Par Clémence Marolla et Anna Loubière, avocates au barreau de Paris et co-responsables de la Commission Numérique de l’UJA de Paris
Alors que les couloirs du Palais bruissent des rumeurs de cyberattaques dans des cabinets d’avocat.es, de nombreux confrères et consœurs continuent de recevoir les détails les plus intimes des vies de leurs clients sur leur adresse « gmail ».
Si la levée des boucliers est forte dès lors l’on touche à la rédaction des textes encadrant le secret professionnel de l’avocat·e[1], les avocat.es seraient-ils les premiers à risquer de l’enfreindre par leur usage du digital ?
Dès lors, l’UJA de Paris souhaite participer à la diffusion des bonnes pratiques en matière de sécurité informatique.
Pourquoi est-ce que la cybersécurité est un enjeu incontournable pour les avocat·es ? Tout le barreau (ou presque) utilise maintenant des outils informatiques pour échanger avec les clients, les juridictions, et les confrères ou consœurs et pour rédiger et conserver les documents (actes de procédure et de consultation, contrats, courriers, etc.).
Quiconque accède à l’ordinateur, aux serveurs ou même au téléphone portable d’un·e avocat·e connait les noms de ses clients, les procédures en cours et les conseils donnés à ces derniers.
L’ensemble de ces éléments sont bien évidemment protégés par le secret professionnel et chaque avocat ou avocate a une obligation légale et déontologique de les protéger[2].
Il ne faut pas hésiter à l’affirmer : mettre en place des mesures de sécurité informatique pour ses outils professionnels est une obligation légale et déontologique !
A ce premier principe s’ajoute bien évidemment le respect d’autres règles : ici, notamment il est possible d’évoquer :
De manière générale, la confiance des clients s’acquiert aussi en protégeant efficacement leurs informations confidentielles.
Se protéger, c’est éviter les désagréments d’une cyberattaque ! Ces dernières années, les attaques par rançongiciels (ou ransomware) ont explosé : après avoir crypté l’intégralité des données d’une entreprise, les hackers lui demandent une rançon en échange du mot de passe pour déchiffrer les fichiers. Ces attaques visent particulièrement les PME, TPE et ETI, pour l’année 2021, 52% des attaques de rançonware visaient ce type d’entités[6].
Quelles sont les règles de base à respecter en la matière ?
En pratique, des règles simples et peu coûteuses permettent de limiter efficacement les risques. Se référer aux bonnes pratiques de la CNIL[7] et de l’ANSSI[8] en la matière permet déjà de respecter les fondamentaux :
Nous rappellerons également que mettre sous clef les documents papiers les plus confidentiels (ou ne pas les laisser trainer à l’imprimante pendant des heures dans un cabinet partagé) est une mesure de confidentialité non négligeable.
À cet égard, certains cabinets font figure de bons élèves et sont par exemple certifiés ISO 27001. Si une telle certification peut paraître hors de portée pour des cabinets de taille plus réduite, cela ne doit pas empêcher chacun·e d’agir et de prendre en compte ces enjeux à son échelle. Pourquoi faut-il prêter attention aux outils utilisés pour sa pratique professionnelle ? La question des outils doit être abordée, notamment alors que le Conseil National des Barreaux Français s’interroge sur le fait de rendre payant les outils mis initialement à titre gratuit à disposition de la profession.
Cette mouvance ne peut qu’être regrettée alors même que de nombreux avocat·es envisagent déjà difficilement d’assumer le coût d’outils payants et protecteurs de leurs données !
Il faut ici notamment penser aux tout récents installé·es ou aux collaborateurs et collaboratrices développant leur clientèle personnelle, auxquels on peut difficilement reprocher de ne pas avoir comme priorité des postes de dépense pour des outils adaptés.
A cet égard, les trois principaux types d’outils dont il faut se préoccuper sont :
En effet, ces outils vont contenir la majorité des documents essentiels du cabinet.
Les éditeurs de ces outils sont multiples et on ne peut que trop recommander de faire une étude de marché pour trouver ceux qui sont à la hauteur de nos exigences en matière de secret professionnel et de cybersécurité.
Les éléments à prendre en compte sont :
Le RGPD encadrant tout transfert de données personnelles hors de l’Espace Économique Européen, il faut rappeler que le recours à des solutions américaines (Dropbox, Gmail, Wetransfer, etc.) entraîne le transfert des données vers les Etats-Unis.
Or, depuis une décision de la Cour de Justice de l’Union Européenne[11], la licéité des transferts de données personnelles vers les Etats-Unis est grandement remise en question[12].
Par exemple, la CNIL a récemment mis en demeure des organismes d’arrêter d’utiliser l’outil Google Analytics en raison des transferts de données que cela engendrait.[13] Focus sur le télétravail et les déplacements professionnels
Malgré la réticence persistante de certains cabinets, le télétravail tend à se démocratiser au sein de la profession. Dans tous les cas, l’exercice de la profession amène nécessairement à réaliser des déplacements durant lesquels il peut s’avérer nécessaire de travailler hors du lieu d’exercice d’habituel.
Chacun et chacune doit adapter ses outils à ce mode de travail pour ne pas mettre en péril la sécurité et la confidentialité des données.
Des mesures essentielles doivent être prises lorsqu’on ne travaille pas au cabinet[14] :
Les attaques de cybersécurité, ça n’arrive pas qu’aux autres alors il est nécessaire que chacun·e se saisisse du sujet. Comme on aime le rappeler à nos clients, c’est toujours plus agréable d’anticiper que de jouer au pompier ! [1] https://www.cnb.avocat.fr/fr/secret-professionnel[2] Article 2 du Règlement Intérieur National[3] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données[4] Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.[5] Loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires[6] Panorama de la menace informatique 2021, ANSSI[7] https://www.cnil.fr/fr/securite-securiser-les-postes-de-travail[8] https://www.ssi.gouv.fr/uploads/2017/01/guide_cpme_bonnes_pratiques.pdf[9] Un « Virtual Private Network » qui signifie Réseau Privé Virtuel en français est un logiciel créant un « tunnel » entre des postes isolés et vers le réseau internet et permet de chiffrer les adresses IP, ce qui permet d’assurer une plus grande sécurité des données[10] https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite[11]https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311[12] https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-suites-de-larret-de-la-cjue[13] https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/google-analytics-et-transferts-de-donnees-comment-mettre-son-outil-de-mesure-daudience-en-conformite[14] https://www.cnil.fr/fr/teletravail-les-regles-et-les-bonnes-pratiques-suivre
Alors que les couloirs du Palais bruissent des rumeurs de cyberattaques dans des cabinets d’avocat.es, de nombreux confrères et consœurs continuent de recevoir les détails les plus intimes des vies de leurs clients sur leur adresse « gmail ».
Si la levée des boucliers est forte dès lors l’on touche à la rédaction des textes encadrant le secret professionnel de l’avocat·e[1], les avocat.es seraient-ils les premiers à risquer de l’enfreindre par leur usage du digital ?
Dès lors, l’UJA de Paris souhaite participer à la diffusion des bonnes pratiques en matière de sécurité informatique.
Pourquoi est-ce que la cybersécurité est un enjeu incontournable pour les avocat·es ? Tout le barreau (ou presque) utilise maintenant des outils informatiques pour échanger avec les clients, les juridictions, et les confrères ou consœurs et pour rédiger et conserver les documents (actes de procédure et de consultation, contrats, courriers, etc.).
Quiconque accède à l’ordinateur, aux serveurs ou même au téléphone portable d’un·e avocat·e connait les noms de ses clients, les procédures en cours et les conseils donnés à ces derniers.
L’ensemble de ces éléments sont bien évidemment protégés par le secret professionnel et chaque avocat ou avocate a une obligation légale et déontologique de les protéger[2].
Il ne faut pas hésiter à l’affirmer : mettre en place des mesures de sécurité informatique pour ses outils professionnels est une obligation légale et déontologique !
A ce premier principe s’ajoute bien évidemment le respect d’autres règles : ici, notamment il est possible d’évoquer :
- le règlement sur la protection des données personnelles[3] et la loi informatique et libertés[4], notamment pour les avocat·es qui exercent dans des domaines en droit des personnes, droit de la responsabilité médicale, droit des assurances, droit pénal et qui sont susceptibles de traiter des données personnelles particulièrement sensibles ;
- le secret des affaires[5] ou de manière générale toute règle de confidentialité pour protéger les intérêts des sociétés ou institutions pour lesquels les avocat·es sont susceptibles d’intervenir.
De manière générale, la confiance des clients s’acquiert aussi en protégeant efficacement leurs informations confidentielles.
Se protéger, c’est éviter les désagréments d’une cyberattaque ! Ces dernières années, les attaques par rançongiciels (ou ransomware) ont explosé : après avoir crypté l’intégralité des données d’une entreprise, les hackers lui demandent une rançon en échange du mot de passe pour déchiffrer les fichiers. Ces attaques visent particulièrement les PME, TPE et ETI, pour l’année 2021, 52% des attaques de rançonware visaient ce type d’entités[6].
Quelles sont les règles de base à respecter en la matière ?
En pratique, des règles simples et peu coûteuses permettent de limiter efficacement les risques. Se référer aux bonnes pratiques de la CNIL[7] et de l’ANSSI[8] en la matière permet déjà de respecter les fondamentaux :
- Protéger l’accès aux données sur les outils professionnels du quotidien :
- Avoir un code PIN unique sur smartphone ;
- Choisir des mots de passe forts et unique (ordinateur, logiciels, etc.) ;
- Ne pas hésiter à prévoir une double authentification sur certains outils (boîte mail, VPN[9], Cloud en cas d’utilisation sur un outil tiers) ;
- Ces mots de passe doivent être forts, renouvelés régulièrement et unique pour chaque terminal/logiciel[10];
- Verrouiller son ordinateur à chaque départ, même court, de son poste de travail ;
- Chiffrer les données les plus confidentielles, notamment son disque dur.
- Mettre régulièrement à jour ses logiciels pour éviter que les attaquants exploitent des vulnérabilités non-corrigées.
- Sécuriser ses connexions :
- Installer des anti-virus efficaces (et les mettre à jour) ;
- Utiliser un pare-feu.
- Éviter la perte de données :
- Multiplier les supports de sauvegarde : sur l’ordinateur, dans un disque dur externe (chiffré) et sur un cloud sécurisé ;
- Effectuer des sauvegardes régulières (quotidiennes ou hebdomadaires).
- Sécuriser sa connexion Wi-FI :
- Si possible, privilégier les installations filaires ;
- Configurer sa borne d’accès à internet : changer le mot de passe par défaut, activer le pare-feu, etc. Si besoin, solliciter l’assistance technique de votre fournisseur d’accès internet.
- Se méfier des emails :
- Vérifier la cohérence de l’email : en cas de doute sur l’expéditeur, ne pas hésiter à le contacter directement ;
- En cas de doute, ne pas ouvrir les pièces jointes ou cliquer sur les liens dans le corps du mail ;
- Si on vous demande des identifiants personnels (bancaires, etc.) ou de l’argent, méfiance !
- Pour les structures, mettre en place une charte informatique à respecter par l’ensemble des personnes du cabinet (avocat·es et non avocat·es).
Nous rappellerons également que mettre sous clef les documents papiers les plus confidentiels (ou ne pas les laisser trainer à l’imprimante pendant des heures dans un cabinet partagé) est une mesure de confidentialité non négligeable.
À cet égard, certains cabinets font figure de bons élèves et sont par exemple certifiés ISO 27001. Si une telle certification peut paraître hors de portée pour des cabinets de taille plus réduite, cela ne doit pas empêcher chacun·e d’agir et de prendre en compte ces enjeux à son échelle. Pourquoi faut-il prêter attention aux outils utilisés pour sa pratique professionnelle ? La question des outils doit être abordée, notamment alors que le Conseil National des Barreaux Français s’interroge sur le fait de rendre payant les outils mis initialement à titre gratuit à disposition de la profession.
Cette mouvance ne peut qu’être regrettée alors même que de nombreux avocat·es envisagent déjà difficilement d’assumer le coût d’outils payants et protecteurs de leurs données !
Il faut ici notamment penser aux tout récents installé·es ou aux collaborateurs et collaboratrices développant leur clientèle personnelle, auxquels on peut difficilement reprocher de ne pas avoir comme priorité des postes de dépense pour des outils adaptés.
A cet égard, les trois principaux types d’outils dont il faut se préoccuper sont :
- Le service de messagerie utilisé (boîte email) ;
- L’espace de stockage utilisé pour les documents du cabinet et le site web (cloud ou salle des serveurs au cabinet) ;
- Les services permettant d’échanger des fichiers lourds.
En effet, ces outils vont contenir la majorité des documents essentiels du cabinet.
Les éditeurs de ces outils sont multiples et on ne peut que trop recommander de faire une étude de marché pour trouver ceux qui sont à la hauteur de nos exigences en matière de secret professionnel et de cybersécurité.
Les éléments à prendre en compte sont :
- Les mesures de sécurité mises en place : chiffrement en transit, certifications de l’éditeur, dispositifs de sauvegarde, etc. ;
- Les éventuels transferts de données personnelles que cela engendre.
Le RGPD encadrant tout transfert de données personnelles hors de l’Espace Économique Européen, il faut rappeler que le recours à des solutions américaines (Dropbox, Gmail, Wetransfer, etc.) entraîne le transfert des données vers les Etats-Unis.
Or, depuis une décision de la Cour de Justice de l’Union Européenne[11], la licéité des transferts de données personnelles vers les Etats-Unis est grandement remise en question[12].
Par exemple, la CNIL a récemment mis en demeure des organismes d’arrêter d’utiliser l’outil Google Analytics en raison des transferts de données que cela engendrait.[13] Focus sur le télétravail et les déplacements professionnels
Malgré la réticence persistante de certains cabinets, le télétravail tend à se démocratiser au sein de la profession. Dans tous les cas, l’exercice de la profession amène nécessairement à réaliser des déplacements durant lesquels il peut s’avérer nécessaire de travailler hors du lieu d’exercice d’habituel.
Chacun et chacune doit adapter ses outils à ce mode de travail pour ne pas mettre en péril la sécurité et la confidentialité des données.
Des mesures essentielles doivent être prises lorsqu’on ne travaille pas au cabinet[14] :
- Ne pas se connecter à des wifi publics ou alors uniquement via l’utilisation d’un VPN ;
- Utiliser un filtre de confidentialité sur son écran lorsque l’on travaille dans un lieu public ;
- Cela va sans dire, mais ne pas quitter des yeux son matériel pour éviter la perte ou le vol !
Les attaques de cybersécurité, ça n’arrive pas qu’aux autres alors il est nécessaire que chacun·e se saisisse du sujet. Comme on aime le rappeler à nos clients, c’est toujours plus agréable d’anticiper que de jouer au pompier ! [1] https://www.cnb.avocat.fr/fr/secret-professionnel[2] Article 2 du Règlement Intérieur National[3] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données[4] Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.[5] Loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires[6] Panorama de la menace informatique 2021, ANSSI[7] https://www.cnil.fr/fr/securite-securiser-les-postes-de-travail[8] https://www.ssi.gouv.fr/uploads/2017/01/guide_cpme_bonnes_pratiques.pdf[9] Un « Virtual Private Network » qui signifie Réseau Privé Virtuel en français est un logiciel créant un « tunnel » entre des postes isolés et vers le réseau internet et permet de chiffrer les adresses IP, ce qui permet d’assurer une plus grande sécurité des données[10] https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite[11]https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311[12] https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-suites-de-larret-de-la-cjue[13] https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/google-analytics-et-transferts-de-donnees-comment-mettre-son-outil-de-mesure-daudience-en-conformite[14] https://www.cnil.fr/fr/teletravail-les-regles-et-les-bonnes-pratiques-suivre
