Par Olivier de MAISON ROUGE, Avocat et Docteur en droit, Coprésident de la commission renseignement et sécurité économique (ACE) Auteur de « Cyberisques. La gestion juridique des risques à l’ère immatérielle », LexisNexis, 2018
Sous réserve des strictes exigences de sa propre défense devant toute juridiction et des cas de déclaration ou de révélation prévues ou autorisées par la loi, l’avocat ne commet, en toute matière, aucune divulgation contrevenant au secret professionnel.
Art. 4 décret 12 juillet 2005
I – SECURITE NUMERIQUE ET CONFIDENTIALITE : LES RISQUES PROFESSIONNELS
Pour Me Jean-Marc VARAUT : « La déontologie est, selon la formule de Littré, la science des devoirs. Le secret professionnel est un devoir pour l’avocat. ».
Le risque pénal
Le secret et plus généralement la confidentialité pesant sur les leurs activités est consubstantielle aux métiers du droit en général, et de l’avocat en particulier. Cela signifie, en raison de l’obligation qui pèse sur les avocats, notaires, commissaires de Justice etc, qu’il leur appartient d’être scrupuleusement vigilant sur leurs activités mais encore sur les supports numériques à usage professionnels.
Cela intègre bien évidemment les pièces, annexes, actes, preuves, objets saisis, etc, mais dorénavant cela embrasse également les outils numériques qui composent désormais les supports de l’exercice de la profession. Cela n’est pas sans risque en regard des dispositions pénales :
La violation du secret professionnel, qui se trouve sous l’article 226-13 du Code pénal, réprime d’un an d’emprisonnement et de 15.000 € d’amende l’atteinte au secret professionnel.
Contrairement aux idées reçues, la violation du secret vise moins à sécuriser et à sanctionner la divulgation du secret lui-même que de réprimer les atteintes portées aux personnes concernées par les données secrètes. C’est pourquoi la sanction de la violation ne figure pas, sous le titre troisième relatif aux atteintes aux biens, mais sous le titre deuxième du Code pénal, ayant trait aux atteintes aux personnes.
C’est donc précisément le tort causé à la victime dont le secret est intrinsèquement attaché à la personne qui est répréhensible. C’est pourquoi le secret professionnel est un devoir et toute perte ou altération de données est susceptible de constituer une faute par divulgation.
L’atteinte aux données professionnelles : Tel que modifié par la loi du 13 novembre 2014 (article 16), l’article 323-3 du Code pénal est devenu : Le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 150 000 € d’amende.
À ce titre, un cabinet est dépositaire de données per se confidentielles, relevant du secret professionnel. Toute atteinte aux données par voie d’intrusion, altération, extraction, reproduction est par conséquent de nature à déstabiliser l’activité d’un cabinet d’avocats ou d’un office notarial.
Enfin, en matière de vol de données couvertes par le secret professionnel, sans intrusion informatique, la Chambre criminelle de la Cour de cassation (Cass. Crim., 28 juin 2017, n°16-81.113) a sanctionné l’associé d’une SCP qui était en possession des codes d’accès où : par le biais du système informatique du cabinet, il a eu accès aux fichiers collectifs à partir du serveur, sans avoir à entrer un quelconque code d’accès propre à Me Y…, qu’il a pu librement télécharger des documents, (…) que Me X… a effectué et récupéré des photographies de courriers de la Mutuelle de sa consœur et édité secrètement des doubles de courriers rédigés par elle contenus dans ses fichiers informatiques consultés officieusement, ce, à l’insu et contre le gré de celle-ci, et à des fins étrangères au fonctionnement de la SCP ; que les juges ajoutent que le prévenu s’était dès lors approprié ces documents, et ce frauduleusement ;
Vol (article 311-1 du Code pénal) et extraction de données (article 323-3 du même code) sont donc alternatifs aux yeux des tribunaux et forment quasi indistinctement le même corpus juridique destiné à sanctionner la collecte frauduleuse de données sensibles et/ou confidentielles.
Le risque en regard de la conformité au RGPD
Les articles 33 et 34 du RGPD obligent désormais les responsables du traitement et les sous-traitants à notifier les violations de sécurité en aval.
La violation de données à caractère personnel se définit comme la violation de sécurité entrainant la destruction, la perte, l’altération ou la divulgation de données à caractère personnel traitées.
La notification d’une violation de données doit être effectuée auprès de l’autorité de contrôle nationale compétente (CNIL) dans un délai de 72 heures au plus tard après la prise de connaissance de la violation en ce qui concerne le responsable du traitement.
L’article 34 impose corrélativement au responsable du traitement l’obligation d’informer individuellement les personnes physiques concernées par une faille de sécurité dans les meilleurs délais, sauf à ce que cela exige des « efforts disproportionnés ». En pareille hypothèse, la communication sera effectuée publiquement.
II – LES BONNES PRATIQUES DE PROTECTION DU PATRIMOINE INFORMATIONNEL DES STRUCTURES D’EXERCICE PROFESSIONNEL
En raison des risques et évolutions ci-dessus relevées, il convient donc d’adopter des règles d’hygiène numérique destinées à anticiper et écarter les risques liés à l’usage des outils informatiques :
SENSIBILISER : sécuriser, c’est d’abord diffuser les bonnes pratiques de précaution à l’attention de toutes les forces vives du cabinet. Une formation adaptée et continue doit être réalisée en interne pour étendre à tous les collaborateurs le souci d’agir au quotidien conformément aux règles de sécurité en usage et leur permettre d’avoir conscience des menaces pour les activités professionnelles.
SE CONFORMER à la règlementation en vigueur : l’effort de conformité doit s’appliquer de manière à être toujours au niveau requis de protection numérique érigé par les textes (RGPD notamment) et les règles professionnelles. Une veille règlementaire et un dialogue permanent avec les institutions (Ordres, ANSSI) doivent permettre de conserver un niveau élevé de conformité.
ORGANISER la protection physique des installations et des infrastructures : la sécurité des réseaux et des informations n’exclue pas la prise en compte des sinistres. Une politique de sécurité robuste des supports physiques et logiques doit être intégrée dans le cadre général de la protection des données professionnelles.
PRATIQUER un examen régulier des risques et des vulnérabilités : un audit de sécurité numérique sera régulièrement effectué de manière à mettre en œuvre une adaptation nécessaire et évolutive en intégrant des mises à jour nécessaires pour palier les failles de sécurité recensées.
INTÉGRER une politique proactive de résilience numérique : la politique de sûreté numérique doit intégrer une procédure de gestion de crise pour savoir réagir aux cyber attaques de toute nature et être en mesure de restituer dans un temps donné toutes les données présentes antérieurement au sein de la plan de reprises d’activité. Etc).
RAPPELER les règles essentielles de travail et connexion à distance et/ou en déplacement : éviter l’usage des plateformes de partage et les moyens de connexion publics. Ne transférer que les fichiers utiles. Faire œuvre de pédagogie quant à l’usage des outils numériques mobiles contre le vol des supports clés UBS, portables, la captation technique des données, …
INTÉGRER des systèmes d’authentification forte : recourir au chiffrement des données sensibles. Assurer une mise à niveau suffisante des codes d’accès et mots de passe. Définir et mettre en œuvre une politique d’identité numérique avec les collaborateurs clefs.
Dès lors, si le secret professionnel est un devoir, la sécurité numérique est désormais une garantie autant qu’une obligation.