La transition numérique impacte la sécurité des données dans un nombre croissant de domaines et professions. Le Clusif interviewe Emilie Musso, docteure en droit-cybersécurité et auteur d’une thèse intitulée « Le cyber avocat » sur les conséquences de la numérisation sur la pratique des avocats.
Vous avez soutenu une thèse sur la numérisation du métier d’avocat et ses conséquences en matière de cybersécurité. Qu’est-ce qui a changé et qu’est ce qui selon vous a impulsé cette modification ?
Emilie Musso : De la même manière que pour les fintechs, il y a eu récemment une forme d’emballement autour des legaltechs. Des start-ups se sont lancées dans le domaine du droit pour créer des produits et on a souvent soutenu – et parfois à tort- que les avocats avaient du retard en matière de numérisation. Il y a donc eu un empressement à se saisir des nouveaux outils mis à disposition et du numérique en général, sans prendre en compte la cybersécurité. Ce que cela a changé pour les avocats, et tout particulièrement les petits ou moyens cabinets, ce ne sont pas tant les grandes innovations comme l’IA, c’est tout simplement l’utilisation d’outils numériques pour communiquer avec les clients et pour stocker les dossiers.
Pratiquement tous les dossiers ont une copie numérique et la majeure partie de la communication se fait par mail. Tout cela sans forcément réfléchir à l’éparpillement des informations et leur possible disponibilité par des tiers. J’ai constaté que la pratique numérique des avocats conjugue de nombreux facteurs d’insécurité numérique (par exemple utilisation d’outils inadaptés aux spécificités de la profession, l’insuffisance voir l’inexistence de dispositions contractuelles abordant la question de la sécurité informatique).
Quels sont les risques ?
Emilie Musso : Il y a d’abord l’ensemble des risques identifiés en matière de cybersécurité (rançongiciels, consultations illégitimes par des tiers non autorisés, envoi d’informations confidentielles par erreur etc.). La probabilité d’une exploitation des données issues de fuites de données de cabinet d’avocats est une hypothèse qui ne doit pas être ignorée.
Et par voie de conséquence, il y a une deuxième catégorie de risques, les risques juridiques en matière de responsabilité de l’avocat qui est tenu au secret. La violation du secret est sanctionnée par le droit pénal, il y a également la responsabilité civile et un impératif déontologique (RIN). On peut aussi citer la responsabilité administrative, avec les sanctions qui peuvent émaner de la CNIL. Toutes ces sanctions sont cumulables. C’est donc un risque très lourd pour les professionnels. En somme, un certain nombre de textes existants prévoient donc déjà une responsabilité numérique de l’avocat, même s’ils n’ont pas été rédigés dans ce but.
Quelles réponses préconisez-vous ?
Emilie Musso : Il existe des solutions techniques et des solutions juridiques. Parmi les solutions techniques, Je plaide pour une utilisation systématique du chiffrementEn cryptographie, le chiffrement est le procédé grâce auquel on peut rendre la compréhension d'un document impossible à toute personne qui n'en possède pas la clé. Voir aussi cryptage., qui est la méthode indispensable à la préservation du secret professionnel. Au sens étymologique, la cryptologieScience du chiffrement. est la science du secret et il est capital de chiffrer des données qui sont couvertes par le secret professionnel. La sécurisation de la pratique numérique des avocats passera également par la technique contractuelle. De nombreuses personnes sont susceptibles de prendre connaissance des données traitées par les avocats et il faut s’assurer, par contrat, qu’elles soient tenues de les respecter. Plusieurs affaires indiquent par analogie que cette responsabilité incombe à l’avocat donc Il lui revient de prendre l’initiative d’indiquer à son prestataire la spécificité de sa profession, du secret professionnel notamment, et de lui expliquer comment le respecter.
Pour que ces solutions soient mises en œuvre, il faut qu’il y ait une prise de conscience. Elle commence à émerger doucement et ces derniers temps de nouvelles formations destinées aux avocats sont nées. Le CNB (Conseil National du Barreau) a d’ailleurs émis des recommandations en ce sens. On ne constate pas de freins conscients ni organisationnels, il faut simplement faire émerger cette conscience du risque qui est le pendant d’une transition numérique réussie.
Liens externes :
- Fiche de la thèse : https://www.theses.fr/2022LORIL618
- Tribune : https://cercle-k2.fr/etudes/cybersecurite-et-pratique-des-avocats
- Article Dalloz : https://www.dalloz-actualite.fr/interview/secret-professionnel-des-avocats-est-en-realite-tres-largement-affaibli-meme-si-profession
- Article Le Village de la Justice : https://www.village-justice.com/articles/cyberattaques-dans-monde-juridique,36759.html
