiatement par courriel sivous nous avez donné votreadresse électronique.

A2.3. le mode habituel de livraison desbiens ou de prestation des services, ycompris les options offertes auclient, le cas échéant;

• Vous avez la possibilité detélécharger l’informationdemandée maintenant;autrement, nous vous la feronsparvenir sur CD-ROM par UPSdans les deux jours ou parFederal Express dans les 24heures.

• Pour entrer en communicationet effectuer des opérationsfinancières en ligne, il vous fautun outil de navigation capablede traiter des clés dechiffrement à 128 bits.

• Pour entrer en communicationet effectuer des opérationsfinancières en ligne, il vous fautun outil de navigation capablede traiter des clés dechiffrement à 128 bits.


Page 24





A2.4. les modalités de paiement, y comprisles options offertes au client, le caséchéant;

• La somme sera portée sur votrecompte de carte de crédit aumoment de la livraison, ouencore vous pouvez nous faireparvenir un chèque ou unmandat.

• Tous les paiements de facturesont prélevés du compte le jouroù le paiement est censé êtreenvoyé au bénéficiaire, que lepaiement soit faitélectroniquement ou parchèque.

• Pour ouvrir un compte chezCourtiers ABC inc., vous devezdéposer un capital minimum de500 $. Ce dépôt initial peut êtrefait par chèque personnel, aumoyen de titres, ou les deux.Pour tous les dépôtssubséquents de capital à votrecompte, vous pouvez procéderpar chèque, par virementélectronique de fonds de votrecompte bancaire, ou en faisanttransférer les actifs que vousdétenez chez un autre courtier.

A.2.5. les modalités de règlementélectronique et les frais connexesfacturés au client;

• La somme de 12,95 $ seraprélevée sur votre comptebancaire chaque mois à titre defrais de service.

• Votre compte seraimmédiatement débité de 30 $pour tout contre-ordre depaiement.

• Toutes les opérations suractions sont réglées trois joursaprès l’opération; les opérationssur options sont réglées lelendemain. Une commission de20 $ par opération est perçue,quel que soit le montant del’opération.


Page 25





A2.6. la façon dont le client peut mettre finà des frais périodiques, le caséchéant;

• Pour annuler les frais de servicemensuels, avisez-nous parcourriel à l’adresseAbonné@ABC.COM oucomposez le 1 800 555-1212.N’oubliez pas d’indiquer votrenuméro de compte.

• Nous vous facturerons des fraismensuels de 5 $ à compter dumoment où vous vous abonnezau service bancaire en ligne.Vous pouvez communiqueravec le Service à la clientèle entout temps pour mettre fin àvotre abonnement.

• Il n’y a pas de frais mensuels ourécurrents associés à votrecompte.

A2.7. la politique concernant les retourssur achats de produits et la limitationde la responsabilité, le cas échéant.

• La marchandise peut êtreretournée contre unremboursement intégral dans les30 jours suivant la livraison.Composez notre numéro sansfrais ou communiquez avecnous par courriel pour obtenirun numéro d’autorisation deretour, que vous devrez inscrireclairement sur le colis àretourner.

• Si la confidentialité de votremot de passe d’accès en ligneest compromise et que vousnous en avisez dans les deuxjours ouvrables qui suivent lemoment où vous avez constatéune perte ou un vol, vos pertessont limitées à 100 $ dansl’éventualité où quelqu’unaurait utilisé votre mot de passesans votre consentement. Sivous ne nous avisez pas dans lesdeux jours ouvrables suivant lemoment où vous avez constatéla perte ou le vol, vos pertesseront limitées à 1 000 $.

• Si vos relevés indiquent desretraits, des virements ou desachats que vous n’avez pasautorisés et que vous ne nous en

• La Securities InvestorsProtection Corporation (SIPC)protège actuellement les actifsdétenus dans chaque compte àhauteur de 500 000 $, dont unmaximum de 100 000 $ peutêtre détenu en espèces. Cetteprotection ne couvre pas lesfluctuations de la valeur demarché de vos placements.


Page 26





• Les opérations effectuées sur lesite sont conformes aux lois etaux pratiques commerciales duQuébec.

avisez pas dans les 60 jourssuivant la date d’envoi durelevé en ligne, vous ne pourrezrecouvrer les sommes perduesaprès le délai de 60 jours.

• Les opérations effectuées sur lesite sont conformes aux lois etaux pratiques commerciales duCanada, par exemple, celles duBureau du surintendant desinstitutions financières (BSIF)et celles de l’Associationcanadienne des paiements.

• Les opérations effectuées sur lesite sont conformes aux lois etaux pratiques commerciales duQuébec, par exemple, celles dela Commission des valeursmobilières du Québec.

A3 Soutien et service après-vente

L’entité indique (sur son site Webou dans les documents fournis avecle produit) où les clients peuventfaire valoir leur garantie et obtenirun service de réparation et unsoutien après-vente pour les biens etservices achetés par le truchementde son site Web.

• Il vous est possible de fairevaloir la garantie fournie etd’obtenir d’autres servicesaprès-vente auprès de l’un oul’autre de nos 249établissements dans le mondequi sont énumérés sur ce siteWeb. Une liste de cesétablissements est égalementfournie à la livraison de tousnos produits.

• Pour le service après-vente etdes renseignements

• Pour les questions de service etpour toute information, parexemple concernant vos droitset obligations ou la législationqui régit vos opérations,veuillez communiquer avecnous par courriel à[email protected] ouappeler notre Service à laclientèle au 1 800 666-8787.

• N’hésitez pas à communiqueren tout temps avec notre Serviceà la clientèle, par courriel, partéléphone ou par courrier, pourconnaître vos droits etobligations ainsi que lalégislation régissant vosopérations :

− pour communiquer avecCourtiers ABC inc. par courriel,envoyez vos messages auService à la clientèle, à[email protected]. Les


Page 27





supplémentaires, communiquezavec un de nos représentants duService à la clientèle encomposant le 1 800 555-1212entre 7 h et 20 h (heure normaledu Centre) ou écrivez-nous àl’adresse suivante :

Service à la clientèle Société ABC 1234, rue Quelconque Ville (Province) A1B 2C3 [email protected].

messages électroniques envoyéspendant les heures d’ouverturedes marchés font l’objet d’uneréponse rapide de nos employésdévoués du Service à laclientèle;

− pour communiquer avecCourtiers ABC inc. partéléphone, composez le1 800 555-1212 entre 7 h et20 h (heure normale du Centre).Vous pouvez aussi nous écrire àl’adresse suivante :

Service à la clientèleCourtiers ABC inc.1234, rue QuelconqueVille (province)A1B 2C3

A4 Communications avec la clientèle

L’entité donne aux clients lesinformations qui leur permettentd’effectuer des réclamations, deposer des questions ou de formulerdes plaintes, notamment :• l’adresse réelle complète (et non

une boîte postale ou une adresseélectronique);

• Si vous voulez effectuer uneréclamation, poser des questionsou formuler des plaintes au sujetde nos produits, vous pouvezcommuniquer avec un de nosreprésentants du Service à laclientèle en composant le 1 800

• En cas d’erreur ou si vous avezdes questions à poser ou desplaintes à formuler au sujet denos services, vous pouvezcommuniquer avec un de nosreprésentants du Service à laclientèle en composant le

• En cas d’erreur ou si vous avezdes questions à poser ou desplaintes à formuler au sujet denos services, vous pouvezcommuniquer avec un de nosreprésentants du Service à laclientèle en composant le


Page 28





• le numéro de téléphone (unnuméro où il est possible dejoindre un employé dans undélai raisonnable et non pas unsystème de boîte vocale ou unrépondeur);

• les jours et les heuresd’ouverture;

• si l’entité possède plusieursbureaux ou succursales, lesinformations ci-dessus doiventégalement être fournies pour lesiège social.

555-1212 entre 7 h et 20 h(heure normale du Centre) ounous écrire à l’adresse suivante :

Service à la clientèleSociété ABC1234, rue QuelconqueVille (Province)A1B [email protected].

• Si vous avez des questions ausujet de notre organisme, denotre énoncé de confidentialitéou de nos pratiques en vigueursur ce site, veuillez vousadresser à [email protected].

1 800 666-8787 entre 7 h et20 h (heure normale du Centre)ou nous écrire à l’adressesuivante :

Service à la clientèleBanque ABC1234, rue QuelconqueVille (Province)A1B 2C3

Vous devez nous aviser au plustard 60 jours après la date àlaquelle nous vous avonsenvoyé le premier relevé papierou électronique comportant leproblème ou l’erreur.Lorsque vous nous présentezune demande, veuillez avoirsous la main les informationssuivantes :− le nom, le numéro de

compte, la date del’opération, la descriptionde l’erreur ou del’opération à l’égard delaquelle vous avez desdoutes, et la raison pourlaquelle vous estimez qu’ils’agit d’une erreur, le

1 800 555-1212 entre 7 h et20 h (heure normale du Centre)ou nous écrire à l’adressesuivante :

Service à la clientèleCourtiers ABC inc.1234, rue QuelconqueVille (Province)A1B 2C3



Page 29





montant en dollars del’erreur soupçonnée;

− pour le paiement d’unefacture, le numéro ducompte chèques utilisé pouracquitter la facture, le nomdu bénéficiaire, la date àlaquelle le paiement a étéautorisé, le montant dupaiement, le numéro deréférence, ainsi que lenuméro de compte dubénéficiaire du paiement encause.


A4.1. L’entité indique le processus suivis’il s’avère nécessaire de recourir àun règlement de différends dispensépar un tiers. Les différends peuventtoucher n’importe quel aspect del’opération de commerce

• Les opérations effectuées sur cesite sont assujetties à unarbitrage obligatoire etsoumises à l’arbitrage duNational Arbitration Forum. Onpeut joindre cet organisme à

• Les opérations effectuées sur cesite sont assujetties à unarbitrage obligatoire assuré parnotre arbitre désigné (nom del’arbitre). On peut joindre cetarbitre à www.nom.org, ou en

• Les opérations effectuées sur cesite sont assujetties à unarbitrage obligatoire etsoumises à l’arbitrage duNational Arbitration Forum. Onpeut joindre cet organisme à


Page 30





électronique effectuée par le client,y compris les plaintes relatives à laqualité des produits et des services,à l’exactitude, à l’exhaustivité et à ladiffusion des renseignementspersonnels des clients, ainsi que lesconséquences découlant du défautde régler ces plaintes. Ce processusde résolution devrait comporter lescaractéristiques suivantes :• engagement de la direction à

faire appel à un service derèglement de différendsdispensé par un tiers désigné àcette fin, ou à d’autresprocessus imposés par desorganismes de réglementation,s’il s’avère que le client n’estpas satisfait du règlementproposé par l’entité à l’égard dela plainte, et engagement de cetiers à traiter les plaintes nonréglées;

• procédures à suivre pour réglerles plaintes, d’abord auprès del’entité puis, si nécessaire,auprès du tiers désigné;

• le recours ou autre mesure qui

www.arb-forum.org, ou encomposant sans frais le1 800 474-2371.

Pour en savoir davantage sur lesmodalités de l’arbitrage, cliquezici.

composant sans frais le1 800 111-2222.


• Les opérations effectuées sur cesite sont assujetties àl’ombudsman du secteurbancaire canadien del’association des banquiers, quel’on peut joindre àwww.ombudsmanban.org.xy ouen composant sans frais le1 800 xxx-xxxx.

www.arb-forum.org, ou encomposant sans frais le1 800 474-2371.



Page 31





sera pris en ce qui concerne lesrenseignements personnels, surlesquels porte la plainte,jusqu’au règlement satisfaisantde cette plainte

A5 Confidentialité de l’information

L’entité indique sur son site Web lespratiques qu’elle a adoptées enmatière de confidentialité del’information, notamment lessuivantes :

A5.1. Les types et les sources derenseignements recueillis etconservés; l’utilisation de cesrenseignements; et l’éventualité queces renseignements soient diffusés àun tiers.

• Nous aurons besoin de certainsrenseignements, tels que le nom,l’adresse électronique ou le nomd’utilisateur, l’adresse defacturation, le type d’ordinateuret le numéro de carte de crédit,afin de vous fournir nosservices. Nous utilisons votreadresse électronique pour vousenvoyer des informationsrelatives à notre entreprise.Votre numéro de carte de créditest utilisé pour la facturationrelative aux produits que vouscommandez.

• Nous obtenons des informationsauprès de Évaluation de créditTRW et nous nous servons desrenseignements personnels quevous nous fournissez, parexemple, votre numérod’assurance sociale et votresalaire, pour évaluer votresolvabilité lorsque nous traitonsvotre demande de prêthypothécaire.

• Il est également possible quenous utilisions cesrenseignements, de même quedes informations sur votre âge,

• Nous aurons besoin de certainsrenseignements, tels que le nom,l’adresse électronique ou le nomd’utilisateur, l’adresse defacturation, le numérod’assurance sociale, laprofession, la citoyenneté, ladate de naissance etl’expérience en matière deplacement.

• Il est également possible quenous utilisions cesrenseignements, de même quedes informations sur votre âge,votre niveau de revenu et votre


Page 32





• Il est également possible quenous utilisions cesrenseignements, de même quedes informations sur votre âge,votre niveau de revenu et votrecode postal en vue de vous faireconnaître d’autres produits etservices offerts par notreentreprise, et de vous faireparvenir des documentspromotionnels de certains denos partenaires, auxquels vouspourriez être intéressés. Votreâge, votre niveau de revenu etvotre code postal nous serventégalement à personnaliser selonvos préférences le contenu quivous est présenté.

• Nous ne transmettons pas lesrenseignements que vous nousavez fournis à des tiers, àl’exception de ceux qui sontdésignés par la loi.

votre niveau de revenu, et votrecode postal en vue de vous faireconnaître d’autres produits etservices offerts par notreinstitution, et de vous faireparvenir des documentspromotionnels de certains denos partenaires, auxquels vouspourriez être intéressés. Votreâge, votre niveau de revenu etvotre code postal nous serventégalement à personnaliser selonvos préférences le contenu quivous est présenté.

code postal en vue de vous faireconnaître d’autres produits etservices offerts par notreentreprise, et de vous faireparvenir des documentspromotionnels de certains denos partenaires, auxquels vouspourriez être intéressés. Votreâge, votre niveau de revenu etvotre code postal nous serventégalement à personnaliser selonvos préférences le contenu quivous est présenté.

A5.2. Les choix relatifs à la façon dont desrenseignements sur l’identité d’unclient recueillis électroniquementauprès de cette personne peuventêtre utilisés et/ou diffusés. Les

• Vous pouvez choisir de ne pasrecevoir d’informations et dedocuments promotionnels denotre part et/ou de la part de nospartenaires en nous en avisant




Page 33





personnes doivent avoir lapossibilité de refuser pareilleutilisation, soit en s’abstenant defournir ces renseignements, soit enrefusant leur diffusion à des tiers quine sont pas parties à l’opération.

sur l’écran d’inscription lorsquevous commandez le produit oule service.



A5.3. Les conséquences, s’il en est, durefus d’une personne de fournir desrenseignements ou de la décisiond’une personne de refuser uneutilisation particulière de cesrenseignements.

• Les renseignements que vousdevez fournir au minimum poureffectuer l’opération sont mis enévidence sur la page Web. Ilvous sera impossible de placerune commande si vous nefournissez pas cesrenseignements minimaux.

• Si vous ne fournissez pas lesrenseignements demandés etindiqués par un astérisque, ilvous sera impossible d’ouvrirun compte.

• Si vous ne fournissez pas lesrenseignements demandés etindiqués par un astérisque, ilvous sera impossible d’ouvrirun compte.

A5.4. La façon dont les renseignementsrecueillis sur l’identité d’un clientpeuvent être examinés et, au besoin,corrigés ou supprimés.

• Le site vous donne la possibilitéde corriger, de mettre à jour oude supprimer lesrenseignements qui vousconcernent, en envoyant à ceteffet un courriel à[email protected].

• Vous pouvez demander unecopie de votre dossier client enenvoyant à cet effet un courrielà [email protected]. Nousvous ferons alors parvenir unecopie de votre dossier par laposte. Il vous sera ensuitepossible d’apporter tous leschangements requis et defournir des preuves pourdocumenter les changements,

par exemple, une copie de votrecarte d’assurance sociale.

• Vous pouvez examiner votredossier client sur notre site Webpar le truchement d’une sessionsécurisée, et y modifier certainsrenseignements. Lesmodifications envisagéestouchant à certains autresrenseignements, comme la datede naissance et d’autresinformations nécessaires auxfins de la vérification de

l’identité, doivent être faites parécrit.


Page 34





A5.5. Si le site Web utilise des témoins, lafaçon dont ceux-ci sont utilisés et lesconséquences, s’il en est, du refusd’une personne d’accepter untémoin.

• Les témoins sont employés pourpersonnaliser le contenu du siteWeb et suggérer des élémentssusceptibles de vous intéresserd’après vos habitudes d’achatantérieures. Ce témoin peut êtrelu uniquement par nous. Si vousn’acceptez pas ce témoin, vousdevrez peut-être entrer ànouveau votre nom et votrenuméro de compte plusieursfois pendant votre séjour surnotre site Web. Lorsque vousacceptez un témoin, certainesinformations (informationsdéclarées) sont repérées puisutilisées à des fins demarketing. Nos témoins ont unedurée de vie de 30 jours.

• Les témoins sont employés pourpersonnaliser le contenu du siteWeb et suggérer des élémentssusceptibles de vous intéresserd’après vos opérationsantérieures. Ce témoin peut êtrelu uniquement par nous. Si vousn’acceptez pas ce témoin, vousdevrez peut-être entrer ànouveau votre nom et votrenuméro de compte plusieursfois pendant votre séjour surnotre site Web. Lorsque vousacceptez un témoin, certainesinformations (informationsdéclarées) sont repérées puisutilisées à des fins demarketing. Nos témoins ont unedurée de vie de 30 jours.

• Les témoins sont employés pourpersonnaliser le contenu du siteWeb et suggérer des élémentssusceptibles de vous intéresserd’après vos opérationsantérieures. Ce témoin peut êtrelu uniquement par nous. Si vousn’acceptez pas ce témoin, vousdevrez peut-être entrer ànouveau votre nom et votrenuméro de compte plusieursfois pendant votre séjour surnotre site Web. Lorsque vousacceptez un témoin, certainesinformations (informationsdéclarées) sont repérées puisutilisées à des fins demarketing. Nos témoins ont unedurée de vie de 30 jours.

A6. Surveillance

L’entité applique des procédures desurveillance qui procurent uneassurance raisonnable que :

• les pratiques commercialesmentionnées sur son siteWeb sont à jour;

• les rapports de non-

• La direction reçoitrégulièrement et passe en revuedes données (par exemple,fréquence des plaintes,fréquence des retours, sondagessur la clientèle, fréquence desremplacements et desréparations effectués au titre dela garantie, etc.) lui permettant

• La direction reçoitrégulièrement et passe en revuedes données (par exemple,rapports sur les opérationsrejetées, fréquence des plaintes,sondages sur la clientèle, etc.)lui permettant de contrôler laprésentation de ses pratiquescommerciales et l’intégrité des

• La direction reçoitrégulièrement et passe en revuedes données (par exemple,rapports sur les opérationsrejetées, fréquence des plaintes,sondages sur la clientèle, etc.)lui permettant de contrôler laprésentation de ses pratiquescommerciales et l’intégrité des


Page 35





conformité sont traitésrapidement et des mesurescorrectives sont prises.

de contrôler la présentation deses pratiques commerciales etl’intégrité des opérations.

opérations. opérations.


Page 36

B. Intégrité des opérations – L’entité a mis en place des contrôles de nature à procurer uneassurance raisonnable que les opérations conclues avec le client par voie du commerceélectronique sont traitées et facturées comme convenu.

Critères Exemples de contrôles —biens de consommation etservices non financiers

Exemples de contrôles –opérations bancaires enligne

Exemples de contrôles –commerce de valeurs en ligne

B1 Demandes de biens et/ou deservices L’entité a mis en place des contrôlesde nature à procurer une assuranceraisonnable que :

B1.1. l’exactitude et l’exhaustivité dechaque demande ou opération sontvérifiées;

• Les scripts Web comportent descontrôles d’erreur pour repérerles entrées non valides.

• L’exactitude et l’exhaustivité del’information fournie pourchaque commande sontvérifiées par le systèmeinformatique de l’entité avant letraitement de la commande.


• L’exactitude et l’exhaustivité del’information fournie pourchaque opération financièresont vérifiées par le systèmeinformatique de l’entité avant letraitement de l’opération.


• L’exactitude et l’exhaustivité del’information fournie pourchaque opération sont vérifiéespar le système informatique del’entité avant le traitement del’opération.

B1.2. une confirmation est obtenue duclient avant le traitement del’opération.

• Les renseignements fournis parle client pour les besoins de lacommande sont affichés àl’écran du client pour que celui-ci les vérifie. Le client acceptela commande en cliquant sur«oui» avant le traitement de lacommande.

• Toutes les opérationsfinancières sont affichées àl’écran du client pour que celui-ci les autorise, en cliquant sur«oui», avant le traitement del’opération.

• Toutes les opérations sontaffichées à l’écran du clientpour que celui-ci les autorise, encliquant sur «oui», avant letraitement de l’opération.

• Le client reçoit uneconfirmation par courriel et peutmodifier ou annuler lacommande avant qu’elle soitexécutée.


Page 37





B2 Traitement des demandes de bienset/ou de services L’entité a mis en place des contrôlesde nature à procurer une assuranceraisonnable que :

B2.1. les bons articles sont livrésconformément aux quantités et auxdélais convenus, ou les informationset les services sont fournis au clientcomme demandé;

• L’entité crée un bon delivraison à partir du bon decommande du client et vérifiede nouveau le contenu de lacommande au moment de sapréparation et de son emballage.

• L’entité a recours à des moyensde livraison commerciaux, quisont généralement fiables en cequi a trait au respect des délaisde livraison prévus.

• L’entité conserve les manifestesde sortie.

• Le système informatique del’entité est doté de contrôles(par exemple, contrôlesd’équilibre, contrôles derapprochement quotidien) pourassurer que les opérationssoumises sont traitées de façonintégrale, exacte et rapide.

• Nous vous indiquons, sur notresite Web, où en est votre ordre.Les clients saventimmédiatement si leur ordre aété traité correctement.

• Le système informatique del’entité est doté de contrôles(par exemple, suivi des ordres,contrôles d’équilibre, contrôlesde rapprochement quotidien)pour assurer que les ordresdonnés sont traités de façonintégrale, exacte et rapide.

• L’entité établit des délais deprestation de services et vérifiesi les services sont fournisconformément aux délaisétablis.

• L’entité utilise un questionnairede «retour d’information»permettant d’assurer un suivi dela satisfaction de la clientèle àl’égard de la prestation des


Page 38





services ou de lacommunication desinformations demandées.

B2.2. les problèmes relatifs aux opérationssont communiqués sans délai auclient.

• L’entité conserve un journalinformatisé des commandes ensouffrance conçu pour aviser lesclients de tout retard dans les 24heures. L’entité donne au clientla possibilité d’annuler unecommande en souffrance ou dese faire livrer un autre article.

• Le personnel de l’entité faitenquête sur toutes les opérationsrejetées et, dans le cas desproblèmes non résolus, faitremonter le dossier jusqu’audirecteur du Service à laclientèle. Les clients sont aviséspar courriel ou par téléphonedes problèmes possibles liés auxopérations en ligne.

• Le personnel de l’entité faitenquête sur toutes les opérationsrejetées et, dans le cas desproblèmes non résolus, faitremonter le dossier jusqu’audirecteur du Service à laclientèle. Les clients sont aviséspar courriel ou par téléphonedes problèmes possibles liés auxopérations en ligne.

B3 Traitement des factures et despaiements L’entité a mis en place des contrôlesde nature à procurer une assuranceraisonnable que :

B3.1. les prix de vente et tous les autrescoûts/frais sont affichés à l’intentiondu client avant que le traitement del’opération ne commence;

• Le client a la possibilitéd’imprimer une «confirmationde commande» en ligne, avantle traitement de la commande,afin de la comparer par la suiteavec le relevé de paiement(relevé de carte de crédit parexemple). Cette confirmationdonne tous les détails de lacommande (article(s)

• Tous les frais afférents auxservices financiers sont affichéssur le site Web, avecdescription des services encause et des options offertes auclient relativement aux frais.

• Pour chaque service financier,l’option relative aux fraiscomporte une descriptioncomplète des frais (frais de

• Tous les frais (fixes et suropérations) sont affichés sur lesite Web, avec description desservices en cause et des optionsoffertes au client relativementaux frais.


Page 39





commandé(s), prix de vente,coûts, taxes de vente, frais delivraison, etc.).

• Tous les coûts, y compris lestaxes et les frais de livraison,ainsi que la devise utilisée, sontaffichés à l’écran du client. Leclient accepte la commande encliquant sur «oui» avant letraitement de la commande.

transaction, frais mensuels,etc.), avec mention de toutelimite imposée au client quantau montant et au nombre desopérations.

• Tous les taux d’intérêt surdépôts et emprunts sont affichésà l’écran du client.

• Tous les taux de change sontaffichés à l’écran du client avantque ne soit effectuée uneopération en devises.

• Les détails de l’opération (parexemple, montant, numéros decompte, fournisseur à qui estpayée la facture, taux dechange, taux d’intérêt, frais detransaction) sont affichés avantque le client autorisel’opération. Le client autorisel’opération en cliquant sur«oui», avant le traitement del’opération.

B3.2. les opérations sont facturées etréglées par voie électronique commeconvenu;

• Les opérations de facturation etde règlement sont vérifiéesquotidiennement afin d’assurerque les politiques présentées surle site Web sont respectées.

• Le total des coûts ainsi que les

• Les virements de fondseffectués les jours ouvrablesavant 17 h (heure normale duPacifique) sont enregistrés dansvotre compte le jour même.Tous les virements effectués les

• Toutes les opérations sontréglées sur votre compte decaisse. Les ordres au cours dumarché donnés pendant lesheures d’ouverture des marchéssont normalement exécutés et


Page 40





dates prévues de livraison et defacturation sont affichés àl’écran du client avant qu’il neconfirme la commande.

jours ouvrables après 17 h(heure normale du Pacifique)ainsi que les samedis, lesdimanches et les jours de congébancaire sont enregistrés le jourouvrable suivant.

• Tous les paiements de facturesont prélevés du compte le jouroù le paiement est censé êtreenvoyé au bénéficiaire, que lepaiement soit faitélectroniquement ou parchèque.

• Des procédures standard sont enplace pour établir le processusde paiement des factures auxfournisseurs et la liste desfournisseurs autorisés.

confirmés en quelquessecondes. Notre moduled’identification du meilleurmarché détermine le marché surlequel seront placés les ordres àcours limité donnés pendant lesheures d’ouverture des marchés.Si le marché est fermé, votreordre est transmis à ce marchéavant le début du jour denégociation suivant.

B3.3. les erreurs de facturation ou derèglement sont corrigées rapidement.

• Les erreurs de facturation et derèglement font l’objet d’un suiviet sont corrigées dans les 24heures suivant le moment oùelles sont signalées par le client.

• Les erreurs d’enregistrementfont l’objet d’un suivi et sontcorrigées dans les 24 heuressuivant le moment où elles sontsignalées par le client.

• Les erreurs d’enregistrementfont l’objet d’un suivi et sontcorrigées dans les 24 heuressuivant le moment où elles sontsignalées par le client.

B4 Historique des opérations

L’entité a mis en place des contrôlesqui lui permettent d’effectuer unsuivi des opérations.

• L’entité tient un historique desopérations pour chaquecommande.

• Chaque commande est

• Le système informatique del’entité tient un historique desopérations pour chaque servicedemandé et l’opération

• Le système informatique del’entité tient un historique desopérations pour chaquetransaction demandée et


Page 41





identifiée par un numéro unique(identificateur) qui peut êtreutilisé pour retracer les donnéessur cette commande. Lesdonnées peuvent également êtreretracées au moyen du nom duclient et des dates decommande, d’expédition et defacturation.

• L’entité conserve ce numéro etles détails de la commande afinque les clients puissentcommuniquer avec elle au sujetde la commande pendant aumoins 90 jours à compter deson exécution.

• Les données historiques sur lacommande sont conservéespendant six mois à compter dela date de la livraison et lesreprésentants du service à laclientèle peuvent y avoir accèsimmédiatement. Au bout de sixmois, les données sontconservées sous une forme quipermet aux représentants duService à la clientèle d’y avoiraccès dans un délai de troisjours.

correspondante.• Lorsque l’opération est

terminée, le systèmeinformatique de l’entité délivreun identificateur unique (parexemple, un numéro deconfirmation) pour confirmer letraitement réussi de l’opération,et affiche le numéro sur l’écrandu client avec la date et l’heurede l’opération. Les donnéesrelatives à chacune desopérations peuvent êtreretracées au moyen du nom duclient ou de son numéro decompte, ou encore de la date del’opération.

• Toutes les opérations sontégalement enregistrées dans lerelevé du client, auquel cedernier a accès.

• L’entité conserve les donnéeshistoriques relatives auxopérations conclues par le clientau cours des deux dernièresannées pour effectuer desrecherches et répondre auxquestions du client.

l’opération correspondante. Leclient peut voir en lignel’historique des opérationseffectuées sur un an.

• Lorsque l’opération estterminée, le systèmeinformatique de l’entité délivreun identificateur unique (parexemple, un numéro deconfirmation) pour confirmer letraitement réussi de l’opération,et affiche le numéro sur l’écrandu client avec la date et l’heurede l’opération. Les donnéesrelatives à chacune desopérations peuvent êtreretracées au moyen du nom duclient ou de son numéro decompte, ou encore de la date del’opération.

• Nous envoyons par la poste unrelevé mensuel pour chaquemois au cours duquel desopérations ont été portées àvotre compte, et des relevéstrimestriels si votre compte estresté inactif.

• L’entité conserve les donnéeshistoriques relatives aux


Page 42





opérations conclues par le clientau cours des deux dernièresannées pour effectuer desrecherches et répondre auxquestions du client.

B5 Surveillance par l’entité del’intégrité de ses opérations L’entité applique des procédures desurveillance qui procurent uneassurance raisonnable que :• les contrôles sur l’intégrité des

opérations demeurent efficaces;• les rapports de non-conformité

sont traités rapidement et desmesures correctives sont prises.

• Les situations non conformessont corrigées dès qu’elles sontdécouvertes et les mesurescorrectives prises font l’objetd’une surveillance étroitependant 30 jours afin d’éviterque ces situations sereproduisent.




Page 43

C Protection de l’information – L’entité a mis en place des contrôles efficaces de nature àprocurer une assurance raisonnable que les renseignements personnels6 du client obtenus dans lecadre d’une opération de commerce électronique sont protégés contre toute utilisation étrangèreaux activités de l’entité.

Critères Exemples de contrôles –biens de consommation et servicesnon financiers

Exemples de contrôles –opérations bancaires en ligne


C1 Transmission des renseignementspersonnels du client L’entité a mis en place des contrôlespour protéger les transmissions derenseignements personnels du clientsur Internet contre toute utilisationpar des tiers.

• Les renseignements personnelsdu client sont protégés pendantla transmission grâce à unetechnique de chiffrement(protocole SSL – SecureSockets Layer). Le client a lapossibilité de composer lenuméro sans frais de l’entitépour donner son nom, sonadresse et son numéro de cartede crédit afin de protéger latransmission de cesinformations par Internet.

• L’entité a fait enregistrer sonnom de domaine et son adresseIP afin de protéger son identitéInternet. L’adresse est unique etdeux sociétés ne peuventpartager la même adresse.

• Le site Web de l’entité est dotéd’un certificat numérique quipeut être vérifié au moyen desfonctions offertes par un

• Les renseignements personnelsdu client sont protégés pendantla transmission grâce à unetechnique de chiffrement à 128bits (protocole SSL – SecureSockets Layer).


• Le site Web de l’entité est dotéd’un certificat numérique quipeut être vérifié au moyen desfonctions offertes par unnavigateur Web standard.

• Le Webmestre (administrateurdu site Web) de l’entité met lesite à jour; en outre, il vérifieles pages Web importantes etles soumet à des tests au moins

• Les renseignements personnelsdu client sont protégés pendantla transmission grâce à unetechnique de chiffrement à 128bits (protocole SSL – SecureSockets Layer).


• Le site Web de l’entité est dotéd’un certificat numérique quipeut être vérifié au moyen desfonctions offertes par unnavigateur Web standard.

• Le Webmestre (administrateurdu site Web) de l’entité met lesite à jour; en outre, il vérifieles pages Web importantes etles soumet à des tests au moins

6 Voir note 1.


Page 44





navigateur Web standard.• Le Webmestre (administrateur

du site Web) de l’entité met lesite à jour; en outre, il vérifieles pages Web importantes etles soumet à des tests au moinsune fois par jour afin des’assurer qu’aucune donnée niaucun lien non autorisés n’ontété ajoutés.

• L’entité fournit des indications(par exemple, en répondant auxquestions fréquemment poséesen matière de sécurité) sur sonsite Web, lesquelles décriventles responsabilités du clientrelativement à la transmissionen toute sécurité desrenseignements personnels duclient.

une fois par jour afin des’assurer qu’aucune donnée niaucun lien non autorisés n’ontété ajoutés.


une fois par jour afin des’assurer qu’aucune donnée niaucun lien non autorisés n’ontété ajoutés.


C2 Cueillette de renseignementsauprès des clients

• L’entité a mis en place descontrôles sur la cueillette desdonnées et applique despolitiques qui fournissent aux

• Si le client souhaite que lesrenseignements ne soient pasutilisés pour l’une ou plusieursdes fins mentionnées, il peut




Page 45





clients les éléments suivants :• la possibilité de décider si des

renseignements sur leur identitéobtenus auprès d’euxélectroniquement pourront êtreutilisés à des fins autres quel’exécution de l’opération encours (utilisation secondaireinterne ou utilisation par untiers externe7);

• la possibilité de refuser touteutilisation secondaire interne oud’utilisation par un tiers externedes renseignements en cause,sauf pour satisfaire lesdispositions des lois ou desorganismes de réglementation.

cliquer sur une case affichée àl’écran afin de refuser ladiffusion de ces renseignementsà des tiers.

cliquer sur une case affichée àl’écran afin de refuser ladiffusion de ces renseignementsà des tiers.

cliquer sur une case affichée àl’écran afin de refuser ladiffusion de ces renseignementsà des tiers. Si vous n’avez pasencore signifié votre refus queces renseignements soienttransmis à un fournisseur ou àune personne de l’externe, etque vous souhaitez être retirédes listes que nous vendons àces tiers, veuillez nous envoyerune demande à cet effet parcourriel à [email protected];vous pouvez également noustéléphoner ou écrire au Serviceà la clientèle.

C3 Protection et utilisation des

7 L’utilisation secondaire interne se dit d’un autre service offert par l’entité ne prenant pas part directement à l’opération conclue avec le client, par exemple unservice de cartes de crédit offert par un établissement offrant des services de prêt hypothécaire. Un tiers externe s’entend d’une entité non liée à l’entreprise quireçoit des informations de l’entreprise prenant part directement à l’opération conclue avec le client, par exemple, une organisation de publipostage qui achète deslistes d’envoi à des entreprises qui recherchent des acheteurs potentiels d’autres biens ou services.


Page 46





renseignements personnels duclient L’entité a mis en place des contrôlespour protéger contre les intrus lesrenseignements personnels du clientobtenus dans le cadre d’uneopération de commerce électroniqueet conservés dans le système del’entité.

C3.1. L’accès aux systèmes qui conserventdes renseignements personnels duclient obtenus dans le cadre d’uneopération de commerce électroniqueest protégé.

• L’entité utilise des pare-feucommerciaux reconnus. Elle lesmet à jour régulièrement et lesfait tester périodiquement afinde détecter les déficiencespossibles sur le plan de lasécurité.

• Tous les renseignementspersonnels du client sont traitéset stockés dans des serveursprotégés par des règles decontrôle d’accès visant àempêcher l’accès non autorisé.


• Il y a des contrôles d’édition surtous les écrans de saisie despages Web afin de désactiverles données non autorisées quipourraient déclencherl’exécution non autorisée dutraitement de programmes dusystème dans le serveur Web.

• Tous les renseignementspersonnels du client sont traitéset stockés dans des serveursprotégés par des règles de


• Tous les renseignementspersonnels du client sont traitéset stockés dans des serveursprotégés par des règles decontrôle d’accès visant àempêcher l’accès non autorisé.

• Il y a des contrôles d’édition surtous les écrans de saisie despages Web afin de désactiverles données non autorisées quipourraient déclencherl’exécution non autorisée du


Page 47





contrôle d’accès visant àempêcher l’accès non autorisé.

• La fonction de navigation dansles répertoires a été désactivéedans le serveur Web afind’empêcher des personnes del’extérieur de fureter dans uneliste de fichiers (surtout si aucunfichier index par défaut n’a étédéfini).

traitement de programmes dusystème dans le serveur Web.

C3.2. Les clients qui accèdent auxsystèmes par la page Web nepeuvent avoir accès auxrenseignements personnels desautres clients.

• Les accès aux systèmes del’entité depuis l’extérieur, saufdans le cas d’opérationscourantes de commerceélectronique par le truchementde la page Web (par Internet,par ligne commutée ou par unautre type de connexion), sontlimités au moyen de mots depasse à utilisation unique et/oude cartes à puce.

• Seul le client a accès à sescomptes, grâce à un certificatnumérique unique qui lui estassocié.

• Les sessions du client entre lenavigateur et les systèmes decommerce électronique sontprotégées afin d’éviter qued’autres utilisateurs s’en serventde façon frauduleuse (parexemple, utilisation decertificats numériques uniquesou de témoins qui repèrent lesidentificateurs uniquesaléatoires avant le début dechaque session).

• Les accès aux systèmes de

• Seul le client a accès à sescomptes, grâce à un coded’identification unique del’utilisateur et un mot de passesecret.

• Les sessions du client entre lenavigateur et les systèmes decommerce électronique sontprotégées afin d’éviter qued’autres utilisateurs s’en serventde façon frauduleuse (parexemple, utilisation decertificats numériques uniquesou de témoins qui repèrent lesidentificateurs uniquesaléatoires avant le début dechaque session).


Page 48





l’entité depuis l’extérieur, saufdans le cas d’opérationscourantes de commerceélectronique par le truchementde la page Web (par Internet,par ligne commutée ou par unautre type de connexion), sontlimités au moyen de systèmesd’authentification faisant appelà des mots de passe à utilisationunique.

• Les accès aux systèmes del’entité depuis l’extérieur, saufdans le cas d’opérationscourantes de commerceélectronique par le truchementde la page Web (par Internet,par ligne commutée ou par unautre type de connexion), sontlimités au moyen de systèmesd’authentification faisant appelà des mots de passe à utilisationunique.

C3.3. Les renseignements personnels duclient obtenus dans le cadre d’uneopération de commerce électroniquene sont pas délibérément révélés àdes personnes étrangères auxactivités de l’entité à moins 1) que leclient n’en ait été clairement informéavant de fournir ces renseignementsou 2) que la permission du client aitété obtenue après que celui-ci afourni ces renseignements.

• Une politique interdit aupersonnel de l’entité dedivulguer des renseignementspersonnels du client à des tierssans le consentement exprès duclient ou dans les cas prévus parla loi.



C3.4. Les renseignements personnels duclient obtenus dans le cadre d’uneopération de commerce électroniquene sont utilisés par les employés quepour les besoins des activités de

• Tous les renseignementspersonnels du client ne peuventêtre consultés que par lespersonnes autorisées au sein del’entité et sont protégés au




Page 49





l’entité. moyen de systèmesd’authentification efficaceset/ou d’une technique dechiffrement.

• L’entité a mis en place despolitiques et des procédures desurveillance pour assurer queseuls certains employés ontaccès aux renseignementspersonnels du client. Cespolitiques précisent égalementde quelles façons lesrenseignements personnels duclient peuvent ou ne peuventpas être utilisés. L’applicationdes politiques est renduepossible au moyen du documentprécisant les conditionsd’emploi.

moyen de systèmesd’authentification efficaceset/ou d’une technique dechiffrement.


moyen de systèmesd’authentification efficaceset/ou d’une technique dechiffrement.


C4 Exactitude et exhaustivité desrenseignementsL’entité a mis en place des contrôlesde nature à assurer que lesrenseignements sur l’identité duclient recueillis, créés ou conservésdans ses systèmes sont exacts etcomplets aux fins de leur utilisationprévue.

• L’entité accepte uniquement lesdonnées qui proviennent devous ou d’autres sourcesfiables, et utilise des méthodesde cueillette fiables.

• Avant l’exécution del’opération, le système demandeau client de vérifier les données






Page 50





personnelles qu’il a entrées. Leclient a la possibilité de corrigerces données avant d’effectuerl’opération.



C5 Responsabilité de l’entité àl’égard des renseignementstransmis à des tiers

L’entité a mis en place des contrôleset des procédures en vue dedéterminer les politiques en matièrede protection de l’information et deconfidentialité appliquées par lestiers fournisseurs de servicesauxquels les renseignements sonttransmis dans le cadre d’une entented’impartition.

• Si l’entité donne en impartitionson soutien ou service techniqueà un fournisseur externe, auquelelle transfère des données, elleobtiendra une assurance relativeaux contrôles appliqués par cefournisseur.

• Si l’entité donne en impartitionson soutien ou service techniqueà des tiers, elle obtiendra uneassurance relative aux contrôlesappliqués par ces tiers.

• Si l’entité donne en impartitionla fonction d’informations surles cours boursiers de son siteWeb à un fournisseur, elle seprocurera les politiques dufournisseur en matière deprotection de l’information et deconfidentialité des donnéespartagées.

C6 Protection des ordinateurs et desfichiers du client L’entité a mis en place des contrôlesvisant à empêcher tout accès nonautorisé, de sa part, aux ordinateursdu client et la modification nonautorisée des fichiers informatiquesdu client.

C6.1. Elle obtient la permission du clientavant de stocker, de modifier ou de

• L’entité demande la permissiondu client avant de stocker, de




Page 51





copier des données dans l’ordinateurdu client, ou le client est avisé et a lapossibilité d’empêcher de tellesactivités.

modifier ou de copierdélibérément des données (parexemple des témoins et autresfichiers similaires) dansl’ordinateur du client.

• L’entité demande la permissiondu client avant d’effectuer untest de diagnostic surl’ordinateur du client.





C6.2. Elle empêche la transmission decodes informatiques malveillants àl’ordinateur du client.

• L’entité met en place un logicielantivirus dans ses systèmes, metà jour les signatures de virus aumoins une fois par mois etprend des précautionsraisonnables pour protéger à lafois ses systèmes et l’ordinateurdu client contre lacontamination par virus pendantla session de commerceélectronique.

• L’entité met en application desnormes de programmation etmet ses logiciels à l’épreuvepour s’assurer que les pagesWeb qui utilisent destechnologies à contenu actif(par exemple des applets Java,ActiveX, JavaScripts) ne sontpas susceptibles de défaillance






Page 52





sur le plan de la sécurité. sur le plan de la sécurité. sur le plan de la sécurité. C7 Surveillance

L’entité a mis en place desprocédures de surveillance quiprocurent une assurance raisonnableque :

C7.1. les contrôles sur la protection desrenseignements demeurent efficaces;

• La direction reçoit et passe enrevue les données permettant desurveiller les contrôles deprotection de l’information (parexemple, toute tentative decourt-circuiter des contrôles desécurité, les infractions à lasécurité, les mises à jour dupare-feu et des antivirus, lesrapports sur les contaminationspar virus, les numéros desversions des logiciels desécurité et de chiffrement enplace et les numéros desversions les plus récentes deslogiciels offerts par lefournisseur, ainsi que lesmesures prises pour corriger lespoints faibles du système desécurité).



C7.2. les rapports de non-conformité sont • Les situations non conformes • Les situations non conformes • Les situations non conformes


Page 53





traités rapidement et des mesurescorrectives sont prises.

sont corrigées dès qu’elles sontdécouvertes et les mesurescorrectives prises font l’objetd’une surveillance étroitependant 30 jours afin d’éviterque ces situations sereproduisent.




Page 54

ANNEXE A – EXEMPLES DE RAPPORTS DE PRATICIENS

La présente annexe fournit deux exemples de rapports pour les missions WebTrust. L’exemple 1est préparé conformément aux normes d’attestation de l’AICPA. L’exemple 2 est préparéconformément aux normes de certification de l’ICCA.

Les missions d’attestation et d’appréciation directe ainsi que les rapports qui s’y rattachent sontvalides au Canada. La communication du praticien varie selon que la mission de certification estune mission d’attestation ou une mission d’appréciation directe. Dans une mission d’attestation,la conclusion du praticien porte sur une assertion écrite préparée par le rendant compte.L’assertion évalue, à l’aide de critères adéquats, les éléments dont la responsabilité incombe aurendant compte. Dans une mission d’appréciation directe, la conclusion du praticien évaluedirectement, à l’aide de critères adéquats, les éléments dont la responsabilité incombe au rendantcompte.

Conformément aux Attestation Standards des États-Unis, le premier paragraphe du rapport dupraticien énonce que le praticien a exécuté une vérification de l’assertion de la direction portantsur la conformité avec les critères WebTrust 2.0. Le praticien peut exprimer une opinion soit1) sur l’assertion de la direction, soit 2) directement sur les éléments considérés. L’exemple 1illustre un rapport dans lequel le praticien exprime une opinion directement sur les élémentsconsidérés.


Page 55

Exemple no 1 pour utilisation aux États-UnisRapport du Certified Public Accountant indépendant

À la direction de la Société ABC inc.

Nous avons vérifié l’assertion [lien hypertexte avec l’assertion de la direction] de la direction de laSociété ABC inc. (ABC) relativement à la transparence de ses pratiques en matière de commerceélectronique dans son site Web et à l’efficacité de ses contrôles sur l’intégrité des opérations et laprotection de l’information dans le cadre des opérations de commerce électronique (à WWW.ABC.COM) au regard des critères WebTrust de l’ICCA et de l’AICPA [lien hypertexte], pour la période duJOUR MOIS 1999 au JOUR MOIS 2000.

La responsabilité des informations et contrôles à l’égard du commerce électronique incombe à ladirection de ABC. Notre responsabilité consiste à exprimer une opinion sur les assertions de la directionen nous fondant sur notre vérification.

Notre vérification a été effectuée conformément aux normes d’attestation établies par l’AmericanInstitute of Certified Public Accountants et, en conséquence, a comporté 1) une prise de connaissance despratiques de ABC en matière de commerce électronique et de ses contrôles sur le traitement desopérations de commerce électronique et sur la protection des renseignements personnels fournis par lesclients, 2) un contrôle par sondages des opérations effectuées en conformité avec les pratiquescommerciales indiquées, 3) des tests et l’évaluation de l’efficacité du fonctionnement des contrôles et 4)la mise en œuvre des autres procédés que nous avons jugés nécessaires dans les circonstances. Nousestimons que notre vérification fonde raisonnablement notre opinion.

Compte tenu des limites intrinsèques des contrôles, il est possible que des erreurs ou des fraudes seproduisent sans être détectées. En outre, la projection de conclusions, sur la base de nos constatations, surdes périodes futures comporte le risque que 1) des changements apportés au système ou aux contrôles, 2)des changements apportés aux exigences relatives au traitement, 3) des changements requis en raison dupassage du temps, par exemple pour que les systèmes puissent reconnaître les dates en l’an 2000, ou 4) lamesure dans laquelle les politiques ou les procédures sont respectées, puissent compromettre la validitéde telles conclusions.

À notre avis, au cours de la période du JOUR MOIS 1999 au JOUR MOIS 2000, la Société ABC, à tousles égards importants :

•• a indiqué ses pratiques en matière de commerce et de confidentialité de l’information relatives aucommerce électronique et a effectué ses opérations conformément à ces pratiques,

•• a mis en place des contrôles efficaces de nature à procurer une assurance raisonnable que lesopérations conclues avec les clients par la voie du commerce électronique ont été traitées et facturéescomme convenu,

•• a mis en place des contrôles efficaces de nature à procurer une assurance raisonnable que lesrenseignements personnels des clients obtenus dans le cadre des opérations de commerceélectronique ont été protégés contre toute utilisation étrangère aux activités de ABC,

en conformité avec les critères WebTrust de l’ICCA et de l’AICPA.

Le sceau de certification CPA WebTrust affiché dans le site Web de commerce électronique de ABCconstitue une représentation symbolique du contenu du présent rapport et il n’a pas pour objet, ni ne doitêtre interprété comme ayant pour objet, de mettre à jour ce rapport ou de fournir une quelconqueassurance additionnelle.


Page 56

Le présent rapport ne concerne d’aucune manière la qualité des biens ou services de la Société ABC, nileur pertinence par rapport aux besoins du consommateur.

[nom du cabinet de CA]

Comptables agréés

[Ville (Province)]

[date du rapport]

Version anglaise

Illustration No. 1 for Use in the United States

Independent Certified Public Accountant's Report To The Management of ABC Company, Inc.:

We have examined the assertion [hot link to management’s assertion] by the management of ABCCompany, Inc. (ABC) regarding the disclosure of its e-commerce business and information privacypractices on its Web site and the effectiveness of its controls over transaction integrity and informationprotection for e-commerce (at WWW.ABC.COM) based on the AICPA/CICA WebTrust Criteria [hotlink], during the period Xxxx xx, 1999 through Yyyy yy, 2000. These e-commerce disclosures and controls are the responsibility of ABC Company’s management. Ourresponsibility is to express an opinion based on our examination.

Our examination was conducted in accordance with attestation standards established by the AmericanInstitute of Certified Public Accountants and, accordingly, included (1) obtaining an understanding ofABC Company’s e-commerce business and information privacy practices and its controls over theprocessing of e-commerce transactions and the protection of related private customer information, (2)selectively testing transactions executed in accordance with disclosed business and information privacypractices, (3) testing and evaluating the operating effectiveness of the controls, and (4) performing suchother procedures as we considered necessary in the circumstances. We believe that our examinationprovides a reasonable basis for our opinion.

Because of inherent limitations in controls, error or fraud may occur and not be detected. Furthermore,the projection of any conclusions, based on our findings, to future periods is subject to the risk that (1)changes made to the system or controls, (2) changes in processing requirements, or (3) changes requiredbecause of the passage of time, such as to accommodate dates in the year 2000, or (4) degree ofcompliance with the policies or procedures may alter the validity of such conclusions.

In our opinion, during the period Xxxx xx, 1999 through Yyyy yy, 2000, ABC Company, in all materialrespects—

• Disclosed its business and information privacy practices for e-commerce transactions andexecuted transactions in accordance with its disclosed practices

• Maintained effective controls to provide reasonable assurance that customers’ orders placedusing e-commerce were completed and billed as agreed

• Maintained effective controls to provide reasonable assurance that private customer informationobtained as a result of e-commerce was protected from uses not related to ABC’s business


Page 57

based on the AICPA/CICA WebTrust Criteria.

The CPA WebTrust Seal of assurance on ABC’s Web site for e-commerce constitutes a symbolicrepresentation of the contents of this report and it is not intended, nor should it be construed, to updatethis report or provide any additional assurance.

This report does not include any representation as to the quality of ABC’s goods or services nor theirsuitability for any customer’s intended purpose. [Name of CPA firm]

Certified Public Accountants

[City, State]

[Date]


Page 58

Exemple no 2 pour utilisation au CanadaRapport du vérificateur

À la direction de la Société ABC inc.

Nous avons vérifié les informations fournies par la Société ABC relativement à ses pratiques en matièrede commerce et de confidentialité de l’information relatives au commerce électronique dans son site Webet à l’efficacité de ses contrôles sur l’intégrité des opérations et la protection de l’information dans lecadre de ses opérations de commerce électronique (à WWW.ABC.COM) pour la période allant du JOUR

MOIS 1999 au JOUR MOIS 2000. La responsabilité de ces informations et de contrôles relatifs aucommerce électronique incombe à la direction de la Société ABC. Notre responsabilité consiste àexprimer une opinion sur la conformité de ces informations et de ces contrôles avec les critères WebTrustde l’ICCA et de l’AICPA [lien hypertexte], en nous fondant sur notre vérification.

Notre vérification a été effectuée conformément aux normes relatives aux missions de certification,établies par l’Institut Canadien des Comptables Agréés (ICCA). Ces normes exigent que la vérificationsoit planifiée et exécutée de manière à obtenir un niveau d’assurance raisonnable pour fonder notreopinion. Notre vérification a comporté 1) une prise de connaissance des pratiques de la Société ABC enmatière de commerce et de confidentialité de l’information relatives au commerce électronique et de sescontrôles sur le traitement des opérations de commerce électronique et sur la protection desrenseignements personnels fournis par les clients, 2) un contrôle par sondages des opérations effectuéesen conformité avec les pratiques commerciales indiquées, 3) des tests et l’évaluation de l’efficacité dufonctionnement des contrôles et 4) la mise en œuvre des autres procédés que nous avons jugésnécessaires dans les circonstances. Nous estimons que notre vérification sert de fondement raisonnable ànotre opinion.

À notre avis, au cours de la période allant du JOUR MOIS 1999 au JOUR MOIS 2000, la Société ABC, à tousles égards importants :

• a indiqué ses pratiques en matière de commerce et de confidentialité de l’information relatives aucommerce électronique et a effectué ses opérations conformément à ces pratiques,

• a mis en place des contrôles efficaces de nature à procurer une assurance raisonnable que lesopérations conclues avec les clients par la voie du commerce électronique ont été traitées et facturéescomme convenu,

• a mis en place des contrôles efficaces de nature à procurer une assurance raisonnable que lesrenseignements personnels des clients obtenus dans le cadre des opérations de commerce électroniqueont été protégés contre toute utilisation étrangère aux activités de la Société ABC,

en conformité avec les critères WebTrust de l’ICCA et de l’AICPA.

Compte tenu des limites intrinsèques des contrôles, il est possible que des erreurs ou des fraudes seproduisent sans être détectées. En outre, la projection de conclusions, sur la base de nos constatations, surdes périodes futures comporte le risque que 1) des changements apportés au système ou aux contrôles,2) des changements apportés aux exigences relatives au traitement, 3) des changements requis en raisondu passage du temps, par exemple pour que les systèmes puissent reconnaître les dates en l’an 2000, ou4) la mesure dans laquelle les politiques ou les procédures sont respectées puissent compromettre lavalidité de telles conclusions.

Le sceau de certification CA WebTrust affiché dans le site Web de commerce électronique de la SociétéABC constitue une représentation symbolique du contenu du présent rapport et il n’a pas pour objet, et ne


Page 59

doit pas être interprété comme ayant pour objet, de mettre à jour ce rapport ou de fournir une quelconqueassurance additionnelle.

Le présent rapport ne concerne d’aucune manière la qualité des biens ou services de la Société ABC, nileur pertinence par rapport aux besoins du consommateur.

[nom du cabinet de CA] [Ville (Province)]

Comptables agréés [date du rapport]

Version anglaise

Illustration No. 2 for Use in Canada

Auditor’s Report To The Management of ABC Company, Inc.: We have audited ABC Company’s disclosure of its e-commerce business and information privacypractices on its Web site and the effectiveness of its controls over transaction integrity and informationprotection for e-commerce (at WWW.ABC.COM) during the period Xxxx xx, 1999 through Yyyy yy, 2000.These e-commerce disclosures and controls are the responsibility of ABC Company’s management. Ourresponsibility is to express an opinion on the conformity of those disclosures and controls with theAICPA/CICA WebTrust Criteria [hot link] based on our audit. We conducted our audit in accordance with standards for assurance engagements established by theCanadian Institute of Chartered Accountants (CICA). Those standards require that we plan and performour audit to obtain reasonable assurance as a basis for our opinion. Our audit included (1) obtaining anunderstanding of ABC Company’s e-commerce business and information privacy practices and itscontrols over the processing of e-commerce transactions and the protection of related private customerinformation, (2) selectively testing transactions executed in accordance with disclosed business andinformation privacy practices, (3) testing and evaluating the operating effectiveness of the controls, and(4) performing such other procedures as we considered necessary in the circumstances. We believe thatour audit provides a reasonable basis for our opinion. In our opinion, during the period Xxxx xx, 2000 through Yyyy yy, 2000, ABC Company, in all materialrespects—

• Disclosed its business and information privacy practices for e-commerce transactions andexecuted transactions in accordance with its disclosed practices

• Maintained effective controls to provide reasonable assurance that customers’ orders placedusing e-commerce were completed and billed as agreed

• Maintained effective controls to provide reasonable assurance that private customer informationobtained as a result of e-commerce was protected from uses not related to ABC Company’sbusiness

in accordance with the AICPA/CICA WebTrust Criteria.


Page 60

Because of inherent limitations in controls, errors or fraud may occur and not be detected. Furthermore,the projection of any conclusions, based on our findings, to future periods is subject to the risk that (1)changes made to the system or controls, (2) changes in processing requirements, or (3) changes requiredbecause of the passage of time, such as to accommodate dates in the year 2000, or (4) degree ofcompliance with the policies or procedures may alter the validity of such conclusions. The CA WebTrust Seal of assurance on ABC’s Web site for e-commerce constitutes a symbolicrepresentation of the contents of this report and it is not intended, nor should it be construed, to updatethis report or provide any additional assurance. This report does not include any representation as to the quality of ABC’s goods or services nor theirsuitability for any customer’s intended purpose.

[Name of CA firm] [City, Province]

Chartered Accountants [date of report]


Page 61

ANNEXE B – QUESTIONNAIRE D’AUTO-ÉVALUATIONWEBTRUST SM/MD (VERSION 2.0)

Le présent questionnaire s’adresse aux fournisseurs de services de commerce électronique quisont appelés à documenter les informations fournies relativement à leurs pratiques en matière decommerce électronique et aux contrôles connexes, et à documenter l’assertion ou la déclarationd’une entité selon laquelle «sur son site Web au www.____.________, entre le _____________1999 et le _____________ 2000, l’entité :

• a indiqué ses pratiques en matière de commerce et de confidentialité de l’informationrelatives au commerce électronique et a effectué ses opérations conformément à cespratiques,

• a mis en place des contrôles efficaces de nature à procurer une assurance raisonnable que lesopérations conclues avec le client par la voie du commerce électronique sur le Web ont étéexécutées et facturées comme convenu,

• a mis en place des contrôles efficaces de nature à procurer une assurance raisonnable que lesrenseignements personnels du client obtenus dans le cadre d’une opération de commerceélectronique sont protégés contre toute utilisation étrangère aux activités de l’entité,

en conformité avec les critères WebTrust SM/MD établis conjointement par l’ICCA et l’AICPA».

Nom de l’entité Adresse de l’établissement Adresse Web Emplacement du serveur Période couverte : Du Au Date de préparation Préparé par


Page 62

I. RENSEIGNEMENTS GÉNÉRAUX

A. Activités de commerce électronique visées

1. Décrivez les activités de commerce électronique de l’entité que vousaffirmez/déclarez conformes aux principes et critères WebTrust.

a) Quels sont les biens/services vendus/fournis?

b) Quel est le client type?

c) Quel est le mode de paiement type?

2. Quelle est l’adresse Web (URL)?

3. Qui est responsable du contrôle de ces activités et quel est son lienhiérarchique avec la direction de l’entité?

4. Depuis combien de temps l’entité vend-elle de tels biens et services enutilisant cette forme de commerce électronique?

5. Si les activités de commerce électronique ont fait l’objet de changements aucours des 90 derniers jours, décrivez la nature de ces changements et précisezla date à laquelle chacun a été apporté.

B. Systèmes informatiques utilisés pour les activités de commerce électronique

1. Système d’interface du site Web ou autre système d’interface avec les clients

a) Description.

b) Personne responsable dans l’entité.

c) Décrivez toute partie de ces systèmes qui fait l’objet d’une impartition àdes tiers.

d) Décrivez la fréquence et la nature des changements apportés au site Webet aux systèmes d’interface avec les clients.

2. Systèmes de télécommunications et de réseaux

a) Description.



Page 63


d) Décrivez la fréquence et la nature des changements apportés aux systèmesde télécommunications et de réseaux.

3. Autres systèmes et technologie de soutien

a) Description.



d) Décrivez la fréquence et la nature des changements apportés à cessystèmes et à cette technologie.

C. Technologie du serveur Web

1. Indiquez la ou les plates-formes de serveurs de commerce électroniqueutilisées (description et version).

2. Combien de serveurs de commerce électronique sont utilisés au site principal?À un autre site ou à un site de secours?

3. Le protocole SSL est-il utilisé pour une partie ou la totalité des opérationsconclues sur Internet? Dans l’affirmative, décrivez les types d’opérations pourlesquelles le protocole SSL est utilisé et le type de certificat numérique deserveur employé.

4. Identifiez le personnel technique (ou, si le site est hébergé par un fournisseurde services Internet, le personnel de ce fournisseur) capable d’effectuer lestâches techniques suivantes :

a) Générer une demande de certificat (Certificate Signing Request, ou CSR) àl’aide du logiciel du serveur Web?

b) Installer un certificat numérique (également appelé identificationnumérique) sur le logiciel du serveur Web?

c) Sécuriser certaines pages sur votre serveur Web à l’aide du protocole SSL(Secure Sockets Layer)?

d) Installer un applet Java sur la page Web appropriée?


Page 64

5. Identifiez le progiciel de serveur Web utilisé.

Si le site est exploité sur Netscape 2.0 et plus, Microsoft IIS 2.0 et plus, C2NetApache Stronghold, Oracle Server, O’Reilly, WebSite Pro 2.0 et plus,Primehost 2.033 et plus, Advanced Business Link Server, JavaSoft Server,Open Market Server 2.1 et plus, l’utilisation du service WebTrust ne devraitposer aucun problème. Si un autre progiciel de serveur Web est utilisé, il fautcommuniquer avec VeriSign pour vérifier sa compatibilité. On peut obtenir unlogiciel d’essai WebTrust complet en s’adressant directement à VeriSign.Identifiez la version de Netscape que votre clientèle est le plus susceptibled’utiliser. Les utilisateurs de Netscape 4.05 verront s’afficher un message lesavisant que l’autorité conférée pour la signature du certificat est expirée, etdemandant à l’utilisateur s’il souhaite continuer l’opération. Si l’utilisateuraccepte, la séance se déroule comme à l’habitude. Il s’agit d’un problèmegénéral qui touche presque tous les sites commerciaux utilisant des certificatsnumériques VeriSign, pas seulement les sites WebTrust.

D. Environnement de contrôle

1. Décrivez les facteurs organisationnels de l’entité qui contribuent au maintiend’un environnement de contrôle adéquat généralement propice à lacommunication d’informations fiables concernant ses pratiques commercialessur son site Web et à l’application de contrôles efficaces sur l’intégrité desopérations de commerce électronique et la protection des renseignementspersonnels du client. Voici des exemples de tels facteurs :

a) Ton donné par la haute direction, qui prêche par l’exemple.

b) Embauche, formation et rétention d’un personnel compétent.

c) Accent mis sur l’importance de pratiques commerciales saines etd’un contrôle efficace ainsi que sur les responsabilités y afférentes.

d) Supervision des activités commerciales et des procédures decontrôle.

e) Utilisation d’une fonction vérification interne appropriée qui vérifiepériodiquement les éléments rattachés aux activités de commerceélectronique.

f) Autres facteurs.


Page 65

II. PRATIQUES EN MATIÈRE DE COMMERCE ET DECONFIDENTIALITÉ DE L’INFORMATION

Principe – L’entité indique ses pratiques en matière de commerce et de confidentialité del’information relatives au commerce électronique et effectue ses opérations conformément àces pratiques.

A. Description des pratiques commerciales

1. Décrivez les pratiques commerciales de l’entité et la manière dont cespratiques sont présentées aux clients pour chacun des éléments suivants :

a) Information descriptive sur la nature des biens qui seront livrés oudes services qui seront fournis, notamment les éléments suivants :

1) état des biens (c.-à-d. s’ils sont neufs, d’occasion ou remis àneuf);

2) description des services (ou du contrat de service);

3) sources des informations (c.-à-d. comment elles ont été obtenueset comment elles sont établies);

4) autres informations descriptives pertinentes.

b) Modalités des opérations de commerce électronique :

1) délai d’exécution des opérations (le terme «opération» serapporte à l’exécution des commandes dans le cas de la vente debiens et à la prestation d’un service lorsqu’un service est fourni);

2) délai et mode de notification du client en cas de dérogations autraitement habituel des commandes ou des demandes de services(p. ex. commandes en souffrance ou autres situationsinhabituelles) et options offertes au client;

3) mode habituel de livraison des biens et de prestation des services,y compris les options offertes au client, le cas échéant;

4) modalités de paiement, y compris les options offertes au client, lecas échéant;

5) modalités de règlement électronique et frais connexes facturés auclient;

6) façon dont le client peut mettre fin à des frais périodiques, le caséchéant;

7) politique concernant les retours sur achats de produits etlimitation de la responsabilité, le cas échéant;

8) autres modalités pertinentes, le cas échéant.


Page 66

c) Où les clients peuvent faire valoir leur garantie et obtenir un service et unsoutien après-vente pour les biens et services achetés par le truchement deson site Web.

d) Informations permettant aux clients d’effectuer des réclamations, de poserdes questions ou de formuler des plaintes, notamment les informationssuivantes :

1) adresse réelle complète (et non une boîte postale ou une adresseélectronique);

2) numéro de téléphone (un numéro où il est possible de joindre unemployé dans un délai raisonnablement rapide et non pas unsystème de boîte vocale ou un répondeur);

3) jours et heures d’ouverture;

4) dans le cas où il existe plusieurs bureaux ou succursales, lesinformations ci-dessus pour le siège social;

5) autres renseignements pertinents pour les clients.

e) L’entité indique sur son site Web les pratiques qu’elle a adoptées enmatière de confidentialité de l’information. Ces pratiques sont notammentles suivantes :

1) les types et les sources de renseignements recueillis et conservés;

2) l’utilisation de ces renseignements;

3) l’éventualité d’une diffusion de ces renseignements à des tiers;

4) les choix relatifs à la façon dont des renseignements sur l’identitédu client obtenus électroniquement auprès de ce client peuventêtre utilisés ou diffusés;

5) les conséquences, s’il en est, du refus d’une personne de fournirdes renseignements;

6) la façon dont les renseignements erronés ou incomplets surl’identité du client peuvent être examinés et, au besoin, corrigésou suprimés;

7) la façon de régler les plaintes relatives à l’exactitude, àl’exhaustivité ou à la diffusion de renseignements personnelsfournis par le client, et les conséquences découlant du défaut deles régler;

8) les coordonnées de tout organisme gouvernemental qui reçoit lesplaintes des consommateurs en matière de confidentialité del’information.


Page 67

f) L’entité décrit son processus de règlement des plaintes, qui devraitcomporter au moins les caractéristiques suivantes :

1) engagement de la direction à faire appel à un service derèglement de différends, dispensé par un tiers désigné à cette fin,s’il s’avère que le client n’est pas satisfait du règlement proposépar l’entité à l’égard de sa plainte;

2) engagement de ce tiers à traiter les plaintes non réglées;

3) procédures à suivre pour régler les plaintes, d’abord auprès del’entité;

4) le recours ou autre mesure qui sera pris en ce qui concerne lesrenseignements personnels sur lesquels porte la plainte, jusqu’aurèglement satisfaisant de cette plainte.

g) Si le site Web utilise des témoins, indiquer la façon dont ceux-ci sontutilisés et les conséquences, s’il en est, du refus d’une personne d’accepterun témoin.

2. Indiquez qui est responsable du contrôle de ces activités.

3. L’entité a-t-elle changé ses pratiques commerciales ou les informations yafférentes au cours des 90 derniers jours? Dans l’affirmative, décrivez lanature de ces changements et précisez la date à laquelle chaque changement aété apporté.

B. Lois ou exigences locales, nationales ou autres touchant les modalités ducommerce (p. ex. lois sur la protection du consommateur) :

1. Décrivez les politiques et procédures de l’entité qui sont de nature à procurerune assurance raisonnable que l’entité se conforme à ces lois et exigences.

2. Lorsque cela est obligatoire en vertu de ces lois et exigences, décrivezcomment les informations appropriées sont fournies aux clients.

C. Décrivez le processus adopté par l’entité pour faire le suivi des réclamationset des plaintes des clients et pour déterminer quels types de réclamations etde plaintes ne sont pas traités de manière satisfaisante.

D. Décrivez les processus adoptés par la direction pour surveiller la fiabilitécontinue des informations fournies au sujet des pratiques commerciales del’entité afin de procurer une assurance raisonnable que :


Page 68

1. Les opérations de commerce électronique que l’entité exécute sont conformesà ses pratiques commerciales indiquées.

2. Les informations sur les pratiques commerciales de l’entité qui sont présentéessur son site Web demeurent à jour et continuent de répondre aux critèresWebTrust.

3. Les cas de non-conformité sont traités rapidement et des mesures correctivessont prises.

E. Décrivez de quelle manière les informations précédentes sont présentées surle site Web

III. CONTRÔLES SUR L’INTÉGRITÉ DES OPÉRATIONS

Principe – L’entité a mis en place des contrôles efficaces de nature à procurer uneassurance raisonnable que les opérations conclues avec le client par la voie ducommerce électronique sont traitées et facturées comme convenu.

A. Description des mesures prises pour assurer l’intégrité des opérations decommerce électronique

1. Décrivez les contrôles mis en place par l’entité pour assurer l’intégrité desopérations de commerce électronique :

a) La manière dont l’entité procure une assurance raisonnable que :

1) l’exactitude et l’exhaustivité de chaque demande ou opérationsont vérifiées;

2) une confirmation est obtenue du client avant le traitement del’opération.

b) La manière dont l’entité procure une assurance raisonnable que :

1) les bons articles sont livrés conformément aux quantités et auxdélais convenus;

2) les informations ou les services sont fournis au client commedemandé;

3) les problèmes relatifs aux opérations (p. ex. commandes ensouffrance et autres problèmes) sont communiqués sans délai auclient.

c) La manière dont l’entité procure une assurance raisonnable que :


Page 69

1) les prix de vente et tous les autres coûts/frais sont affichés àl’intention du client avant le traitement de l’opération;

2) les opérations sont facturées et réglées par voie électroniquecomme convenu;

3) les erreurs de facturation ou de règlement sont corrigéesrapidement.

d) La manière dont l’entité a mis en place des contrôles qui lui permettent defaire le suivi des opérations.

2. Indiquez qui est responsable du contrôle de ces activités.

3. L’entité a-t-elle changé ses contrôles sur l’intégrité des opérations au cours des90 derniers jours? Si les contrôles sur l’intégrité des opérations ont changé,décrivez la nature de ces changements et précisez la date à laquelle chaquechangement a été apporté.

B. Décrivez les processus adoptés par la direction pour surveiller l’efficacitécontinue de ses contrôles sur l’intégrité des opérations afin de procurer uneassurance raisonnable que :

1. Ses contrôles sur l’intégrité des opérations demeurent efficaces.

a) Ses contrôles sur l’intégrité des opérations continuent de répondreaux critères WebTrust.

b) Les cas de non-conformité sont traités rapidement et des mesurescorrectives sont prises.

IV. CONTRÔLES SUR LA PROTECTION DE L’INFORMATION

Principe — L’entité a mis en place des contrôles efficaces de nature à procurer uneassurance raisonnable que les renseignements personnels du client obtenus dans lecadre d’une opération de commerce électronique sont protégés contre toute utilisationétrangère aux activités de l’entité.

Dans ce contexte, les renseignements personnels du client comprennent lesrenseignements sur l’identité du client ou sur sa famille (nom, adresse, numéro detéléphone, numéro d’assurance sociale ou tout autre numéro d’identification établi par legouvernement, informations sur l’employeur, numéros de carte de crédit, etc.), lesrenseignements de nature financière concernant le client ou sa famille, les renseignementsde nature médicale concernant le client ou sa famille, l’expérience professionnelle


Page 70

antérieure, la liste des achats ou de toute autre opération effectuée par le client, le dossierde crédit et autres renseignements de nature similaire.

A. Description des contrôles sur la cueillette des données

1. Décrivez les politiques et les contrôles qui permettent aux clients de décider siles renseignements sur leur identité qu’ils ont fournis électroniquementpeuvent être utilisés à des fins autres que l’exécution de l’opération en cours(utilisation secondaire interne ou utilisation par un tiers externe).

2. Décrivez les contrôles permettant aux clients de soustraire les renseignementsqui les concernent à toute utilisation secondaire interne ou à toute utilisationpar un tiers externe, sauf lorsque cette utilisation est requise par la loi ou parun organisme de réglementation.

B. Description des mesures prises pour assurer la protection des renseignementspersonnels du client

1. Décrivez les contrôles mis en place par l’entité pour protéger les transmissionsde renseignements personnels du client sur Internet contre toute utilisation pardes tiers.

2. Décrivez les contrôles mis en place par l’entité pour protéger contre les intrusles renseignements personnels du client obtenus dans le cadre d’une opérationde commerce électronique et conservés dans son système :

a) Manière dont est protégé contre les intrus l’accès aux systèmes danslesquels sont conservés des renseignements personnels du client obtenusdans le cadre d’une opération de commerce électronique.

b) Manière dont l’entité s’assure que les clients qui accèdent aux systèmespar la page Web ne peuvent avoir accès aux renseignements personnelsdes autres clients (c.-à-d. qu’ils peuvent seulement demander desrenseignements, effectuer des opérations et obtenir des informations surleurs propres opérations).

c) Manière dont les renseignements personnels du client obtenus dans lecadre d’une opération de commerce électronique sont protégés contre toutedivulgation délibérée à des personnes étrangères à l’entité, sauf dans l’unou l’autre des cas suivants :

1) le client a été clairement informé avant de fournir cesrenseignements qu’ils pourraient être divulgués;


Page 71

2) la permission de divulguer les renseignements du client a étéobtenue après que celui-ci a fourni ces renseignements.

d) Manière dont l’entité s’assure que les renseignements personnels du clientobtenus dans le cadre d’une opération de commerce électronique ne sontutilisés par les employés que pour les besoins des activités de l’entité.

3. Décrivez les contrôles mis en place par l’entité pour empêcher tout accès nonautorisé, de sa part, aux ordinateurs du client et la modification non autoriséedes fichiers informatiques du client :

a) Manière dont l’entité s’assure qu’elle obtient la permission du client avantde stocker, de modifier ou de copier des données dans l’ordinateur duclient (y compris l’utilisation de témoins enregistrés dans le systèmeinformatique du client), ou que le client est avisé et a la possibilitéd’empêcher de telles activités.

b) Manière dont l’entité s’assure qu’aucun code informatique malveillant(des virus, par exemple) n’est transmis à l’ordinateur du client.

4. Qui est responsable du contrôle de ces activités?

5. L’entité a-t-elle changé ses contrôles sur la protection de l’information aucours des 90 derniers jours? Dans l’affirmative, décrivez la nature de ceschangements et précisez la date à laquelle chaque changement a été apporté.

6. Décrivez les contrôles que l’entité a mis en place pour assurer que lesrenseignements sur l’identité du client recueillis, créés ou conservés dans sessystèmes sont exacts et complets aux fins de leur utilisation prévue.

7. Décrivez les contrôles que l’entité a mis en place en vue de déterminer lespolitiques en matière d’intégrité et de sécurité appliquées par les tiersfournisseurs de services auxquels les renseignements sont transmis dans lecadre d’une entente d’impartition (s’il en est).

C. Décrivez les processus suivis par la direction pour surveiller l’efficacitécontinue de ses contrôles sur la protection de l’information afin de procurerune assurance raisonnable que :

1. Ses contrôles sur la protection de l’information demeurent efficaces.

2. Ses contrôles sur la protection de l’information continuent de répondre auxcritères WebTrust.


Page 72

3. Les cas de non-conformité sont traités rapidement et des mesures correctivessont prises.

V. GESTION DES CHANGEMENTS ET NOTIFICATION DESCHANGEMENTS AU CA OU AU CPA

A. Description du processus de gestion des changements

1. Décrivez les contrôles de l’entité sur les changements apportés à ses pratiquesen matière de commerce électronique, à ses contrôles sur l’intégrité desopérations, à ses contrôles sur la protection de l’information, ainsi qu’à sessystèmes de commerce électronique et au soutien technologique, qui sontconçus de manière à procurer une assurance raisonnable que :

a) tous ces changements sont approuvés par la direction;

b) les changements apportés aux pratiques commerciales sont reflétés dansles informations fournies au sujet de ces pratiques;

c) les changements dans la manière dont les opérations de commerceélectronique sont exécutées sont reflétés dans les informations fournies ausujet des pratiques commerciales;

d) les informations modifiées au sujet des pratiques commerciales demeurentconformes aux critères WebTrust;

e) les contrôles sur l’intégrité des opérations et la protection de l’informationdemeurent efficaces et conformes aux critères WebTrust.

B. Description du processus à suivre pour notifier le CA ou le CPA deschangements

1. Décrivez les politiques et les procédures suivies par l’entité pour notifier àl’avance le CA ou le CPA des changements apportés à :

a) ses activités de commerce électronique;

b) ses systèmes de commerce électronique et son soutien technologique;

c) ses pratiques commerciales et les informations fournies à leur sujet;

d) ses contrôles sur l’intégrité des opérations;

e) ses contrôles sur la protection de l’information;


Page 73

f) ses procédures de surveillance à l’égard de ce qui précède;

g) son environnement de contrôle.

2. Qui est chargé de notifier le CA ou le CPA de ces changements?

3. L’entité a-t-elle changé les contrôles, procédures ou responsabilités visant àassurer que le CA ou le CPA est notifié de tous les changements pertinentsapportés au cours des trois derniers mois? Dans l’affirmative, décrivez ceschangements et précisez la date à laquelle chacun d’eux a été apporté.

VI. AUTRES QUESTIONS

A. Décrivez ci-dessous toutes les autres questions qui seraient pertinentes pourle CA ou le CPA aux fins de son évaluation de la conformité du site Web auxcritères WebTrust. Citons à titre d’exemples :

1. Les changements significatifs apportés aux activités ou à la structureorganisationnelle de l’entité.

2. Les problèmes significatifs que pose la satisfaction de la demande de sesproduits et services, ou de ses engagements vis-à-vis de ses clients, ou encorele maintien de son niveau historique de satisfaction de la clientèle (commepourrait l’indiquer un nombre inhabituel de plaintes de la part des clients).

3. Des problèmes significatifs de traitement ou de contrôle concernant lessystèmes de commerce électronique ou l’infrastructure de soutien de l’entité.

4. Les cas de fraude et de contournement des contrôles sur l’intégrité et lasécurité des opérations, ainsi que sur la protection de l’information mettant encause :

a) des employés assumant des responsabilités en matière de commerceélectronique;

b) des entrepreneurs et d’autres personnes qui fournissent des services àl’entité relativement à ses activités de commerce électronique;

c) des tiers non autorisés;

d) les systèmes et l’infrastructure de soutien utilisés pour exécuter lesopérations de commerce électronique.

5. Les changements significatifs touchant la direction et les autres membres clésdu personnel ayant des responsabilités en matière de commerce électronique.


Page 74

6. Les modifications significatives apportées aux exigences légales ouréglementaires touchant les activités de l’entité ou le fonctionnement de sonsite Web.

7. Autres renseignements pertinents.


Page 75

ANNEXE C – PROCESSUS D’ARBITRAGE OFFERT AUCONSOMMATEUR

La présente annexe s’applique aux missions qui font appel à un programme d’arbitrage.Lorsqu’un programme d’arbitrage imposé par un organisme de réglementation est en vigueur, ceprogramme doit être observé par les entités et déclaré sur leur site. Cette annexe fournit desinformations supplémentaires sur le processus d’arbitrage. Elle décrit le processus qui permet desatisfaire les critères WebTrust. Les addenda à cette annexe fournissent des commentairessupplémentaires concernant les pays où les services WebTrust sont offerts.

Le processus d’arbitrage – ContexteAvant qu’il soit possible d’amorcer le processus d’arbitrage, les deux parties doivent donner leuraccord à son égard. Cet accord peut revêtir de nombreuses formes autres qu’un contrat écrit. Il estessentiel que les deux parties manifestent leur accord au moyen d’un acte raisonnable et positifquelconque. Le site Web peut demander à l’utilisateur de donner son accord au moyen d’un acteprécis, par exemple en cochant une case à cet effet, et il peut proposer des limites aux typesd’actes qui constituent une acceptation. Par exemple, les consommateurs pourraient lire sur unsite Web le message suivant, qui constituerait l’acceptation d’un accord :

EN ACCÉDANT À CE SITE WEB OU EN COMMANDANT DES PRODUITS DÉCRITSSUR CE SITE, VOUS ACCEPTEZ DE VOUS SOUMETTRE À CERTAINES MODALITÉS.NOUS VOUS INVITONS À LIRE ATTENTIVEMENT LESDITES MODALITÉS.

Les modalités décriraient le processus d’arbitrage, les voies de recours offertes auxconsommateurs ainsi que d’autres questions qui concernent tant le consommateur que le siteWeb.

Le service WebTrust a adopté les 12 principes indiqués ci-dessous, sur lesquels est fondé leprocessus d’arbitrage. Ces principes ont été mis au point par le National Arbitration Forum(NAF). Le NAF, organisme établi aux États-Unis, a élaboré un processus d’arbitrage dontl’utilisation est largement répandue. Il s’agit du modèle qui a été adopté pour le serviceWebTrust, peu importe que le NAF, ou un organisme qui lui est affilié, soit chargé de gérer leprocessus d’arbitrage, ou qu’une autre organisation soit choisie à cette fin.

Selon le modèle adopté aux fins du service WebTrust, l’arbitrage doit être fondé sur les règles dedroit, appliquées de façon uniforme. Les 12 principes du processus d’arbitrage sont les suivants :

1. PROCESSUS FONDAMENTALEMENT ÉQUITABLE – Toutes les parties à unprocessus d’arbitrage ont droit à un traitement fondamentalement équitable.

2. ACCÈS À L’INFORMATION – L’information sur l’arbitrage doit pouvoir êtreobtenue de façon raisonnable avant que les parties ne s’engagent dans le cadre d’uncontrat d’arbitrage.


Page 76

3. ARBITRES COMPÉTENTS ET IMPARTIAUX – Les arbitres doivent être à lafois compétents et neutres.

4. ADMINISTRATION INDÉPENDANTE – L’arbitrage doit être administré parquelqu’un d’autre que l’arbitre et les parties en cause.

5. CONTRATS DE RÈGLEMENT DE LITIGES – Un accord d’arbitrage constitue uncontrat, et doit être conforme aux principes juridiques des contrats.

6. COÛT RAISONNABLE – Le coût d’un arbitrage doit être proportionnel à laréclamation.

7. DÉLAIS RAISONNABLES – Un litige doit être réglé dans des délais raisonnables.

8. DROIT DE SE FAIRE REPRÉSENTER – Si elles le souhaitent, toutes les partiesont le droit d’être représentées lors d’un arbitrage, par exemple par un avocat ou unautre représentant.

9. RÈGLEMENT ET MÉDIATION – Il est préférable que les parties puissent réglerpar leurs propres moyens le litige qui les oppose.

10. AUDIENCES – Les audiences doivent être pratiques, efficaces et équitables pourtous.

11. COMMUNICATION ADÉQUATE DES DOCUMENTS – Les parties doiventpouvoir obtenir l’information dont elles ont besoin pour présenter leur cause demanière adéquate à l’arbitre.

12. SENTENCES ET INDEMNITÉS – Les indemnités déterminées au terme duprocessus d’arbitrage doivent être conformes à la loi.


Page 77

Addenda 1 – États-UnisAperçu du processus d’arbitrage du National Arbitration ForumAux États-Unis, le National Arbitration Forum a établi un processus efficace d’arbitrage et demédiation. Bien que les clients des services WebTrust ne soient pas tenus de choisir le NAF àtitre de tiers fournisseur de services d’arbitrage, l’organisme retenu à cette fin doit observer lesprincipes indiqués à l’Annexe C, et il est également suggéré qu’il applique le code de procéduredu NAF8.

La présente section fournit des renseignements supplémentaires sur le processus d’arbitrageappliqué par le National Arbitration Forum (NAF).

Le NAF propose une méthode simple et économique de déposer une plainte. Les plaintes peuventêtre déposées électroniquement, par téléphone ou par la poste. Dans chaque cas, les plaintes fontl’objet d’un suivi et d’une surveillance. Voici un aperçu du processus d’arbitrage :

• L’une des parties amorce le processus d’arbitrage en déposant auprès du directeur, dans l’undes bureaux du NAF ou par voie électronique, une copie remplie en bonne et due forme dudossier de demande initial décrit dans la règle no 12 du Code of Procedure, et acquitte le droit dedépôt prescrit (p. 44 à 47 du Code of Procedure). Ce «code de procédure» doit également êtreappliqué équitablement sans causer de préjudice à aucune des parties impliquées dans un litige.• Le NAF examine les documents, ouvre un dossier à des fins administratives, attribue unnuméro de dossier, et informe l’auteur de la demande.• L’auteur de la demande notifie alors le défendeur conformément à la règle no 6 du Code ofProcedure.• Le défendeur peut déposer sa défense, comme il est expliqué à la règle no 13 du Code ofProcedure.• Le dépôt d’une défense ne comporte aucun droit exigible, à moins qu’une demandereconventionnelle ne soit jointe à la défense.• S’il n’y a pas de défense, on procède à l’arbitrage conformément à la règle no 36 du Code ofProcedure.• L’une ou l’autre des parties peut demander une audience par documents ou une audiencedirecte, et acquitte les droits afférents précisés dans le barème des droits.• Le NAF fixe une audience d’arbitrage une fois l’arbitre déterminé.• L’arbitre tient l’audience et rend une sentence dans les plus brefs délais.

8 Pour obtenir un exemplaire complet du Code of Procedure du NAF, consultez le site Web de l'organisme(www.arb-forum.com), ou téléchargez le document à partir du site Web de l'AICPA (www.aicpa.org/webtrust/index.htm).


Page 78

Questions courantes :

1. Q : Comment procéder pour déposer une plainte?R : Les plaintes peuvent être déposées électroniquement, par téléphone ou par la poste.

2. Q : Combien cela coûte-t-il?R : Il en coûte 49 $ pour les réclamations inférieures à 1 000 $. Pour les réclamations

établies entre 1 000 $ et 15 000 $, il peut en coûter entre 49 $ et 150 $.

3. Q : Quelle est la durée du processus?R : De façon générale, la plupart des litiges sont réglés dans une période comprise entre

45 et 60 jours.

4. Q : Si je ne suis pas satisfait de la décision, puis-je encore recourir aux tribunaux?R : Vous avez toujours le droit de recourir aux tribunaux.

5. Q : Qui assume les frais relatifs aux audiences d’arbitrage?R : C’est la partie perdante qui les assume.

6. Q : Ma cause sera-t-elle confidentielle?R : Oui, les audiences d’arbitrage sont entièrement confidentielles.

7. Q : Qui prend la décision?R : Un juriste neutre et impartial qui rendra sa décision en s’appuyant uniquement sur le

droit.

8. Q : La sentence est-elle soumise à une limite?R : Les arbitres peuvent accorder toutes les indemnités permises par la loi jusqu’à

concurrence du montant de la réclamation.

9. Q : Si, une fois la décision rendue, la partie adverse refuse de s’y conformer, que puis-jefaire?

R : Vous pouvez présenter la décision d’arbitrage en cour environ 10 jours plus tard, et lacour prononcera un jugement à partir de la décision. La décision sera alors exécutoire.

10. Q : Si je dois me présenter en cour, à quel endroit l’audience sera-t-elle tenue?R : La clause d’arbitrage de l’entreprise indiquera où aura lieu l’audience (les parties

s’entendent souvent sur l’endroit). Aux États-Unis, les tribunaux ne peuvent pasobliger le consommateur à voyager. Pour ce qui est des entreprises, les règlesd’arbitrage du service WebTrust prévoient que l’arbitrage aura lieu où le défendeurexerce ses activités. Si un consommateur et une entreprise sont impliqués dans unlitige, l’audience aura généralement lieu où le consommateur réside.


Page 79

11. Q : Puis-je me faire représenter par un avocat lors d’une audience d’arbitrage?R : Oui, un avocat ou une autre personne qualifiée à ce titre peut vous représenter lors

d’une audience d’arbitrage.

12. Q : Pourquoi le NAF a-t-il été choisi?R : On a choisi le NAF pour son expertise en traitement des plaintes des consommateurs,

ainsi que pour sa capacité de traiter électroniquement les réclamations à un coûtraisonnable.

13. Q : Notre site est déjà doté de voies de recours pour les consommateurs et d’un processusd’arbitrage; devons-nous changer d’organisme d’arbitrage?

R : Non; toutefois, pour assurer une application uniforme des «Principes et critèresWebTrust», l’organisme d’arbitrage doit utiliser les principes d’arbitrage élaboréspour le service WebTrust.

14. Q : Mon entreprise est déjà dotée d’un processus de règlement des différends relativementà la politique de confidentialité de l’information en vigueur sur notre site. Devons-nous mettre en place des processus supplémentaires pour assurer la conformité auxprincipes WebTrust?

R : Oui. Si le processus en vigueur dans votre entreprise ne s’applique qu’à votrepolitique de confidentialité de l’information, vous devrez mettre en place unprocessus qui portera sur tous les aspects des opérations effectuées sur votre site.Vous pouvez faire appel à votre arbitre actuel ou recourir à un autre organismed’arbitrage mais, dans tous les cas, l’arbitre doit appliquer les 12 principes d’arbitrageélaborés expressément pour le service WebTrust.

15. Q : Où puis-je obtenir des informations supplémentaires sur le NAF et son code deprocédure?

R : Vous pouvez télécharger le code de procédure du NAF à partir du site Web del’AICPA, ou consulter le site du NAF pour obtenir de plus amples informations(www.arb-forum.com).


Page 80

Addenda 2 – Canada

Au Canada, un commerçant électronique n’est pas obligé de choisir le NAF ou son affiliécanadien (dont le nom reste à confirmer) à titre de tiers arbitre aux fins du service WebTrust. Letiers arbitre retenu doit néanmoins consentir à observer les 12 principes indiqués à l’Annexe C.Pour évaluer si un organisme d’arbitrage choisi peut respecter ces principes, le client devraitconsulter le code de procédure du NAF pour comprendre parfaitement l’esprit des principes.

Documents

AICPA-ICCA Principes et critères WebTrust SM/MDgestion-informatique.fr/webtrust/WebTrust_B_to_C_v2_0.pdf · 2003. 10. 15. · Principes et critères WebTrust ©1999 AICPA-ICCA Version