La protection des données passe par la sécurité informatique. Stéphane Lataste, avocat associé au cabinet Chatain & Associés, assisté d’Ariane Dérobert, a publié un article dans Lextenso et la Gazette du Palais, sur le thème : « La responsabilité civile professionnelle de l’avocat du fait des intrusions informatiques ».
La protection des données est mise à l’épreuve
» Les nouveaux risques liés à la cybercriminalité font augmenter les risques pesant sur les systèmes informatiques. (…) L’avocat se doit d’être particulièrement prudent en la matière. (…). »
De plus, l’article 34 de la loi n°78-17 du 6 janvier 1978 impose « de prendre toutes précautions utiles (…) pour préserver la sécurité des données ».
Comme le rappelle Me Lataste, mai et juin 2017 ont vu des cyberattaques retentissantes (dont nous avons parlé ici et là).
Par conséquent, « chaque avocat doit garder à l’esprit le cyber-risque qu’il encourt et fait encourir à ses clients ».
Améliorer la protection des données du cabinet
Les avocats doivent et peuvent prendre des mesures pour améliorer la protection des données du cabinet. D’abord, à destination des collaborateurs (charte des bonnes pratiques, création de mots de passe complexes, clauses de confidentialité…). Ensuite, en assurant un bon fonctionnement des infrastructures matérielles (mises à jour, chiffrement, sauvegardes régulières, sécurisation du réseau…).
Le logiciel de gestion, s’il est en cloud privé, met le cabinet à l’abri de ces risques. En effet, le système d’exploitation n’est pas installé sur un serveur hébergé (il serait alors contaminé comme une machine lambda). Il n’est pas non plus en local où le danger est maximum. Ainsi, comme nous l’avons indiqué ici, les choix technologiques faits par le cabinet ont une grande influence sur le niveau de protection des données du cabinet et de ses clients.
Quels sont les risques encourus par l’avocat ?
Comme le rappelle Me Lataste : « L’article 226-17 du Code Pénal dispose que « le fait de procéder ou de faire procéder à un traitement des données à caractère personnel sans mettr en oeuvre les mesures presrites à l’article 34 de la loi n°78-17 du 6 janvier 1978 précitée est puni de 5 ans d’emprisonnement t d’une amende de 300.000 € ».
De plus, l’article 1241 (anciennement 1382) du Code Civil précise : « chacun est responsable du dommage qu’il a causé notamment par son fait, mais encore par négligence ou son imprudence ».
En bref, toutes les parties prenantes de l’avocat (personnel, client…) pourraient lui réclamer des dommages et intérêts… Sans parler de la perte de productivité ou de clientèle subie directement par le cabinet !
L’assurance en responsabilité civile peut dans certains cas offrir une (faible) protection financière aux cyberrisques. A moins de contraindre l’avocat à s’équiper de certaines solutions informatiques spécifiques, la gestion du risque est problématique.
Alors, comment protéger ses données ?
Pour Me Lataste, 3 actions sont indispensables :
- la mise en place d’un charte de bonnes pratiques
- la création de mots de passe complexes et régulièrement modifiés
- l’installation de pare-feux et antivirus
L’utilisation d’un logiciel hébergé de type cloud sera probablement indispensable à l’avenir : l’anticiper ne peut donc nuire ». On ne peut mieux dire !
