Vers l’émergence d’une obligation de moyens, opposable à l’avocat, en matière de cybersécurité ?

Le relatif état d’insécurité numérique résultant d’une protection insuffisante des cabinets nous a incité à nous interroger sur la responsabilité de l’avocat, à raison notamment des dommages qu’un incident cyber subi par le cabinet pourrait causer à ses membres et/ou aux tiers.

Dans deux numéros spéciaux du Journal du Village de la Justice [1], consacrés entre autres à la sûreté numérique au sein des cabinets d’avocats, nous avons assez longuement mis la cybersécurité en perspective des valeurs et obligations de la profession d’avocat, particulièrement en nous appuyant sur les principes essentiels de la profession, de prudence, de confidentialité et de secret professionnel.

Et le relatif état d’insécurité numérique résultant d’une protection insuffisante des cabinets nous a incité à nous interroger sur la responsabilité de l’avocat, à raison notamment des dommages qu’un incident cyber subi par le cabinet pourrait causer à ses membres et/ou aux tiers.

Si les obligations imposées aux avocats en matière de sécurité informatique ne sont, du moins pour l’instant, exprimées qu’en termes de recommandations générales [2], le Code de déontologie des avocats européens prévoit que « les avocats doivent maintenir et développer leurs connaissances et leurs compétences professionnelles en tenant compte de la dimension européenne de leur profession [3] ».

Sans aller jusqu’à envisager une obligation de résultat, une obligation de moyens pourrait donc bien finir par émerger et devenir opposable.

Et le Conseil des Barreaux européens en déduit explicitement que « de ces exigences découle un impératif de plus en plus présent pour les avocats d’acquérir les compétences pouvant s’avérer nécessaires pour garantir la protection des informations confidentielles des clients dans le monde virtuel » [4]. Certains estiment d’ailleurs qu’« il est regrettable que le règlement intérieur national n’intègre pas, parmi les obligations déontologiques de l’avocat, cette nécessité pour les avocats de protéger le secret professionnel de toutes les atteintes liées aux nouvelles technologies » [5].

Une obligation de moyens pourrait bien finir par émerger et devenir opposable à l’avocat en matière de cybersécurité, particulièrement en tenant compte de l’état incertain de la jurisprudence [6].

Sans aller jusqu’à envisager une obligation de résultat, une obligation de moyens pourrait donc bien finir par émerger et devenir opposable au praticien en matière de cybersécurité. Et cette obligation aurait une portée d’autant plus large que l’avocat doit faire respecter le secret non seulement par les membres du personnel de son cabinet, mais aussi, sauf disposition contractuelle particulière, « par toute personne qui coopère avec lui dans son activité professionnelle ». Or il faut avoir à l’esprit que la fuite de données pourrait aussi résulter des conditions de travail d’un prestataire extérieur, auquel il est fait appel pour externaliser la réalisation de certaines tâches du cabinet : standard téléphonique et secrétariat à distance, traducteur, cloud computing, gestion du site web, sites de référencement, de consultation en ligne, etc., sans oublier la gestion de la sécurité informatique elle-même.

Mentionnons enfin qu’en décembre 2020, la CNIL a sanctionné deux médecins libéraux pour avoir insuffisamment protégé les données personnelles de leurs patients (et ne pas avoir notifié une violation de données à la CNIL). La Commission a considéré qu’ils auraient notamment dû s’assurer que la configuration de leurs réseaux informatiques ne conduisait pas à rendre les données librement accessibles sur Internet et procéder au chiffrement systématique des données personnelles hébergées sur leurs serveurs [7].

Article extrait du dossier paru initialement dans le Journal du Village de la Justice n°92 Spécial Cybersécurité des cabinets d’avocats (2nde partie) à retrouver ici

Par Aude Dorange
Rédaction du Village de la Justice

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

1 vote

Notes de l'article:

[1Numéros 91 et 92, à retrouver ici

[2Sauf à s’inscrire dans le cadre précis de la protection des données personnelles au sens du RGPD.

[3Code de déontologie de l’avocat européen, art. 5.8.

[4CCBE, 2016, Conseils pour le renforcement de la sécurité informatique des avocats contre la surveillance illégale (www.ccbe.eu).

[5Bénichou M., « Le secret professionnel soumis aux technologies nouvelles », Dalloz Avocats n° 11, nov. 2018, p. 378.

[6Qui pourrait bien finir par considérer qu’un cyber incident ne répond pas aux conditions d’imprévisibilité et d’irrésistibilité de la force majeure, au sens de l’article 1218 du Code civil. Voir par ex. CA Paris, 7 févr. 2020, RG n° 18/03616, cit. in C. Théard-Jallu, K. Ishac, « Victimes de ransomware : vous êtes potentiellement responsables, vérifiez vos contrats et surtout, ne payez pas ! », 16 oct. 2020, www.degaullefleurance.com.

[7CNIL, 7 déc. 2020, délib. n° SAN-2020-014 ; CNIL, 7 déc. 2020, délib. n° SAN-2020-015.

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit, certifié 4e site Pro en France: Avocats, juristes, fiscalistes, notaires, huissiers, magistrats, RH, paralegals, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 149 110 membres, 23056 articles, 126 575 messages sur les forums, 4 300 annonces d'emploi et stage... et 2 000 000 visites du site par mois en moyenne. *


FOCUS SUR >

Suite du Legal Design Sprint 2022-2023 ! (Angers, Bruxelles, Rennes, Lyon et Paris...)

A LIRE AUSSI >

Suivez le Village sur les Réseaux sociaux... Et pourquoi pas avec une Alerte mail sur nouveaux articles ?




LES HABITANTS

Membres

PROFESSIONNELS DU DROIT

Solutions

Formateurs