Le secret professionnel à l'épreuve des nouvelles technologies

Le secret professionnel à l'épreuve des nouvelles technologies




A l'approche d'une intervention devant l'école des avocats de Montpellier, j'ai redécouvert un document, support d'une intervention que j'avais assurée sur cette thématique au cours d'une conférence proposée par la Conférence des Bâtonniers à Brest le 21 juin 2014. Malgré les années qui se sont écoulées depuis, l'intervention semble demeurer d'actualité. J'ai donc décidé de la partager au delà du cercle des confrères. Note : tenant l'ancienneté de la rédaction de l'article, certains liens peuvent ne plus fonctionner.

Nouvelles tech et secret pro : une question de spécialiste? Vraiment?

Entamant la rédaction de cet article en ce premier jour d'épreuves du bac, comme tout élève assidu et discipliné qui se respecte, j'observais attentivement la formulation du sujet : « le secret professionnel à l'épreuve des nouvelles technologies ».
 
Fouillant  dans ma mémoire, j'essayais de me remémorer les conseils de mon professeur de philosophie en vue du jour J.
 
« Définir les notions ». Il me semble bien que ce conseil figurait parmi les centaines qu'on avait dû nous donner au cours des mois précédant le redouté mois de juin quand j’étais lycéen.
 
Appliquant ce conseil à mon intervention devant vous aujourd'hui, je me surpris alors à considérer la connotation péjorative de la thématique sur laquelle il m’était proposé d'intervenir. Les nouvelles technologies, si j'en croyais la formulation du sujet, seraient donc une « épreuve » pour notre secret professionnel.
 
Pas un atout, pas une chance, pas même un progrès, non, rien de tout ça. Juste… une épreuve.
 
Désireux d'étendre le champ sémantique de ma recherche je me penchais alors sur le dictionnaire des synonymes. Je le refermais bien vite après y avoir lu notamment « adversité », « calamité », mais aussi « misère », «catastrophe» ou encore « douleur »…
 
Décidément le passionné de nouvelles technologies que je suis allait  visiblement avoir du mal à trouver son compte dans le sujet qui lui était proposé pour l’intervention du 21 juin 2014.
 
Je m'interrogeais alors : quelle perception les confrères peuvent-ils avoir de cette thématique dans le cadre d'une formation de trois jours organisée autour du secret professionnel? N’auront-ils pas finalement un regard très sévère et des avis arrêtés après que des personnages autrement plus illustres que le petit montpelliérain que je suis ne leur aient asséné mise en garde sur mise en garde, leur expliquant sans doute à quel point notre secret est menacé de toute part, à quel point les attaques sont désormais nombreuses et virulentes et comme il est aujourd’hui stérile d’imaginer qu’il puisse rester hermétique au regard de la numérisation galopante de notre activité ?
 
Et s'il s'agissait en réalité d'un bizutage pour ma première intervention officielle devant mes confrères de la Conférence ?
 
Le fait que celle-ci se déroule au moment précis de la fête de la musique me conduisait même à faire un cauchemar la nuit précédant mon départ pour Brest : mon subconscient me renvoyait ainsi l'image hallucinante d’une fanfare de binious s'introduisant dans la salle de conférence précisément au moment où je tentais de rassurer mes confrères sur la compatibilité entre nouvelles technologies et secret professionnel, comme pour mieux ridiculiser mon propos…
 
Tout cela heureusement n'était qu'un mauvais rêve. Finalement rassuré, j’envisageais même le songe comme un heureux présage, le son de la cornemuse plaisant habituellement à mes oreilles.
 
On pourrait imaginer le sujet complexe à traiter, nécessitant une compétence certaine ou à tout le moins un goût prononcé pour ce qui est à la fois nouveau et technologique.
 
Il n’en est rien et la question doit donc être abordée très simplement.
 
Osant l’image, on peut affirmer qu’il ne sert à rien d’être pilote de Formule 1 pour savoir conduire une voiture de tourisme. Mais il faut en revanche avoir son permis de conduire pour espérer pouvoir conduire une Formule 1…

Il faut donc maîtriser les fondamentaux et se poser les bonnes questions. Celles qui viennent à l’esprit une fois passé le temps des passions et du tumulte. Celles qui font avancer. Celles qui permettent d’arrêter de nourrir le débat pour prendre les décisions utiles. Et la première des questions que doit se poser l'avocat lorsqu'il s'interroge sur la protection de son secret professionnel quand il utilise les nouvelles technologies est la suivante : suis-je une cible ?
 
A cette question succédant immédiatement une seconde : suis-je une cible, plus qu'un autre ?
 
La réponse que vous apporterez de manière individuelle à cette première question devra ensuite conditionner les mesures envisagées pour accroître  (je reviendrai sur ce terme  choisi à dessein un peu plus loin) la protection de votre secret professionnel.
 
Pour tenter de rester le plus pragmatique possible, prenons l'exemple d’un usage devenu banal : celui du courrier électronique. Et pour être encore plus concret prenons l'exemple des adresses électroniques des participants à la session de formation organisée par la Conférence des Bâtonniers en Avignon les 6, 7 et 8 juin 2013, à laquelle j'ai eu le plaisir de participer et dont j’ai gardé copie.
 
Sur toutes les personnes présentes à la formation ces jours-là, 54 % utilisaient des adresses mail dites généralistes : Wanadoo, Gmail, Hotmail, Club Internet ou encore Orange. Quatre seulement utilisaient des adresses e-mails comprenant des extensions en « avocat-conseil.fr », adresses obtenues via leur inscription au RPVA.
 
Ces 4 là sont-ils mieux protégés que ceux utilisant les adresses généralistes ? Pas vraiment…
 
Google qui gère et met à disposition notamment le service Gmail ne fait aucun mystère de ce que l’utilisation d’une de leur adresse entraîne de facto une atteinte certaine au respect des données personnelles de l’utilisateur.
 
C’est tout à fait officiel et cela figure même dans leur CGV (voir sur ce lien http://www.google.com/intl/fr/policies/privacy/ ). Il en va de même de tous les autres services liés à Google comme l’agenda, les cartes de localisation, le navigateur, le carnet de contacts etc…
 
Lorsqu’on utilise une adresse Gmail, les emails que l’on envoie mais aussi ceux que l’on reçoit sont donc scannés par GOOGLE. Ces derniers tirent argument de l’amélioration des services rendus aux clients pour le faire : publicité ciblée, offres promotionnelles individualisées, personnalisation des services offerts…
 
Bref, c’est le grand marché du marketing!

Ce qui est contenu dans la boîte GMAIL est donc accessible, notamment, aux services commerciaux de Google via des logiciels paramétrés pour repérer, analyser puis exploiter commercialement les données contenues dans les textes des courriels.
 
A une échelle moindre les autres opérateurs comme Yahoo ou Hotmail mais aussi toutes les adresses des fournisseurs d’accès à Internet représentent elles aussi un risque en terme de confidentialité des contenus de vos courriels. Google va simplement plus loin dans l’optimisation de l’usage de son activité de scan des emails par rapport à ses concurrents.
 
Un email transite d'un serveur à l'autre, de fournisseurs d'accès à Internet à un autre  par le biais de copies successives d'un serveur sur un autre. Le schéma peut se vulgariser comme suit (source http://openpgp.vie-privee.org/) : "Si vous habitez à Paris 6e et envoyez un e-mail à  un ami qui habite à Paris 11e, voici les copies qui vont se créer : votre ordinateur (copie originale)  -> un premier ordinateur chez votre fournisseur d’accès (ORANGE par exemple) (copie 1) -> un second ordinateur chez votre fournisseur d'accès (copie 2) -> un premier ordinateur chez le fournisseur d'accès de votre destinataire (par exemple FREE) (copie 3) -> un second ordinateur chez le fournisseur d'accès de votre destinataire (copie 4) -> l'ordinateur de votre ami."

Vous l’avez sans doute compris, l’objet n’est pas de déresponsabiliser l’avocat, mais de ramener les risques existants à la réalité des dangers existants. Les matières que je traite sont-elles sensibles ? Quel bénéfice pourrait-être retiré de la collecte d’informations sur mes dossiers ? Il ne s’agit pas ici de dénigrer une matière vis à vis d’une autre, mais d’être conscient du fait que le risque d’espionnage économique par exemple concerne plus les confrères travaillant sur les contrats à l’exportation d’AIRBUS que celui qui gère la procédure de Madame MICHU devant le Juge de Proximité de Brétigny-Sur-Orge… Dans les deux cas, le secret professionnel doit être préservé avec la même force, mais sera-t-il menacé de la même manière si je stocke ces dossiers sous forme dématérialisée sur un serveur localisé à Chicago ? Le premier des devoirs de l’avocat, c’est donc de procéder à une juste évaluation du risque concernant son activité.
 
Le risque que soit porté atteinte au secret professionnel de l’avocat via les nouvelles technologies existe. Mais à trop vouloir appuyer sur la notion de risque sans jamais prendre le temps de s’arrêter sur son effectivité, on encourage la défiance au détriment de l’accompagnement du développement d’un outil indispensable à notre adaptation aux nouveaux marchés du droit.
 
La profession est lente à se mettre en mouvement sur nombre de thématiques nouvelles, notamment quand il s’agit de ce qui, par essence, lui échappe. Je me remémore mon militantisme de jeune avocat collaborateur déjà féru de nouveautés numériques pour faire souscrire à mon premier cabinet un abonnement chez un éditeur juridique proposant en ligne l’ensemble de ses collections quand ce dernier venait de se lancer dans cette aventure. Réponse des associés : « Pourquoi faire ? La bibliothèque est à 5 mn à pied ! ».
 
Illustration symptomatique de notre propension pachydermique à ne jamais emprunter de voies différentes de celles ayant usé les robes de nos prédécesseurs…


Pour traverser trois arrondissements de Paris, cet e-mail a été inscrit au moins quatre fois sur quatre disques durs différents en autant de copies parfaites. Et derrière chacun de ces quatre disques durs, se cachent des entreprises commerciales, des informaticiens curieux, des administrations publiques diverses et variées...
 
Ces copies multiples de vos e-mails étaient jusqu'ici en théorie effacées au bout de quelques heures par chaque fournisseur d'accès. Cependant, de nouvelles législations européennes contre le "cyber" crime prévoient la conservation de ces copies pendant un an.



" Un e-mail qui n'a pas été "crypté" et qui est envoyé sur Internet est plus qu'une carte postale sans enveloppe : c'est tout simplement une lettre placardée sur tous les murs de la ville; n'importe quel passant pourrait s'arrêter et la lire… "


Pour autant crypter ses courriers électroniques – solution assez efficace pour améliorer la confidentialité des échanges - ne peut s’envisager que si vos interlocuteurs sont également familiarisés à ce système. On en est loin aujourd’hui dans la profession et on peut regretter la formidable occasion manquée lors de la mise en place du RPVA. Comment ne pas avoir songé à la sécurisation des courriels entre confrères en dehors du champ judiciaire ? Mystère…
 
Dans un procès relativement récent et assez retentissant aux Etats Unis contre le scan des courriels, les avocats de GMAIL ont soutenu qu' « une personne n’a aucune attente légitime [à avoir] en matière de vie privée dans les données qu’elle confie volontairement à des tiers ». Ils s’appuyaient notamment sur un arrêt Smith vs Maryland datant de 1979, relatif à la collecte des communications électroniques sans mandat.
 
Se rajoute à cela le stockage des mails et des données les contenant sur des serveurs américains auxquels on le sait, les autorités américaines peuvent avoir accès de manière très aisée.
 
Ce point est connu de tous ceux qui s’intéressent aux NTIC et les concurrents de GOOGLE n’hésitent d’ailleurs pas à caricaturer la chose à travers de multiples vidéos diffusées sur YOUTUBE pour mieux vendre leurs propres services comme le montre les fabuleuses aventures de « GMAIL MAN » que MICROSOFT diffuse avec humour et intérêt pour promouvoir son propre moteur de recherche - BING - et sa suite bureautique OFFICE 364 (voir par exemple http://youtu.be/J7M3ON2EtHo ).

Et de revenir à la question précédente : suis-je une cible ? Réponse : oui. Mais suis-je plus une cible qu’un autre ? La question devient subitement plus intéressante. Et avant d’y répondre il convient de rajouter quelques chiffres à la réflexion.
 
Selon un rapport de l'institut de recherche sur les nouvelles technologies (http://www.radicati.com/wp/wp-content/uploads/2013/11/Email-Market-2013-2017-Executive-Summary.pdf ), en 2013 ce sont 182,9 milliards de courriers électroniques qui se sont échangés… chaque jour.
 
Soit un total de 67 000 milliards de mails en une année.
 
Interrogez-vous alors maintenant sur la base de cette seule statistique : mes courriers électroniques étaient-ils une cible parmi ces 67 000 milliards de courriers électroniques en 2013…?



Etre responsable ne signifie pas être paranoïaque 

Vous l’avez sans doute compris, l’objet n’est pas de déresponsabiliser l’avocat, mais de ramener les risques existants à la réalité des dangers existants. Les matières que je traite sont-elles sensibles ? Quel bénéfice pourrait-être retiré de la collecte d’informations sur mes dossiers ? Il ne s’agit pas ici de dénigrer une matière vis à vis d’une autre, mais d’être conscient du fait que le risque d’espionnage économique par exemple concerne plus les confrères travaillant sur les contrats à l’exportation d’AIRBUS que celui qui gère la procédure de Madame MICHU devant le Juge de Proximité de Brétigny-Sur-Orge… Dans les deux cas, le secret professionnel doit être préservé avec la même force, mais sera-t-il menacé de la même manière si je stocke ces dossiers sous forme dématérialisée sur un serveur localisé à Chicago ? Le premier des devoirs de l’avocat, c’est donc de procéder à une juste évaluation du risque concernant son activité.
 
Le risque que soit porté atteinte au secret professionnel de l’avocat via les nouvelles technologies existe. Mais à trop vouloir appuyer sur la notion de risque sans jamais prendre le temps de s’arrêter sur son effectivité, on encourage la défiance au détriment de l’accompagnement du développement d’un outil indispensable à notre adaptation aux nouveaux marchés du droit.
 
La profession est lente à se mettre en mouvement sur nombre de thématiques nouvelles, notamment quand il s’agit de ce qui, par essence, lui échappe. Je me remémore mon militantisme de jeune avocat collaborateur déjà féru de nouveautés numériques pour faire souscrire à mon premier cabinet un abonnement chez un éditeur juridique proposant en ligne l’ensemble de ses collections quand ce dernier venait de se lancer dans cette aventure. Réponse des associés : « Pourquoi faire ? La bibliothèque est à 5 mn à pied ! ».
 
Illustration symptomatique de notre propension pachydermique à ne jamais emprunter de voies différentes de celles ayant usé les robes de nos prédécesseurs…

Alors puisqu’il m’est donné de prendre la parole en cette journée du 21 juin 2014, qu’on imagine pas un seul instant que cela soit pour tarir la motivation des confrères s’interrogeant sur la pertinence de l’usage professionnel des nouvelles technologies au regard du risque encouru pour notre secret. C’est malheureusement une tendance générale.
 
Comme le chien, elles ne mordent que si on ne les caresse pas avec prudence !
 

D’autres points méritent d’être abordés s’agissant de cette thématique, sans malheureusement espérer pouvoir être exhaustif, tant le sujet est vaste. La question de l’hébergement des données est de plus en plus abordée par la profession et il est traité de manière très qualitative (voir les références en bas de l’article).
 
Mais compulser ces documents laisse systématiquement planer comme un goût de défiance au risque de faire de l’utilisation des outils mis à notre disposition un usage contraint alors qu’il devrait être raisonnablement enthousiaste.
 
Que l’expérience malheureuse de la mise en place du RPVA serve au moins à nous remémorer qu’une technologie n’est utilisée par la profession que tant qu’elle est comprise par les confrères et son utilité peu ou pas contestée.
 
L’usage des services informatiques hébergés peut grandement faciliter la vie des cabinets et réduit la fracture entre petits et grands cabinets. On évoquera ainsi pêle-mêle le logiciel de facturation SELLSY, la plateforme de travail collaborative AZENDOO, HUBIC, la solution de stockage d’OVH.
 
Toutes ces solutions sont des solutions dites « grand public » en ce sens qu’elles sont accessibles à tous. Sont-elles pour autant plus dangereuses que si elles étaient des solutions dédiées aux professions du droit ? A dire vrai, pas forcément. Un Cloud professionnel dédié est sans doute une bonne chose mais pour ce qu’il représente, il devient une cible potentiel quand la multiplication de solutions individuelles rend plus complexe le ciblage massif des cabinets. Or les hackers aiment les « gros coups ».
 
Imagine-t-on sérieusement pour ne prendre que l’exemple de la société OVH, véritable fleuron de l’industrie technologique française, leader européen et n°3 mondial de l’hébergement de données en ligne, fameuse auprès des amateurs de NTIC pour avoir hébergé Wikileaks en pleine tourmente américaine et n’avoir jamais cédé aux multiples pressions politiques tant françaises qu’américaines pour restituer ces données sans une décision de justice, imagine-t-on un seul instant le degré de sécurisation de cette société ?
 
Une fois enregistré et assimilé le postulat qu’aucun système numérique n’est infaillible - pas plus qu’un homme n’est infaillible à la pression ou à la corruption, qu’un cabinet n’est infaillible au cambriolage ou à l’incendie – il faut donc prendre conscience du très haut degré de sécurisation de ces sociétés dont l’existence même repose sur la confiance que leurs clientèles (souvent prestigieuses) portent à la qualité de la préservation du secret des données qu’elles leur confient.
 
Etre conscient du risque causé par les nouvelles technologies est donc un point important. Mais attention à ne pas limiter le propos à cet unique aspect. La préservation du secret professionnel est exactement la même avec les outils technologiques qu’avec le monde qui vous entoure. L’avocat est en très grande partie seul responsable de la qualité de la sécurisation de ce dernier et dans la plupart des cas, le maillon faible de la préservation du secret au travers des nouvelles technologies, c’est le facteur humain, pas le facteur technologique.
 
Contrairement aux idées reçues, véhiculées de manière beaucoup trop répandue, la sécurisation des outils que nous utilisons le plus souvent dans le cadre de notre activité professionnelle est dans une très grande majorité des cas largement suffisante et fiable. La contourner, la prendre en défaut, n’est pas chose aisée et les atteintes qui peuvent toucher les utilisateurs sont dans la plupart des cas dues aux fautes élémentaires commises par ces derniers.



Le maillon faible de la sécurité... c'est vous!

Dans des études récentes d’envergure trois sociétés spécialisées dans la sécurité informatique (Sophos, Stroz Friedber et Osterman Research) ont stigmatisé les principaux risques encourus en terme de sécurité informatique par les entreprises. Sans surprise, au titre des facteurs les plus alarmants figure... le facteur humain !

La première étude réalisé par Stroz Friedber, auprès de 700 professionnels, révèle ainsi que 58 % des cadres supérieurs admettent avoir transmis par erreur des informations sensibles à la mauvaise personne, contre seulement 25 % pour les employés. Autre point auquel les avocats devraient être sensibilisés il a été constaté que les cadres supérieurs travaillent de plus en plus chez eux, donc depuis un environnement moins sécurisé qu’en entreprise accroissant ainsi les risques.
 
De même ils téléchargent ou exportent plus facilement des données concernant leur travail sur leur messagerie personnelle ou leur service Cloud, ce qui accroit de manière sensible la mise en péril de la sécurité informatique de l’entreprise.
 
Osterman Research a interrogé près de 160 experts en sécurité. L’étude montre que la majorité des problèmes de sécurité sont dus au manque de vigilance des personnels. Ainsi 58 % des virus sont téléchargés à leur insu, à partir du Web et 56 % des virus et des tentatives d’hameçonnage (Phishing) se font par le biais de leur messagerie personnelle.
 
Envisageant à nouveau le sujet qu’il nous est proposé d’étudier, qu’il me soit donc permis de le libeller correctement : il ne s’agit pas du « secret professionnel à l’épreuve des nouvelles technologies », mais du « secret professionnel à l’épreuve des nouvelles technologies mal utilisées »…
 
Cette réécriture est source d’espoir pour la profession. Car le secret est dans notre ADN depuis la nuit des temps. En réalité, nous ne découvrons rien. Seul la forme du concept évolue et s’adapte au monde qui l’entoure.



La foi du palais, ce réseau social qui ne dit pas son nom!

Ainsi, la foi du palais n’est-elle pas un réseau social qui s’ignore ? Le degré de divulgation qui s’y rattache n’est-il pas proportionnel à la confiance que l’on porte à son interlocuteur ? Ne doit-on pas « avaliser » chaque membre du cercle avant de se livrer un peu plus ?
 
Pour achever l’analyse, ou plutôt l’abandonner en cours de route tant elle est vaste et qu’il faut bien la quitter un jour (Brest est si loin de Montpellier…), on évoquera ce privacy paradox dont on parle si peu et qui est mis en lumière de manière quotidienne grâce à nos nouveaux outils numériques.
 
Le magazine « Regards sur le numérique » l’évoquait ainsi récemment : « Les Américains désignent ce phénomène (comme) le paradoxe qui consiste à étaler auprès de certains (amis, tribus, famille) tous les actes de sa vie même les plus secrets tout en revendiquant auprès d’autres (autorités politiques, parentales, administratives…) le droit de protéger une partie de ses informations personnelles. »
 
Nombreux sont les confrères qui font étalage de leur vie privée du week-end sur les réseaux sociaux ou sur leur blog, montrant la naissance du petit dernier, les progrès en danse de l’aînée, le repas entre amis du dimanche mais aussi nombreux sont-ils à commenter leur activité professionnelle. Et même sans jamais citer de noms, nul doute que le client ou l’adversaire concerné aura tôt fait de rapprocher sa situation du post de son avocat ou de celui de son adversaire… Et le lundi ils basculent en « mode secret professionnel ». Compatible ? A chacun de voir.
 
Ainsi la mise en péril du secret professionnel ne dépend-elle pas seulement des technologies elles-mêmes, mais en réalité de l’usage que l’on en fait et je confesse ici mon agacement quand j’entends les cris d’orfraie  poussés par certains.
 
Il ne faut pas confondre intrusion informatique avec exploitation de données librement consenties !
 
Nous, plus que beaucoup d’autres, sommes sensés lire ce que nous signons, surtout virtuellement… Facebook, Google, Twitter et consorts ne nous « prennent pas en traître ». La plupart du temps, la lecture de leurs conditions générales est assez explicite.
 
Les règles de sécurité s’apprennent tout au long de la vie. Petit on apprend à regarder à droite et à gauche avant de traverser la route, quand le petit bonhomme est vert. Plus grand, on apprend à mettre son casque pour conduire son scooter. Et arrivé au crépuscule de notre existence, quand on pense avoir tout appris, on doit noter quelque part qu’il faut s’hydrater abondamment quand il fait chaud l’été.
 
L’histoire de l’avocat se confond avec celle de Benjamin BUTTON condamné à rajeunir depuis sa naissance. Nous aussi devons rajeunir chaque jour un peu plus. Rajeunir nos connaissances et notre maîtrise des nouvelles technologies dont le maniement paraît si naturel à nos enfants qui s’emparent de nos Smartphones avec autant de dextérité et de pertinence que nos grands-parents maniaient la baguette et le cerceau.
 
Qu’il soit dit ici, au moins une fois au cours de ce week-end, que dans un cas comme dans l’autre, dans la plupart des situations, c’est un maniement malhabile qui engendre les déconvenues.




Note : Tenant l'ancienneté de la rédaction de l'article, certains liens peuvent ne plus fonctionner.

Sources :  
  • Le guide de la sécurité de l’information pour les avocats, fruit du travail du CNB (en téléchargement sur le site du CNB, accès sécurisé réservé aux confrères)
  • Les avocats et la loi informatique et libertés édité par la CNIL (http://www.cnil.fr/fileadmin/documents/Guides_pratiques/CNIL-Guide_Avocats.pdf )
  • Le journal du Village de la Justice n°68 spécial Avocat Digital et logiciels (http://issuu.com/legiteam/docs/jvj68/1?e=1003431/6682654)