Lundi 22 mars, Predictice a organisé une keynote sur la question de l’usage du cloud computing par les avocats.
POUR ACCÉDER À L'INTÉGRALITÉ DU WEBINAR, CLIQUEZ ICI : WEBINAR PREDICTICE - Lawyer Cloud Act : quel cloud pour les avocats ?
La conférence en ligne, qui a réuni une cinquantaine de participants, s’est déroulée en deux temps : une première table ronde a porté sur le thème des risques engendrés par le recours au cloud computing pour les avocats, notamment au regard du respect du secret professionnel.
La seconde partie a porté sur le Lawyer Cloud Act et sur les règles à imposer pour bâtir un cloud protecteur pour les avocats.
En première partie, une table ronde consacrée aux risques engendrés par le recours au cloud computing par les avocats
La première table ronde a réuni quatre spécialistes :
- Sonia Cissé, avocate, spécialiste en IP/IT et responsable du département Technologie Media & Telecommunication au sein du cabinet Linklaters ;
- Sandrine Vara, avocate en droit des affaires, associée au sein du cabinet Cinetic Avocats, présidente de la Commission numérique du Conseil national des barreaux de 2018 à 2020 ;
- Stéphane Dhonte, avocat associé chez Dhonte & Associés et ancien Bâtonnier de l'Ordre des avocats du barreau de Lille.
- Olivier de Maison Rouge, docteur en droit, avocat au sein du cabinet Lex-Squared, conférencier, et auteur d’un ouvrage intitulé Survivre à la guerre économique, manuel de résilience (VA Éditions, septembre 2020), deuxième opus d'une trilogie consacrée à la guerre économique mondiale.
Le constat : la numérisation de la profession d'avocat
Les discussions ont débuté sur un constat : M. Dhonte a évoqué les répercussions de la pandémie sur les avocats. Le premier confinement a été un crash test pour tous les professionnels du droit : avocats, tribunaux, services ordinaux… Une grande disparité dans les équipements a pu être notée chez les avocats et les services ordinaux. Concernant les tribunaux, on a également pu constater une grande disparité : la justice administrative s’est révélée mieux équipée pour assurer des audiences à distance que la justice judiciaire, qui a dû arrêter son activité presque complètement. M. Dhonte a également évoqué les efforts qui ont été déployés à Lille pour assurer une continuité de l’activité judiciaire devant les tribunaux de commerce. Il a ensuite exprimé ses inquiétudes sur la suite de la crise sanitaire, qui risque de se doubler d’une crise économique.
Éloïse Haddad Mimoun a ensuite interrogé Mme Vara sur le projet phare lancé par le CNB, le plan numérique, et plus précisément sur les actions que le CNB a adoptées afin d’aider les avocats à faire face à la pandémie, notamment en matière de numérisation.
Rappelant que le sujet de la numérisation des avocats était traité depuis longtemps par le CNB, Sandrine Vara a souligné que c’était grâce à ces efforts déployés depuis plusieurs années que les avocats ont pu maintenir leur activité : le Réseau Privé Virtuel (RPVA) a été créé en 2005. Le CNB s’est progressivement enrichi de nouveaux outils pour compléter l’activité des avocats. Elle a souligné également le besoin d’accompagnement des avocats, le niveau d’acculturation du numérique étant très variable. Enfin, la difficulté principale lors du premier confinement a été le manque de préparation des juridictions qui n’ont pu assurer la continuité de leurs activités par manque d’équipement. C’est pourquoi le CNB a développé des outils de communication comme le projet PLEX, qui permet un transfert de gros fichiers en matière pénale et qui s’est pérennisé par la suite. Néanmoins, l’activité juridictionnelle en matière civile a été fortement pénalisée par son manque de moyens.
Après quelques échanges avec les participants sur l’activité du CNB, qui ont permis à Mme Vara de souligner le développement important de la plateforme depuis trois ans, les développements se sont poursuivis autour de la question du risque numérique pour les avocats.
La typologie des risques pour les avocats et les problématiques de souveraineté numérique européenne
Sonia Cissé a présenté une typologie des risques encourus par les avocats lorsqu’ils recourent au cloud computing : le risque de dépendance technologique qui doit être minimisé dans le cadre du contrat, en prévoyant notamment des niveaux de service adéquats ; le risque pour l’intégrité et la confidentialité des données : les avocats, en tant que responsables de traitement, ont la responsabilité de ces données, de sorte qu’ils sont tenus d’informer la CNIL en cas de dommage et, dans certains cas, leurs clients. Ainsi, il existe également un risque pour la réputation de l’avocat. Enfin, les avocats étant tenus au secret professionnel, la violation des données des clients constitue également une violation du devoir relatif au secret professionnel.
LIRE AUSSI >> Les violations de données personnelles
Olivier de Maison Rouge est ensuite intervenu. Après avoir rappelé la définition légale du cloud computing, présente dans la loi du 26 février 2018 de transposition de la directive européenne NIS de juillet 2018. Il a ensuite précisé la nécessité pour l’avocat, soucieux du respect de sa déontologie, de savoir où se trouvent ses données. La souveraineté étant le fait d’avoir le contrôle sur les données, elle implique de savoir à qui elles sont confiées. Dans le cyber espace, s’entrechoquent désormais des législations à portée extraterritoriale qui témoignent de l’appétence des États pour les données personnelles, le CLOUD ACT étant l’exemple le plus connu. Le choix d’un hébergeur américain expose donc les avocats à voir les données confidentielles être utilisées dans le cadre de procédures étrangères. Il convient donc de rester vigilant sur la nationalité de l’opérateur à qui sont confiées les données.
Sonia Cissé a rebondi sur ces propos en soulignant que la Cour de justice de l’Union européenne a rappelé, avec l’arrêt Schrems 2, l’importance du lieu d’hébergement des données. L’intérêt principal du choix d’un prestataire en France consiste essentiellement dans la possibilité de l’auditer.
LIRE AUSSI >>Transferts des données : quelles protections pour les Européens ?
La question a ensuite été posée de savoir si le choix d’un hébergeur dans un État membre de l’Union européenne permettait d’assurer les mêmes garanties que le choix d’un hébergeur français. Selon Sonia Cissé, selon le RGPD, il y a bien une harmonisation au niveau européen. Olivier de Maison Rouge a rebondi sur ces propos pour les confirmer et insister sur l’importance de la nationalité de l’opérateur. À la suite d’une question posée par l’auditoire, il a ensuite évoqué l’ordonnance du Conseil d’État du 13 octobre 2020 relative au Health Data Hub.
Après quelques échanges avec les participants, les débats se sont poursuivis avec l’exposé des retours d’expérience des intervenants sur la gestion de leur risque numérique.
Les retours d'expérience sur la gestion du risque numérique en cabinet d'avocats
Stéphane Dhonte a fait part de son retour d’expérience en tant qu’ancien bâtonnier. Il y a quelques années, la gestion du risque numérique par les avocats laissait fortement à désirer. Il est impensable, au regard du devoir relatif au secret professionnel, de communiquer sur des plateformes non sécurisées. Néanmoins, la montée en puissance des régulateurs et des règles de compliance crée un cercle vertueux obligeant tous les acteurs à être vigilants.
Sonia Cissé est ensuite intervenue pour décrire comment est géré le risque numérique au sein du cabinet Linklaters. Le dispositif impressionnant comprend une équipe dédiée d’experts informatiques qui gère toute l’infrastructure, le recours à des prestataires externes afin d’effectuer des audits réguliers et des formations pour tous les employés afin de les sensibiliser au risque numérique. L’utilisation d’outils et de méthodes appropriés est imposée, comme les pare-feux, un système d’accréditation, l’interdiction d’utiliser une clé USB externe…
Olivier de Maison Rouge a fait part des moyens d’ “hygiène numérique” qu’il met en œuvre chez Lex-Squared. Il existe des solutions simples et d’un coût abordable, comme faire le choix d’avoir son propre serveur cloud. C’est le cas pour lui, qui a son propre serveur et a prévu des sauvegardes, grâce à des redondances aussi bien numériques que physiques. Il encourage ses confrères à faire un benchmark des solutions existantes ; pour sa part, il utilise l’application de messagerie française Olvid, qui est chiffrée de bout en bout.
Toutes ces précautions imposent aux avocats d’acquérir des compétences technologiques. C’est pourquoi Sandrine Vara a ensuite exposé les moyens envisagés par le CNB pour accompagner les avocats sur ces points. Elle a insisté sur l’importance des actions de sensibilisation et de formation. Les attaques n’arrivent pas qu’aux autres et ne visent pas nécessairement les gros cabinets.
LIRE AUSSI >> Les nouveaux défis de la cyber sécurité
En conclusion, Éloïse Haddad Mimoun a évoqué un point précis : celui des opérateurs qui ne sont pas eux-mêmes des hébergeurs cloud mais qui ont recours à des hébergeurs cloud pour stocker les données qui leur sont confiées. C’est la question des intermédiaires, pour lesquels le problème du respect des règles se pose également.
En seconde partie, une table ronde consacrée au Lawyer Cloud Act et aux règles à imposer pour bâtir un cloud protecteur pour les avocats
La seconde table ronde a ainsi porté sur le Lawyer Cloud Act et sur les règles à imposer afin de bâtir un cloud protecteur pour les avocats, aux côtés de Louis Larret-Chahine, co-fondateur et directeur général de Predictice, et de Benjamin Okra, directeur commercial chez Predictice.
Louis Larret-Chahine a évoqué la genèse du Lawyer Cloud Act, projet nourri par le souci de faire bénéficier les professionnels du droit du meilleur de la technologie en toute sécurité. Predictice s’est entourée de ses partenaires historiques, le CNB, le Comité éthique et scientifique de la justice prédictive, l’hébergeur leader français OVH, afin de mener à bien une réflexion pour définir les règles qui doivent s’imposer aux intermédiaires.
L’objectif est d’élaborer une charte servant à définir des standards pour créer une solution cloud pour les avocats.
En cours d’élaboration, le texte permet déjà de prendre connaissance de grands principes sur le point d’émerger, comme la question de la sécurité des locaux, de protection numérique des services par un chiffrement de bout en bout. Il faut également sensibiliser les équipes qui s’occupent de l’hébergement des données entre autres.
LIRE AUSSI >> Lawyer Cloud Act : Predictice s'engage
Louis Larret-Chahine a également évoqué le CLOUD Act et la nécessité de choisir des prestataires qui ne sont pas américains et dont les serveurs ne sont pas situés sur le territoire américain.
Après quelques questions-réponses, Benjamin Okra a pris la parole pour faire la démonstration des fonctionnalités de Predictice qui exigent le recours à un hébergement cloud : Mes Documents et Scan. Ces fonctionnalités répondent à un besoin des utilisateurs de Predictice qui souhaitent une plus grande flexibilité dans la navigation entre leur documentation interne et leur documentation externe.
Enfin, les échanges se sont conclus sur une série d’échanges avec les participants, soucieux de comprendre toutes les mesures de sécurité mises en place par Predictice.
LIRE AUSSI >> Avec Scan, vivez la révolution de l’analyse des documents juridiques !
Pour retrouver tous les webinars Predictice, rendez-vous ici 👉 les conférences en ligne de Predictice
Docteure en droit et diplômée de l'Essec, Eloïse est rédactrice en chef du Blog Predictice.