Disposer d'un accès permanent et sécurisé à l'intégralité de ses dossiers, depuis n'importe quel terminal … telle est la révolution promise par les services de cloud computing, espaces de travail en ligne.
Grèves des transports, mesures de confinement, de déconfinement, potentiel reconfinement... Nombreux sont les évènements de l'année 2020 à avoir bouleversé le quotidien des avocats, dont la continuité de l'activité est désormais tributaire d'un accès dématérialisé garanti aux dossiers.
C'est la promesse faite par le cloud computing qui, d'après la CNIL, correspond au « fait d'utiliser des ressources informatiques à distance (via internet), par exemple pour sauvegarder des documents, des fichiers, etc. sur des serveurs mis à disposition par un prestataire. » Un cloud est ainsi constitué dès lors que 4 critères sont réunis :
- le service proposé est un service à la demande ;
- le paiement se fait à l’usage ;
- un accès léger pour tout type de terminal est garanti ;
- la virtualisation et la mise en commun des ressources sont rendues possibles depuis le monde entier.
Si la simplicité du cloud séduit de nombreux cabinets d’avocats, les multiples risques qui lui sont liés sont le plus souvent mal évalués. Retour sur les éléments clés à prendre en compte au moment du choix du recours au cloud computing.
1. Identifier les réels besoins du cabinet
Choisir de souscrire à l'hébergement à distance de tout ou partie des données liées aux dossiers traités par le cabinet peut être une réelle opportunité de traiter le fond du problème lié au surstockage de données. En effet, avant d'envisager le passage à un bureau intégralement dématérialisé, il peut être opportun de trier les données dont dispose le cabinet pour éliminer celles qui s'avèrent redondantes ou qui sont restées inutilisées pendant un certain temps, afin de ne conserver uniquement que les données réellement utiles au service et devant être stockées sur le cloud.
Ensuite, la CNIL recommande une identification précise des données devant être stockées, ainsi qu'un classement de celles-ci selon leur niveau de sensibilité, selon qu'elles soient :
- à caractère personnel ;
- à caractère sensible, conformément aux dispositions du RGPD ;
- stratégiques pour l'entreprise ;
- propres à l'utilisation d'autres logiciels au sein du cabinet d'avocats.
Selon la quantité et le niveau de sensibilité des données identifiées, il conviendra de prêter une attention particulière aux offres permettant par la suite de recourir à des extensions, ou bien d’augmenter l’espace de stockage, et à celles permettant d'isoler, le cas échéant, les données nécessitant une surveillance ou une sécurité renforcée (comme les données de santé par exemple).
Il y aurait autant de manières d'exercer la profession que d'avocats en France. Si la plupart ont encore le réflexe de recourir au format papier pour de nombreux actes, le passage au cloud peut être un moment propice pour porter un regard critique sur les habitudes de chacun.
Une fois cette analyse approfondie des pratiques terminée, il convient d'identifier les attentes concrètes du cabinet, notamment s'il est opportun de souscrire à un service « clé en main » qui centralise l'envoi des emails, un traitement partagé des dossiers, ou encore de gestion du temps passé ; ou bien s'il est plus utile de limiter le cloud au simple hébergement des différents dossiers.
2. Évaluer le respect des impératifs de sécurité et de transparence
Les problématiques liées à la sécurité des données hébergées sur les cloud sont au cœur des recommandations de la CNIL aux entreprises. Elles dépendent principalement du niveau de transparence garanti par les fournisseurs sur ce service.
Les risques de pertes de données, piratage ou encore de divulgation des informations stockées sur le cloud sont, de fait, inhérents à cette nouvelle forme d'outsourcing. Le recours à ce type de service se fait principalement par le biais d'un contrat d'adhésion. À ce propos, la CNIL conseille, dans ses recommandations, de mener une analyse de risques poussée, notamment grâce aux méthodes EBIOS ou à la liste des 35 risques identifiés par l'ENISA. Dans tous les cas, une attention toute particulière doit être prêtée :
- aux modalités d'hébergement, notamment à la possibilité d'adapter le niveau de sécurité des données selon leur sensibilité ;
- au choix du chiffrement selon le niveau de confidentialité des données concernées : sous un vocable souvent très - parfois trop - technique, chaque prestataire doit garantir un certain niveau de transparence quant aux modalités de sécurisation des données, notamment en ce qui concerne les modalités sécurisant l'accès aux dossiers et le changement des clés d'accès ;
- au lieu de stockage : un fournisseur localisé au sein de l'Union Européenne, soumis au Règlement Général sur la Protection des Données (RGPD), offrira un niveau de garanties supérieur à un fournisseur extérieur à l'Union Européenne, le mieux étant de recourir à un service garantissant le stockage des données en France ;
- à la portabilité des données : le prestataire choisi doit garantir la portabilité en cas de fin de service et éviter, le cas échéant, la destruction automatique des données (notamment en cas de fermeture du service ou de changement de prestataire).
Les cabinets d'avocats devant le plus souvent garantir un niveau de sécurité élevé lié à la sensibilité des informations qui y sont traitées, et au secret professionnel auquel elles sont soumises, le maximum de précautions doit être pris pour éviter la propagation de mailware, spyware ou tout autre fuite de données qui pourrait, in fine, engager la responsabilité du cabinet.
À titre informatif, la CNIL a fourni un contrat type listant les différents éléments devant figurer dans un contrat de cloud computing, notamment en termes de garanties suffisantes de sécurité (voire les recommandations de la CNIL relatives au cloud computing, p. 8 ; ainsi que les modèles de clauses contractuelles présentées à partir de la page 12 dudit rapport).
3. Choisir un service « à la carte »
Adieu l’archivage papier, place aux outils intuitifs, évolutifs ainsi qu’aux accès démultipliés, depuis les téléphones, ordinateurs et tablettes. Le cloud permet d'accéder en permanence à ses dossiers, et dans le même temps, à deux parties d'avoir accès à un document unique, pour lequel il est possible, le cas échéant, de choisir de restreindre ou autoriser l’accès au client ou à d'autres avocats.
L’élasticité particulière des offres et des services peuvent ainsi permettre une gestion tout en un des différents dossiers du cabinet, grâce à l'ajout de diverses fonctionnalités : logiciels de gestion de temps et des contacts, suivi des frais engagés, export de fiches comptables, traitement de texte, …
À faible coût, ils peuvent également permettre l'utilisation de moteurs de recherche performants, ou encore l'intégration des e-mails.
Décider de regrouper toutes les informations pertinentes dans un unique endroit peut certes, avoir de nombreux aspects pratiques. Cependant, en cas d'utilisation du cloud strictement limitée à des fins de stockage, il conviendra de s'assurer préalablement de sa compatibilité avec d'autres logiciels utilisés dans le cabinet, mais aussi des modalités de portabilité et de récupération des données en cas de fin de service.
Aussi, il sera nécessaire de prévoir contractuellement les modalités de récupération des données en cas de fin de contrat, l’externalisation faisant perdre la main sur la gestion des données afférentes, selon qu’elle résulte de la fin du service de cloud ou bien de la fin du contrat. En pratique, il faudra donc également vérifier que les conditions de réversibilité sont effectivement réalisables.
À titre d’exemple, les Lignes directrices sur l’utilisation des services d’informatique en nuage par les institutions et les organes de l’Union européenne apportent des réponses complémentaires aux bonnes pratiques liées à l'utilisation du cloud en entreprise.
4. Anticiper les coûts selon le type de cloud
Face à l'explosion des demandes d'accès à des données dématérialisées, de très nombreuses offres commerciales, plus ou moins claires et/ou avantageuses ont vu le jour. Ici, deux critères doivent être pris en compte au moment du choix du service auquel recourir : d'une part, le type d'entreprise dont émane l'offre, d'autre part, le coût du service proposé.
S'agissant d'abord du type d'entreprise, les services de cloud sont principalement distribués par trois formes d'entreprises : les SaaS (Software as a service) ; PaaS (Platform as a service) ; ou Iaas (Infrastructure as a service).
S'agissant ensuite des coûts, il convient de différencier les offres commerciales de cloud dits standard gratuit des cloud payants assurant généralement un niveau de sécurité plus élevé.
-
L'option gratuite sécurisée : utiliser le Cloud Privé offert par le CNB
Le Conseil national des Barreaux a mis en place un cloud privé liant l'adresse mail professionnelle dont dispose chaque avocat à un espace de stockage sécurisé, permettant le partage des dossiers tant avec les clients qu'avec d'autres avocats.
Celui-ci a été récemment soumis à de très nombreuses modifications que nous détaillons dans un article.
Le niveau de sécurité qu'il garantit en comparaison d'offres similaires (principalement Google Drive et Onedrive) en fait un outil privilégié pour tout avocat souhaitant disposer d'un accès en ligne pour certains de ses dossiers uniquement.
Néanmoins, cet outil suscite de nombreuses critiques, liées à son manque de praticité. La solution gratuite n'est donc pas nécessairement à privilégier.
-
L'option payante : recourir à un organisme de stockage privé
De très nombreuses entreprises proposent désormais des offres « à la carte », pour lesquelles un tarif de base est proposé et auquel peuvent s'ajouter différentes options, variant en fonction de la quantité de stockage nécessaire, du niveau de sécurité demandé ou de l'accès à un agenda, une boîte mail ou encore un logiciel de facturation ou de décompte du temps passé.
Ce type de logiciel sera particulièrement pertinent pour les cabinets souhaitant disposer d'un pack équipant l'intégralité de leurs collaborateurs ou pour les avocats individuels souhaitant centraliser tous leurs outils au sein d'une seule plateforme. Les coûts varient généralement entre une trentaine d’euros pour un accès individuel et plusieurs centaines d’euros pour équiper tout un cabinet.
Attention toutefois : un coût mensuel bas peut parfois cacher un coût annuel élevé. Il conviendra de considérer les bénéfices de la solution envisagée au regard des coûts annuels de tels outils et de préférer un logiciel construit pour les avocats plutôt qu’un logiciel « grand public » qui ne saurait garantir un niveau de sécurité suffisant.
Enfin, la qualité du service client, qui assure un accompagnement permanent et de qualité tout au long de la relation, est également à prendre en considération.
Pour approfondir :
- Dossier spécial Contrats et cloud computing, Matinée d’étude 21 juin 2013 Faculté de Droit de l’Université Lille-II. , notamment les articles de Eric Le Quellenec et Nicolas Dubois ;
- CNIL : Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing ;
- Synthèse des réponses à la consultation publique sur le Cloud computing lancée par la CNIL d’octobre à décembre 2011 et analyse de la CNIL.
Lire également sur ce sujet :
Cloud pour les avocats : ce qu’il faut savoir en 2020
Utilisez Predictice comme cloud pour votre cabinet d'avocats
Etudiante en droit à Sciences Po, Pauline est rédactrice de contenu pour Predictice.