Dans deux numéros spéciaux du Journal du Village de la Justice [1], consacrés entre autres à la sûreté numérique au sein des cabinets d’avocats, nous avons assez longuement mis la cybersécurité en perspective des valeurs et obligations de la profession d’avocat, particulièrement en nous appuyant sur les principes essentiels de la profession, de prudence, de confidentialité et de secret professionnel.
Et le relatif état d’insécurité numérique résultant d’une protection insuffisante des cabinets nous a incité à nous interroger sur la responsabilité de l’avocat, à raison notamment des dommages qu’un incident cyber subi par le cabinet pourrait causer à ses membres et/ou aux tiers.
Si les obligations imposées aux avocats en matière de sécurité informatique ne sont, du moins pour l’instant, exprimées qu’en termes de recommandations générales [2], le Code de déontologie des avocats européens prévoit que « les avocats doivent maintenir et développer leurs connaissances et leurs compétences professionnelles en tenant compte de la dimension européenne de leur profession [3] ».
Et le Conseil des Barreaux européens en déduit explicitement que « de ces exigences découle un impératif de plus en plus présent pour les avocats d’acquérir les compétences pouvant s’avérer nécessaires pour garantir la protection des informations confidentielles des clients dans le monde virtuel » [4]. Certains estiment d’ailleurs qu’« il est regrettable que le règlement intérieur national n’intègre pas, parmi les obligations déontologiques de l’avocat, cette nécessité pour les avocats de protéger le secret professionnel de toutes les atteintes liées aux nouvelles technologies » [5].
Une obligation de moyens pourrait bien finir par émerger et devenir opposable à l’avocat en matière de cybersécurité, particulièrement en tenant compte de l’état incertain de la jurisprudence [6].
Sans aller jusqu’à envisager une obligation de résultat, une obligation de moyens pourrait donc bien finir par émerger et devenir opposable au praticien en matière de cybersécurité. Et cette obligation aurait une portée d’autant plus large que l’avocat doit faire respecter le secret non seulement par les membres du personnel de son cabinet, mais aussi, sauf disposition contractuelle particulière, « par toute personne qui coopère avec lui dans son activité professionnelle ». Or il faut avoir à l’esprit que la fuite de données pourrait aussi résulter des conditions de travail d’un prestataire extérieur, auquel il est fait appel pour externaliser la réalisation de certaines tâches du cabinet : standard téléphonique et secrétariat à distance, traducteur, cloud computing, gestion du site web, sites de référencement, de consultation en ligne, etc., sans oublier la gestion de la sécurité informatique elle-même.
Mentionnons enfin qu’en décembre 2020, la CNIL a sanctionné deux médecins libéraux pour avoir insuffisamment protégé les données personnelles de leurs patients (et ne pas avoir notifié une violation de données à la CNIL). La Commission a considéré qu’ils auraient notamment dû s’assurer que la configuration de leurs réseaux informatiques ne conduisait pas à rendre les données librement accessibles sur Internet et procéder au chiffrement systématique des données personnelles hébergées sur leurs serveurs [7].
Article extrait du dossier paru initialement dans le Journal du Village de la Justice n°92 Spécial Cybersécurité des cabinets d’avocats (2nde partie) à retrouver ici
