Certaines plateformes, messagerie et site de visioconférence devront procéder à un audit de cybersécurité et publier les résultats sous la forme d’un cyberscore, ayant pour objectif de permettre aux internautes d’évaluer facilement le niveau de sécurisation des données qui y sont hébergées.
Cette loi semble s’inscrire dans une tendance générale d’amélioration de l’information des consommateurs à l’instar du nutriscore, ou de l’indice de performance énergétique utilisé en matière immobilière.
L’application de cette nouvelle obligation peut être particulièrement intéressante dans des domaines impliquant le traitement de données sensibles ou au sein desquels la confidentialité joue un rôle important.
C’est notamment le cas des plateformes en ligne de prestations juridiques qui se multiplient et, avec la vocation louable d’assurer un meilleur accès au droit, sont de ceux qui font de la cybersécurité un enjeu sociétal majeur. Nous pensons nécessairement aux plateformes de mise en relation avec des professionnels du droit ou qui permettent la génération automatique ou quasi-automatique d’actes juridiques, mais également aux plateformes de médiation ou d’arbitrage en ligne, etc.
Il s’agit donc de s’interroger sur l’impact de ces nouvelles obligations en matière de cybersécurité sur les pratiques de ces plateformes de services juridiques, pour lesquels le respect de la confidentialité est fondamental.
I. Un outil de prise de conscience du caractère essentiel de la cybersécurité pour les plateformes de services juridiques.
Au service de la confidentialité notamment, la cybersécurité est un principe incontournable au bon fonctionnement et à la qualité des prestations juridiques en ligne. Le cyberscore qui a une vocation de sensibilisation, ne pourra, on l’espère, qu’être incitateur de transparence en matière de cybersécurité pour les plateformes qui proposent des services juridiques.
Bien que le sujet de la cybersécurité ne soit plus si récent, sa technicité et son opacité sont peut-être un frein à l’engagement des citoyens. En tout état de cause, son importance ne pourrait être raisonnablement contestée.
En effet, la cybersécurité est le prolongement numérique de la confidentialité, qui, elle, est perçue, de façon unanime, comme composante essentielle aux prestations de services juridiques.
L’importance de la confidentialité pour la fourniture de prestations juridiques est telle qu’elle est entérinée à plusieurs reprises dans la loi. Sa déclinaison la plus connue est certainement le secret professionnel auquel sont soumis les avocats, mais celui-ci s’applique à d’autres professions juridiques dont notamment les notaires [1] et les conseils en propriété industrielle (Art. L422-11 du Code de la propriété intellectuelle). Par ailleurs, pour assurer leur efficacité, certains services juridiques comme la médiation, doivent respecter l’obligation légale de confidentialité (Art. L612-3 du Code de la consommation).
Cependant, la cybersécurité n’est malheureusement pas encore entrée dans la conscience collective comme un enjeu démocratique et encore moins comme un automatisme.
Or, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), définit la cybersécurité comme
« l’État recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles ».
En outre, l’ANSSI souligne une hausse continue du niveau de menace. Elle a noté une hausse de 37% des intrusions entre 2020 et 2021 comptant 1082 intrusions avérées dans des systèmes d’information en 2021, pour 786 en 2020. Elle explique cette hausse par « l’évolution et l’amélioration constante des capacités des acteurs malveillants dont les principales intentions restent le gain financier, l’espionnage et la déstabilisation » et, elle note également, « une multitude d’opportunités offertes par la généralisation d’usages numériques souvent mal maitrisés ».
Ces menaces représentent un défi pour les clients des prestations de services juridiques mais également pour les professionnels qui fournissent ces prestations auxquels incombent les obligations de confidentialité, et qu’une violation de sécurité informatique pourrait conduire à engager leur responsabilité.
Or, une plateforme numérique ou un outil de visioconférence qui ne met pas en place les mesures de sécurité adaptées aux services qu’il propose ne garantit pas non plus le secret des échanges qui passent par son biais. Il semble donc évident que les outils utilisés pour délivrer des services soumis à une obligation légale de confidentialité devraient nécessairement mettre en œuvre un niveau de sécurité à la hauteur de l’exigence de secret entourant l’ensemble de ces services. En réalité, aujourd’hui rien ne permet de s’en assurer.
Un renforcement de la cybersécurité est donc un passage obligé pour que la numérisation des services juridiques n’érode pas la confidentialité qui leur est fondamentale.
En application de la loi n°2022-309 du 3 mars 2022, certains acteurs du numérique auront l’obligation de présenter, sous la forme d’un système d’information coloriel, des résultats d’un audit de sécurité réalisé par un prestataire qualifié par l’ANSSI et qui portera sur la sécurisation et la localisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation.
Cette mesure va dans le sens d’une plus grande transparence sur la réalité des mesures de sécurité mises en place par les acteurs du numérique tant il est « primordial de rendre accessibles au plus grand nombre les enjeux abscons de cybersécurité » [2].
Elle vient dans le prolongement des certifications que développe l’ANSSI depuis plusieurs années, qui présentent l’avantage d’offrir des vérifications de très haute qualité mais qui peuvent également présenter l’inconvénient d’être délivrées à la suite de procédures longues et couteuses. Il ressort en effet que jusqu’à présent, l’ANSSI a délivré 1173 certifications [3] couvrant aussi bien des produits que des sites de production parmi lesquelles ne figurent aucune plateforme de services juridiques.
La loi du 3 mars 2022 est donc présenté comme « un préalable » pour rendre le recours à des audits plus systématiques, et surtout de développer la conscience des utilisateurs des plateformes et outils de visioconférence et messagerie.
L’objectif affiché est que les consommateurs aient une vision claire et compréhensible du niveau de cybersécurité proposé par l’outil qu’ils utilisent que ce soit concernant l’hébergement ou la localisation des données. Cette loi va dans le bon sens en œuvrant pour instituer la transparence, et en conséquence, la confiance dans ces outils.
La transparence grâce au cyberscore qui présente les résultats d’un audit de sécurité et la confiance, en s’assurant que cet audit soit réalisé de façon indépendante par un prestataire agréé par l’ANSSI, sur la base de critères qui seront définis, dans un second temps, par arrêté.
II. Une prise de conscience nécessaire pour pallier l’inapplicabilité du cyberscore aux plateformes juridiques.
Il demeure regrettable que le champ d’application de la loi n° 2022-309 soit très limité la rendant, directement, inapplicable aux plateformes de prestations juridiques existantes.
Les discussions parlementaires ont conduit à étendre son champ d’application initial non plus aux seuls opérateurs de plateformes en ligne au sens de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique [4] mais également aux fournisseurs de service de messagerie et de visioconférence visés au 6° de l’article L32 du Code des postes et des communications électroniques [5].
Cela permet d’inclure les systèmes de messagerie comme Whatsapp et les systèmes de visioconférence comme Zoom dont l’usage s’est fortement développé pendant les différents confinements, y compris par les professionnels du droit, sans forcément avoir pris en considération les aspects de cybersécurité.
En revanche, les obligations de transparence déployées par la loi n°2022-309 auront un effet très limité dans la mesure où, compte tenu du coût que représente la réalisation d’audits par des certificateurs tiers, le législateur a tenu à limiter leur champ d’application aux seuls acteurs dont l’activité exercée dépasse un ou plusieurs seuils définis par décret. Il ressort du dossier législatif que le seuil minimal d’activité devrait être fixé à cinq millions de visiteurs uniques par mois [6].
Alors, seulement une centaine d’entreprises seront concernées par l’obligation d’afficher un cyberscore, et très peu si ce n’est aucune plateforme de prestations de services juridiques en feront partie.
Nous comprenons la volonté de ne pas faire peser d’obligations disproportionnées sur des petits acteurs qui ne seraient pas en capacité d’assumer le coût d’un tel audit [7]. En revanche, est-ce que la nature des services et le rôle fondamental de la confidentialité pour ceux-ci ne le justifierait pas ? Ne serait-il pas envisageable de prévoir un système intermédiaire, d’auto-évaluation, pour les plateformes qui n’atteignent pas ce seuil mais fournissent des services pour lesquels la confidentialité est essentielle ?
Par ailleurs, il convient de souligner que la loi du 3 mars 2022 vient modifier le Code de la consommation, s’appliquant aux plateformes destinées au consommateurs.
Pourtant l’obligations de confidentialité gouvernant les prestations juridiques n’est pas conditionnelle. Bien au contraire, la confidentialité constituant un levier de compétitivité avec, par exemple, l’ensemble des règles encadrant le secret des affaires, est fondamentale pour les entreprises également. Ne serait-ce pas trompeur pour une entreprise, de la même manière que pour un consommateur, de s’adresser à un professionnel du droit soumis au secret professionnel via une plateforme non sécurisée ?
Au delà de son applicabilité théorique, la question de l’effet pratique de cette loi sur les outils numériques de prestations juridiques doit donc être posée.
Construite comme un « préalable pour mieux informer le consommateur des risques qu’il encourt ; préalable en termes d’exemplarité pour l’ensemble de sites fournissant des services de communication au public en ligne ; préalable, enfin, à une harmonisation de la législation européenne à un haut niveau de sécurité » [8], le dispositif du cyberscore est présenté comme un premier pas vers une démarche bien plus large qui émanera des consommateurs eux-mêmes, parfois tantôt professionnels, et qui est déjà en cours au niveau européen.
D’aucuns peuvent voir la loi du 3 mars 2022 comme à l’initiative d’un élan d’intérêt pour la cybersécurité.
Ainsi, elle est présenté comme bénéficiant « directement aux consommateurs, mais également indirectement aux petites structures telles que des associations, des TPE et collectivités rurales en renforçant leur niveau d’information sur les solutions grand public qu’ils sont susceptibles d’utiliser » (Rapport du Sénat n°503, p7).
Ce dispositif pourra effectivement avoir un effet indirect sur les plateformes juridiques si et seulement si les plateformes de prestations juridiques que si les grands acteurs visés par le texte s’y conforment et que la prise de conscience des internautes tend à un renforcement de leurs exigences.
Les professionnels du droit les premiers, pour se conformer à leurs différentes obligations de confidentialité, pourraient demander des comptes aux outils et plateformes qu’ils utilisent en poussant à plus de transparence à leur égard mais également à celui de leurs clients. Finalement, peut être qu’adossé aux obligations existantes, même si non applicable aux plateformes des prestations juridiques, le cyberscore aura pour effet de diffuser des bonnes pratiques à ces plateformes et de plaider en faveur d’une plus grande transparence sur les mesures de sécurité qu’elles déploient.
Pourtant, rien n’est moins sûr, d’une part, au regard du montant des sanctions associées, qui pourra paraître dérisoire pour les acteurs visés par ce texte et d’autre part, du fait du détachement des plus petits qui semblent encore loin de se sentir concerner par ce sujet.
