Cybersécurité et pratique des avocats

31/05/2023 - 6 min. de lecture

Cybersécurité et pratique des avocats - Cercle K2

Le Cercle K2 n'entend donner ni approbation ni improbation aux opinions émises dans les publications (écrites et vidéos) qui restent propres à leur auteur.

Emilie Musso est Docteure en droit-cybersécurité.

---

Une thèse réalisée au plus près de la pratique. – La cybersécurité et la pratique des avocats est un sujet qui soulève tant de questions que j'y ai consacré une thèse de droit. Sur la forme, il s’agit d’un travail qui a été réalisé en immersion dans la pratique. Le sujet ne pouvait pas être traité uniquement en bibliothèque. Il a en effet été nécessaire d’échanger avec les praticiens du droit et de l’informatique, afin d’identifier la manière dont la profession d’avocat a numérisé sa pratique, et les difficultés que ce processus présente en termes de cybersécurité. Chaque partie de la thèse est introduite par un cas d’usage qui permet de placer les développements dans un contexte pratique, pour démontrer la manière dont les règles de droit s’appliquent aux situations rencontrées par les avocats. 

L’insuffisance de la réflexion sur la cybersécurité lors de la numérisation de la profession d’avocat. – La thèse part du constat selon lequel profession d’avocat a dû numériser sa pratique afin de répondre aux pressions extérieures. Elle y a fortement été incitée par ses clients, mais aussi par de nombreux articles de presse en ligne, des dizaines de rapports, et quelques ouvrages. L’idée selon laquelle les avocats seraient concurrencés par les legaltechs s’ils ne numérisaient pas leur exercice n’a fait qu’amplifier ce mouvement.

Ce faisant et dans cet empressement, une attention trop faible a été portée à la cybersécurité. En témoigne le fait que les défis identifiés dans le processus de numérisation sont rarement ceux liés à la sécurité des données traitées par les avocats. On préfère par exemple pointer du doigt la déshumanisation de la relation avec les clients. Mais ce genre de risque est un moindre mal en comparaison avec les risques causés par l’absence de réflexion sur le sujet de la cybersécurité. Ce défaut se traduit par la présence de deux séries de vulnérabilités qui sont techniques et juridiques. 

Vulnérabilités techniques. – L’avocat exerce dorénavant dans un environnement non plus seulement physique, mais également numérique. Ainsi, il n’évolue pas uniquement dans son cabinet ou au tribunal. Il exerce aussi dans un espace virtuel, dont l’accès lui est permis par les outils numériques qu’il déploie dans sa pratique. Or, si ce mode de fonctionnement facilite l’exercice de la profession, il la fragilise également, car les données sont éparpillées : elles sont désormais accessibles à un grand nombre de personnes étrangères au cabinet, et exposées aux actes de cyberdélinquance. 

À titre d’illustration, ce défaut de cybersécurité touche les grands cabinets d’avocats à l’instar du cabinet DLA PIPPER qui, en 2017, fut une des nombreuses victimes du rançongiciel WannaCry qui engendra de graves conséquences économiques, comme le paiement de 15 000 heures supplémentaires aux informaticiens du cabinet [1]. Les cabinets français sont également affectés : en a témoigné l’attaque vécue par le conseil de certaines parties civiles de l’attentat de Charlie Hebdo, au cours de laquelle 21 370 fichiers ont été dérobés [2].

Ce genre d’attaques prospère grâce aux vulnérabilités techniques présentes dans des outils numériques que les avocats utilisent, ou encore à la suite d’une erreur humaine lorsque, par exemple, un membre du cabinet est victime d’une tentative de phishing. C’est pourquoi les avocats doivent se former, et choisir des outils professionnels qui garantissent un niveau de sécurité adapté aux professions soumises au secret. 

Vulnérabilités juridiques. – La perte d’étanchéité des données traitées par les avocats n’est pas nécessairement liée à des actes de cyberdélinquance. Elle peut aussi être la conséquence d’une absence d’analyse des contrats qui encadrent l’utilisation du numérique. Un exemple éloquent est le cas dans lequel un avocat utilise des outils destinés au grand public et en particulier ceux proposés par Google, comme la messagerie Gmail. Ces outils sont soumis à l’acceptation des conditions générales d’utilisation, dont la lecture est édifiante. L’utilisateur qui recourt à ces solution accorde à cette société le droit, entre autres, d’analyser le contenu qu’il crée au moyen de ces outils. Les CGU disposent que cette analyse porte notamment sur le contenu des emails. Lorsque le rédacteur est un professionnel soumis au secret, une telle ingérence est de toute évidence inenvisageable.

Conséquences juridiques. – Qu’elle soit le fruit d’une insécurité numérique ou contractuelle, la violation de données causée par une utilisation d’outils non sécurisés engendre plusieurs conséquences. Outre la dégradation de l’image du cabinet, c’est la responsabilité des avocats qui est en cause. Cette responsabilité prend diverses colorations juridiques. La perte de confidentialité peut d’abord provoquer l’engagement de la responsabilité pénale de celui tenu au secret, car le code pénal sanctionne la violation du secret professionnel [3], mais également l’insuffisante protection des données personnelles [4]. De manière plus notoire, la violation des données personnelles est soumise aux sanctions prévues par le RGPD. La déontologie exige également des avocats qu’ils préservent scrupuleusement les informations qui leur sont confiées par leurs clients [5]. Enfin, un avocat qui ne met pas en place les mesures permettant de protéger les informations qui concernent son client peut voir sa responsabilité civile engagée par ce dernier. 

Véritable affaiblissement du secret professionnel. – Au-delà de ces questions de responsabilité, un constat plus général doit être dressé : le secret professionnel de l’avocat est aujourd’hui plus que jamais affaibli. On s’en est souvent ému par le passé, lorsque le secret fut l’objet d’atteintes causées par divers projets de loi. L’ardeur de cet attachement des avocats à leur secret augure une sécurisation de leur pratique numérique. C’est pourquoi prendre conscience que la numérisation de la profession d’avocat est susceptible de porter atteinte à leur secret est une opportunité. Ils pourront alors sécuriser leur pratique par le recours à deux séries de solutions. Celles-ci sont, de nouveau, techniques et juridiques. 

Les solutions. – L’intégration de la cybersécurité au sein des cabinets d’avocats se fera donc par deux approches.

La première est technique et exige l’instauration de mesures qui permettent de garder secrètes les informations détenues par les avocats. À cet égard, l’emploi du chiffrement est indispensable. La technique offre l’assurance que les données seront consultées uniquement par ceux qui en ont l’autorisation. Il s’agit en effet d’un procédé qui rend les données illisibles si l’on ne détient pas la clé de chiffrement. Il est peu utile pour les utilisateurs d’en comprendre le mécanisme car l’emploi des outils n’exige pas de compétences informatiques. Il faut donc que les avocats questionnent ceux qui leurs fournissent leurs outils numériques, afin de savoir si les données qui y sont traitées sont chiffrées ou non.  

La seconde approche de la cybersécurité des cabinets d’avocats est juridique et relève plus précisément du domaine contractuel. Les avocats doivent sécuriser les relations qu’ils entretiennent avec ceux susceptibles d’accéder aux données traitées par le cabinet. Actuellement, nombreux sont les contrats qui ne mentionnent pas la cybersécurité ou alors qui limitent la question à la protection des données personnelles. Or, c’est insuffisant, car le secret professionnel des avocats est bien plus vaste. Il est général et ne couvre pas seulement les données personnelles qu’ils traitent. 

Ces quelques éléments illustrent la manière dont le secret professionnel de l’avocat doit désormais être préservé. Le numérique a d’abord été une des plus grandes menaces que le secret professionnel de l’avocat ait eu à connaître. Mais l’espoir réside dans le fait que la technique informatique, et en l’occurrence l’emploi du chiffrement, lorsqu’elle s’allie à la technique contractuelle, peut redonner au secret professionnel sa force initiale. 

Emilie Musso

---
 
[1] R. Crozier, "DLA Piper paid 15,000 hours of IT overtime after NotPetya attack", IT News [en ligne], 8 mai 2018, disponible sur : https://www.itnews.com.au/news/dla-piper-paid-15000-hours-of-it-overtime-afternotpetya-attack-490495.
[2] "Piratage d'un cabinet d'avocats lié au procès Charlie Hebdo : "Un marketing de la malveillance", analyse un spécialiste de la cybersécurité", France info [en ligne], 24 nov. 2021, disponible sur : https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/piratage-d-un-cabinet-d-avocats-lie-auproces-charlie-hebdo-un-marketing-de-la-malveillance-analyse-un-specialiste-de-la-cybersecurite_4857155.html.
[3] C. Pén., art. 226-16.
[4] V. par ex., C. Pén., art. 226-17.
[5] RIN, art. 2 et 3.

31/05/2023

Dernières publications