La multiplicité et l’hétérogénéité des données et informations que l’avocat recueille ou crée dans l’exercice de ses fonctions, ainsi que la diversité de leurs supports rendent presque illusoire d’en établir une liste exhaustive. En outre, toutes les données et informations détenues par les avocats n’ont pas le même besoin de protection. Il faut donc faire un état des lieux du « patrimoine » informationnel du cabinet et identifier ce qu’il faut protéger en priorité.
Il importe aussi de préciser la localisation des données et informations, c’est-à-dire notamment le support sur lequel elles sont stockées (ordinateurs fixes ou portables, tablettes, serveurs informatiques, supports informatiques amovibles etc.) Enfin, pour parfaire le travail d’inventaire, il faudra préciser l’identité des personnes pouvant accéder auxdites données et informations.

Recenser les données et informations relatives aux personnes physiques et morales.

Les données et informations détenues par les cabinets d’avocat portent :
 sur son activité propre (propriété intellectuelle, savoir-faire, personnels, etc.)
 sur ses clients (données personnelles, contrats, projets, etc.).

Sont en effet concernées, toutes les « informations et confidences » reçues par l’avocat, ainsi que les données qu’il collecte et traite dans l’exercice de la profession, en toute matière (conseil ou contentieux) et quels qu’en soient le support et l’état (stockage, traitement ou circulation). Il n’en reste pas moins possible de tenter de les recenser au regard de leur objet, selon une démarche en deux temps, d’inventaire et de qualification, comparable à celle requise par la mise en conformité avec les obligations découlant du RGPD.

En ce qui concerne les données et informations relatives aux personnes physiques, un premier recensement est possible à la simple lecture du RGPD, qui aborde la question du droit fondamental de protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel. (... )

Rappelons que la donnée personnelle est définie comme toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant [1].

Lorsque les données concernent les clients (ainsi que, le cas échéant les parties adverses), elles sont notamment mentionnés et exploités dans les actes de procédure, joints en tant que pièces justificatives, contenus dans les fichiers clients des cabinets, les conventions d’honoraires et factures, ou bien encore collectées lors de la visite du site internet du cabinet par un internaute.

Lorsqu’ils concernent les associés, collaborateurs et salariés du cabinet, ces éléments sont notamment utilisés dans le cadre des opérations RH et paie, des déclarations fiscales, du règlement des cotisations, du versement des fonds, de l’accès aux interfaces, portails et réseaux virtuels professionnels, etc.

En ce qui concerne les données et informations relatives aux personnes morales, le recensement peut sembler plus complexe, ne serait-ce que parce que le RGPD ne les concerne que par la protection attachée aux données personnelles des personnes physiques la composant. Il n’existe donc pas, en tant que telle, d’énumération "officielle" pouvant servir de base à leur recensement. Quoi qu’il en soit, les personnes morales disposent notamment d’un droit à la protection de leur nom, de leur domicile, de leurs correspondances et de leur réputation et ces éléments doivent donc entrer dans le champ de la réflexion sur la sûreté numérique du cabinet. (... )

La plupart des données et informations à la disposition des avocats relèvent, avec certitude, de la vie privée des clients personnes physiques ou des intérêts légitimes et du secret économique des clients personnes morales. On le sait, tous ces éléments sont, peu ou prou, utilisés au quotidien par les cabinets d’avocat ; plus encore, ce sont des éléments indispensables à l’exercice de leurs missions. Mais les besoins en sécurité varient selon les informations et données confiées ou créées par les cabinets d’avocat. Certaines peuvent, sans risque, être connues ; d’autres doivent, au contraire, bénéficier d’une protection particulière, en tenant compte de ce que leur confidentialité protège et au vu des conséquences que leur divulgation génèrerait.

Une fois que l’inventaire des contenus informationnels des cabinets d’avocat a été réalisé, une approche "cyber vertueuse" de la gestion de l’information doit conduire à qualifier ces données et informations, pour identifier celles qui, parce qu’elles sont critiques, doivent faire l’objet d’une protection renforcée.

Qualifier les « informations critiques » confiées ou créées par les cabinets.

Par principe, les informations détenues par les avocats, « confidents nécessaires » de leurs clients, ont, toutes, vocation à être couvertes par le secret professionnel. L’utilisation de ces informations par l’avocat relève de sa responsabilité. Mais dans le cyberespace, c’est précisément cette garantie de confidentialité et l’opposabilité du secret qui posent problème, les menaces pesant sur les cabinets ayant exactement pour effet, ou pour objet, de les priver de la maîtrise des flux d’information. C’est pourquoi un niveau minimal de sécurité numérique doit être instauré au sein des cabinets.

Toutes les données et informations confiées ou créées par l’avocat n’ont pas besoin d’être, sur le plan informatique, sécurisées de la même façon. La logique est ici la même que celle qui conduit à admettre que tous les documents ou objets possédés par une personne n’ont pas besoin d’être placés dans un coffre-fort.

« Une information protégée n’est pas nécessairement une information cadenassée » [2] et protéger de manière inconditionnelle, l’intégralité des données et informations détenues par les cabinets conduirait à en faire de véritables forteresses digitales, peu compatibles, il faut bien en convenir, avec l’exercice même de l’activité.

Il faut, avec discernement, identifier, parmi toutes les informations confidentielles détenues par les cabinets, celles qui doivent être considérées comme « sensibles », voire « critiques et sur lesquelles pèsent, de ce fait, des obligations de confidentialité et de sécurisation renforcées.

Parmi les données et informations dont le niveau de cyberprotection doit être renforcé, on trouve indiscutablement les données qualifiées de « sensibles » par le RGPD : leur révélation et leur utilisation sans le consentement de la personne physique concernée génère, par nature, une atteinte aux droits fondamentaux. (... )

Outre cette analyse au regard des conséquences probables – et peut-être même préalablement –, il faut raisonner par rapport à l’utilité de l’information. Peut ainsi être qualifiée de « sensible » ou de « critique », l’information dite « utile » pour le client, c’est-à-dire celle qui est nécessaire à son fonctionnement quotidien et celle nécessaire à sa prise de décision stratégique (par exemple dans le cadre d’une négociation commerciale ou dans un contexte judiciaire). (... )

La prise de connaissance de l’identité d’un client ou d’une référence de dossier, n’a pas, ne serait-ce qu’intuitivement, le même degré de criticité que l’information sur l’état de cessation des paiements d’un client, sur l’intention d’engager une action en justice ou bien encore sur un projet de fusion-acquisition, de divorce ou de plan social. Les informations couvertes par le secret de l’enquête et de l’instruction, celles sur l’état de santé d’un dirigeant social ou les coordonnées bancaires doivent faire l’objet d’une appréciation encore différente. Il en est de même de celles relatives à l’existence de pratiques illégales ou contraires à l’éthique, des secrets de fabrication ou bien encore des bases de données clients-fournisseurs.

Cette analyse de la criticité des informations est essentielle. Elle doit être menée et affinée, rappelons-le, à la fois par rapport au cabinet lui-même et pour chaque client. Le travail de recensement/localisation et de qualification doit être aussi précis et aussi exhaustif que possible. Il est en effet certain que plus les conséquences de la compromission de l’information risquent d’être graves, plus les mesures de protection doivent être renforcées, pour que leur confidentialité soit assurée. Ce n’est donc qu’au terme d’une démarche préalable, rationnelle et précise d’identification des ressources à protéger, qu’il devient possible d’engager, de manière raisonnée, la réflexion sur les mesures de protection à adopter. Mais encore faut-il, il est vrai, savoir contre quoi et comment se protéger...

A suivre..."La cyberrésilience des cabinets d’avocat : quelles réactions face à quelles menaces ?"

Par Aude Dorange Responsable éditoriale du Journal du Village de la Justice