3 risques cyber encourus par les cabinets d’avocats

Coralium

Dans l’ensemble, les conséquences directes d’une cyber-attaque (perte de données, perte de réputation, paralysie de l’activité, non-conformité réglementaire, engagement de la responsabilité civile, pénale ou professionnelle…) sont sensiblement les mêmes pour toutes les entreprises et industries. Pour autant, elles ne seront pas ressenties aussi durement et de la même façon par tous les corps de métier. Nous présentons ici 3 risques qui touchent particulièrement les avocats.

Confidentialité et confiance au cœur du métier d’avocat : le risque de réputation

Une grande partie du métier d’avocat tourne autour de ce que le jargon informatique appelle la « donnée », celle du client. Il est donc crucial que celle-ci soit accessible, inaltérée, confidentielle ; dans le cas contraire, l’avocat n’est pas loin d’être paralysé.

Sans même s’attarder sur les retombées opérationnelles, c’est une question existentielle qui se poserait à un cabinet victime d’une cyber-attaque, puisque le sujet de la confidentialité « va sans dire » pour les avocats, soumis au secret professionnel. Le risque de réputation est donc énorme : comment faire confiance à un cabinet qui laisse les documents de ses clients à la portée de la première attaque venue ?

De nombreuses études montrent les effets délétères qu’une cyber-attaque peut avoir sur la réputation. Qu’on en juge :  en 2018 PwC découvrait que 87% des consommateurs interrogés étaient prêts à rompre leur contrat si une faille informatique affectait leur fournisseur. Forbes Insight publiait dans un rapport que 46% des entreprises victimes d’une cyber-attaque avaient vu leur réputation entachée et la valeur de leur marque dégringoler.

TalkTalk, un opérateur de télécommunication britannique, est un cas d’école. Après avoir été à deux reprises victime d’intrusion, il subit en 2015 une nouvelle attaque suivie d’un vol de données touchant 150 000 consommateurs. L’affaire prend une ampleur encore plus importante quand il est révélé que les attaquants sont en fait des adolescents, qui, cerise sur le gâteau, déclarent publiquement que la sécurité était si faible que le piratage avait été particulièrement facile. Selon  Kantar Worldpanel ComTech, 7% des clients de l’opérateur auraient résilié leur abonnement à la suite des révélations.

Violation du secret professionnel

Au-delà du couperet de la réputation, il est une sanction plus directe et plus concrète, en cas de violation du secret professionnel : le volet pénal ou disciplinaire.

Puisque l’infraction doit être intentionnelle, le volet pénal est moins souvent sollicité en cas de violation du secret professionnel par cyber-attaque. Il faudrait, en effet, prouver que l’avocat a volontairement refusé de mettre en place les mesures de sécurité nécessaires, et est donc sciemment responsable de l’introduction d’un pirate sur son système d’information et du vol d’informations. L’imprudence seule ne suffirait pas à condamner l’avocat.

L’avocat peut faire face à des sanctions disciplinaires pour violation du secret professionnel suite à une négligence de sécurité informatique. Ainsi, un avocat a été condamné par les instances ordinales après n’avoir pas correctement cloisonné son système d’information. Il partageait en effet ses locaux avec un expert-comptable, et n’avait pas mis en place les mesures nécessaires pour s’assurer de l’étanchéité de son réseau informatique. L’expert comptable avait pu avoir librement accès aux données de l’avocat, résultant en une violation du secret professionnel [1].

Engagement de la responsabilité pénale, civile et professionnelle

En regard de la responsabilité pénale, l’article 34 de la loi Informatique et libertés du 6 janvier 1978 rend l’avocat responsable des données qu’il manipule. Il lui est donc demandé « de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». L’article 226-17 du Code pénal dispose que « le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de 5 ans d’emprisonnement et de 300 000 € d’amende ».

En ce qui concerne la responsabilité civile, elle est mobilisable dans le cadre de l’article 1241 (ancien article 1382) du Code civil : « chacun est responsable du dommage qu’il a causé notamment par son fait, mais encore par sa négligence ou son imprudence ». Un client mécontent d’avoir vu ses données perdues ou divulguées conséquemment à une négligence de sécurité pourrait donc engager la responsabilité civile de l’avocat.

Enfin, la responsabilité professionnelle peut aussi être engagée, dès lors que l’avocat aurait lui-même provoqué la contamination (par exemple, en branchant une clef USB contaminée sur son ordinateur, ou en activant un lien frauduleux contenu dans un mail de phishing). En l’absence de mesures de sécurité suffisantes appliquées par le cabinet, un client dont les données seraient détruites, volées ou altérées subirait un préjudice directement imputable à une négligence commise par l’avocat.

Les 3 risques sur lesquels nous avons choisis de mettre l’accent sont particulièrement liés à la confidentialité de la donnée, qui est clef dans le milieu du droit. Cependant, ils ne doivent pas faire oublier les risques plus courants, et parfois plus dévastateurs, de paralysie de l’activité ou de perte de données ! Nous partagerons dans un prochain article quelques chiffres sur les conséquences des cyber-attaques sur les TPE et PME.

[1] Paris, 28 sept. 2006, RG,° 2005/23312, in. H. Ader, A. Damien, T. Wickers, S. Bortoluzzi, D. Piau, Règles de la profession d’avocat, 16è éd., Dalloz, 2018, p. 556.


Si vous vous sentez perdu sur ces thématiques et souhaitez un accompagnement, Coralium vous aide à définir et appliquer votre stratégie de cybersécurité. N’hésitez pas à demander votre audit !