Ressources

News

3 risques cyber encourus par les cabinets d’avocats

Les conséquences directes d’une cyberattaque sont sensiblement les mêmes pour toutes les entreprises. Pour autant, elles ne seront pas ressenties aussi durement et de la même façon par tous les corps de métier. Nous présentons ici 3 risques de cybersécurité qui touchent particulièrement les avocats.

Confidentialité et confiance au cœur du métier d’avocat : le risque de réputation

Une grande partie du métier d’avocat tourne autour de ce que le jargon informatique appelle la « donnée », celle du client. Il est donc crucial que celle-ci soit accessible, inaltérée, confidentielle (que la cybersécurité soit robuste) ; sinon le cabinet n’est pas loin d’être paralysé.

Sans même s’attarder sur les retombées opérationnelles, c’est une question existentielle qui se poserait à un cabinet (ou toute entreprise) victime d’une cyberattaque, puisque le sujet de la confidentialité « va sans dire » pour les avocats, soumis au secret professionnel. Le risque de réputation est énorme : comment faire confiance à un cabinet qui laisse les documents de ses clients à la portée de la première attaque venue, qui néglige sa cybersécurité ?

De nombreuses études montrent les effets délétères qu’une cyberattaque peut avoir sur la réputation. En 2018, PwC découvrait que 87% des consommateurs interrogés étaient prêts à rompre leur contrat si une faille informatique affectait leur fournisseur et donc leur cybersécurité.

TalkTalk, opérateur de télécommunication, est un cas d’école. Après avoir été à deux reprises victime d’intrusion, il subit en 2015 une nouvelle attaque suivie d’un vol de données touchant 150 000 consommateurs. L’affaire prend une ampleur plus importante quand il est révélé que les attaquants sont des adolescents, qui, déclarent que la sécurité était si faible que le piratage avait été particulièrement facile.

Violation du secret professionnel

Au-delà de la réputation, il est une sanction plus directe et plus concrète, en cas de violation du secret professionnel : le volet pénal ou disciplinaire.

Puisque l’infraction doit être intentionnelle, le volet pénal est moins souvent sollicité en cas de violation du secret professionnel par cyberattaque. Il faudrait, en effet, prouver que l’avocat a volontairement refusé de mettre en place les mesures de sécurité nécessaires, et est donc sciemment responsable de l’introduction d’un pirate sur son système d’information. L’imprudence seule ne suffirait pas à condamner l’avocat.

L’avocat peut faire face à des sanctions disciplinaires pour violation du secret professionnel suite à une négligence de sécurité informatique. Ainsi, un avocat a été condamné par les instances ordinales après n’avoir pas correctement cloisonné son système d’information. Il partageait en effet ses locaux avec un expert-comptable, et n’avait pas mis en place les mesures nécessaires pour s’assurer de l’étanchéité de son réseau. L’expert comptable avait pu avoir librement accès aux données de l’avocat.

Engagement des responsabilités de l’avocat

En regard de la responsabilité pénale, l’article 34 de la loi Informatique et libertés du 6 janvier 1978 rend l’avocat responsable des données qu’il manipule. Il lui est donc demandé « de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données. ». L’article 226-17 du Code pénal dispose que « le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de 5 ans d’emprisonnement plus 300 000 € d’amende ».

Pour la responsabilité civile, elle est mobilisable dans le cadre de l’article 1241 : « chacun est responsable du dommage qu’il a causé notamment par son fait, mais encore par sa négligence ou son imprudence ». Un client mécontent d’avoir vu ses données perdues ou divulguées pourrait donc engager la responsabilité civile.

Enfin, la responsabilité professionnelle peut aussi être engagée, dès lors que l’avocat aurait lui-même provoqué la contamination. En l’absence de mesures de sécurité suffisantes appliquées par le cabinet, un client dont les données seraient détruites ou volées subirait un préjudice directement imputable à une négligence de l’avocat.

Les 3 risques sur lesquels nous avons choisis de mettre l’accent sont liés à la confidentialité de la donnée, qui est clef dans le milieu du droit. Cependant, ils ne doivent pas faire oublier les risques plus courants, et parfois plus dévastateurs pour une entreprise !