En théorie, toute entreprise devrait pouvoir garantir à ses clients que leurs données numériques sont bien sécurisées et protégées. Néanmoins, en pratique, certains professionnels comme les avocats sont plus exposés que d'autres. Dans cet article, Maître Harquet nous expose les précautions prises dans son cabinet pour se préserver de toute fuite de données, accidentelle ou malveillante.
Ils détiennent en effet des informations particulièrement sensibles, variant en fonction de leurs spécialités : fichiers clients, données comptables de sociétés, informations privées compromettantes, dépôt de brevets, de marques, etc.
Florian Harquet exerce comme avocat à Épinal depuis 23 ans. Après une maîtrise en droit des affaires et un DESS d'administration des entreprises à l'IAE de Nancy, il a prêté serment en 1996. Maître Harquet possède un profil d'avocat généraliste. Ses domaines de prédilection sont :
Pour être honnête, ils ne s'en soucient pas vraiment. Je ne ressens pas de pression particulière de leur part sur ce point. Mes clients savent que tous nos échanges sont couverts par le secret professionnel de l'avocat.
En revanche, l'ordre des avocats nous sensibilise régulièrement à ces questions. L'ordre a par exemple beaucoup communiqué à ce sujet en 2018, au moment de l'entrée en vigueur du RGPD (Règlement Général sur la Protection des Données).
En tant que gardien de données qui ne doivent pas être diffusées, j'encours les mêmes sanctions que tout un chacun, en raison notamment du RGPD dont nous venons de parler.
Mais je risque bien plus gros en tant qu'avocat ! Protéger les informations confiées par les clients fait partie de mes obligations déontologiques. Si je trahissais cette confiance, je risque évidemment une perte de clientèle, comme toute autre entreprise. Mais je risque en plus des sanctions disciplinaires pouvant aller jusqu'à la radiation. En cas de violation du secret professionnel, je peux tout simplement perdre le droit d'exercer !
« Très récemment, le cabinet d’avocats Grubman Shire Meiselas & Sacks a été victime d’une attaque ramsomware. À défaut de payer les 42 millions de dollars demandés par les hackers, suivant les recommandations du FBI, une partie des documents juridiques de leur cliente Lady Gaga ont été diffusées sur le darkweb. »
Tout d'abord, il faut préciser que je travaille avec une assistante juridique, Vanessa. Je partage également mes locaux avec une autre avocate, Maître Mathilde Bello. Nous utilisons tous les 3 pour échanger entre nous et avec les clients une messagerie totalement sécurisée, hébergée par Hisid en France. Je sais donc où sont mes données et celles de mes clients, par où elles transitent.
Parfois, certains de mes confrères communiquent pour des échanges professionnels avec des adresses en Gmail ou en Outlook. Sont-ils conscients que leurs messages, ainsi que les pièces jointes, peuvent être lus par Google dans le cas de Gmail ? L'utilisation de Gmail ne me semble pas très compatible avec l'obligation de confidentialité inhérente à notre métier…
Sur les recommandations d'Hisid et de la CNIL, j'utilise aussi le logiciel AxCrypt, qui offre des méthodes de chiffrages forts pour crypter les pièces jointes et les informations sensibles transmises par mail.
Quitte à mettre en place des choses, je voulais aller jusqu'au bout !
Hisid héberge également mon logiciel professionnel, Office Avocat. C'est avec ce logiciel acquis en 2008 que je gère mon agenda, la facturation, les règlements, les dossiers clients, etc. Office Avocat contient aussi les bases de données relatives à mes clients et à mes adversaires.
Mais la société éditrice de ce logiciel, Jurisoft Applications, a été rachetée. Désormais, on ne peut plus acheter de licence. Le logiciel fonctionne encore, mais il n'y a plus de mise à jour.
Pour l'instant je résiste, car le nouvel abonnement proposé est très onéreux au fil du temps. En plus, avec cette formule mensuelle qu'on veut m'imposer, l'hébergement des données est contraint, et cela ne me convient pas.
Il y a quelques années, j'ai vu une société de recouvrement de créances se fâcher avec son fournisseur informatique. Le litige perdurant, ce dernier a fini par couper l'accès à ses données, condamnant son client à la faillite ! Cette affaire démontre bien la nécessité de souscrire pour ses données professionnelles un contrat clair avec une société sérieuse.
Le Conseil National des Barreaux (CNB) a créé en 2007 un Réseau Privé Virtuel des Avocats baptisé e-barreau.
Nous utilisons ce réseau privé pour échanger entre confrères, et avec les juridictions à représentation obligatoire. C'est ainsi que l'on appelle les juridictions où l'on doit obligatoirement être défendu par un avocat : tribunal de grande instance, juge des référés, tribunal pour enfants, etc.
Pour toutes ces procédures, tous nos échanges sont sécurisés via le portail e-barreau, qui est le seul outil de communication autorisé. Seuls les avocats peuvent se connecter à ce réseau virtuel.
Pour y accéder, nous utilisons une clé d'authentification qui se présente sous la forme d'une clé USB. Chaque avocat possède un certificat de sécurité unique, délivré par le CNB. Contrairement à une clé USB classique, il ne contient aucun document. Mais cette clé de certificat est indispensable pour communiquer des pièces, entre avocats et avec les différentes juridictions.
C'est grâce à ce système de clé d'identification, commun à tous les avocats de France, que nous pouvons transmettre des actes de procédure horodatés, de façon incontestable.
Depuis 2017, le Réseau Privé Virtuel des Avocats (RPVA) nous permet aussi de nourrir les recours devant le tribunal administratif.
En résumé, selon le destinataire de la communication, chaque avocat intervenant en contentieux possède au moins 2 adresses e-mail :
J'ai rencontré David Oubre, le gérant d'Hisid, grâce à un client commun. Au départ, David intervenait au cabinet en qualité d'informaticien. Le courant passe bien entre nous, car David explique très simplement les choses.
Quand je posais une question à mon précédent prestataire, sa réponse était tellement incompréhensible qu'à la fin, je ne me souvenais plus de la question !
Par la suite, j'ai fait appel à Hisid pour des prestations d'hébergement. En dernier lieu, quand certains PC ont montré de sérieux signes de faiblesse, j'ai décidé de louer des clients légers. Les clients légers sont plus fiables et plus faciles à protéger contre les virus que des ordinateurs classiques.
J'ai fait le choix de la location du matériel pour des questions de coût, mais aussi de confort. Hisid pose, installe et gère le parc machines. Et en cas de panne, l'intervention est rapide et efficace.
Hisid s'occupe de la location des clients légers, de la maintenance et des sauvegardes quotidiennes. Avant Hisid, j'ai été confronté plusieurs fois à des problèmes de sauvegardes que je pensais opérationnelles, mais qui ne l'étaient pas.
Pour finir, je dois dire que pendant longtemps, je ne me suis pas préoccupé de la question du télétravail, car je ne suis pas très nomade. Je me déplace peu. Mais c'est pendant le confinement que j'ai vraiment expérimenté tout le confort d'un bureau hébergé. C'est un système très très agréable pour travailler à domicile, dans le respect des règles sanitaires !
Ces dispositifs sont tous parfaitement compatibles avec e-barreau, le système de communication entre avocats et juridictions mis en place par le Conseil National des Barreaux.
Grâce aux bureaux Windows hébergés (DaaS), Maître Harquet a aussi pu conserver une connexion internet classique et peu coûteuse, tout en étant parfaitement sécurisée. En effet, aucune machine de son réseau ne contient de données et le trafic entre chaque client léger et la passerelle Hisid est chiffré de bout en bout, rendant ainsi l’interception de données extrêmement compliquée.
Vous êtes avocat ou vous détenez des données clients sensibles, et vous voulez discuter de la meilleure manière de les protéger ? Appelez-nous !
Tous les articles