Depuis longtemps les avocats réclament un accès simplifié et élargi au dossier de la procédure pour ne plus avoir à recopier certaines pièces lors de la consultation du dossier, mais aussi un accès pendant la garde à vue, pour disposer d’informations nécessaires à la défense pénale. L’article D. 593-2 du code de procédure pénale constitue une première révolution pour la profession puisque les avocats pourront désormais reproduire le dossier de la procédure par tout moyen et notamment à l’aide « d’un scanner portatif ou de prises de photographies ».

Le champ d’application du nouvel article concerne les situations où l’avocat a le droit de se faire délivrer une copie du dossier ainsi que les situations dans lesquelles l’avocat disposait du droit de consulter le dossier alors que le procureur de la République ou une juridiction était saisi de la procédure.

Les différentes situations visées par le nouvel article D. 593-2 du code de procédure pénale sont ainsi :

• l’enquête préliminaire (article 77-2 du CPP)
• la convocation pour une éventuelle mise en examen (article 80-2 du CPP)
• la convocation d’une personne mise en examen en vue d’une audition, d’un interrogatoire ou d’une confrontation (article 114 du CPP)
• la citation directe ou COPJ devant le tribunal correctionnel (article 388-4 du CPP)
• le déferrement devant le procureur ou de convocation devant le tribunal par le procureur (articles 393 et 394 du CPP)
• la convocation en vue d’une CRPC (article 495-8 du CPP)
• l’entraide judiciaire ou d’extradition (articles 627-6 et 696-10 du CPP)
• l’absence de poursuites pénales six mois après une garde à vue (article 706-105 du CPP)
• la rétention de 20 heures maximum après une garde à vue et avant la présentation à un magistrat (article 803-3 du CPP)
• les alternatives aux poursuites prévues aux articles 41-1 à 41-3-1 A sont également concernées.

De fait, seules les modalités d’accès au dossier sont modifiées par le présent article en introduisant la possibilité pour l’avocat de reproduire le dossier de la procédure, sans pour autant élargir les conditions d’accès au dossier et notamment au stade de la garde à vue. Bien que cette nouvelle mesure simplifie la tâche au quotidien des conseils, la problématique de l’impossibilité d’accéder au dossier lors de la garde à vue reste intacte.

Séduisant au premier regard

La simplification de la reproduction du dossier de la procédure permet à l’avocat de gagner du temps et de travailler plus efficacement. Pour autant, plusieurs questions se posent sur la reproduction numérique du dossier de la procédure et sur ses enjeux, notamment en termes de sécurité des données. Ainsi, il est relativement étonnant que la reproduction puisse être réalisée par « tout moyen », en précisant la possibilité de l’utilisation d’un scanner portatif ou de prises de photographies, sans plus de précision….

Le choix technologique n’est pas neutre

L’article 32 du RGPD prévoit en effet que le responsable de traitement de données personnelles doit s’assurer de la sécurité des données traitées, notamment par des mesures techniques et organisationnelles. L’avocat agit en qualité de responsable de traitement lorsqu’il accompagne un client dans une procédure judiciaire et il a par conséquence la charge de mettre en œuvre des mesures adaptées, tels que le chiffrement des données, la pseudonymisation, la double authentification ou la mise en place d’une sauvegarde en cas d’indisponibilité des données, etc.

Dans le cadre de son activité, l’utilisation d’un scanner portatif par l’avocat peut sembler anodine en termes de transfert de données. Pour autant, si le scanner portatif envoie les données sur un cloud privé, il y a bien un transfert de données. Le transfert de données sera potentiellement sécurisé, mais le sera-t-il suffisamment pour garantir à l’avocat qu’aucune donnée ne pourra être lue par le prestataire du cloud ?Ou que les données seront stockées en Europe ?

Question identique dans la situation où un avocat utilise son téléphone pour scanner le dossier. Si les données sont là encore transférées directement sur un cloud, cela signifie que le dossier de la procédure peut potentiellement se retrouver stocké dans un pays étranger, sans aucune garantie en matière d’accès du prestataire d’une part, sans encadrement particulier sur l’accès par les autorités publiques de l’État où sont stockées les données d’autre part. Lesdites autorités publiques pourraient aussi accéder aux données contenues dans le cloud d’un prestataire situé sur son territoire national, si la loi nationale le prévoit (comme par exemple aux Etats-Unis).

Par ailleurs, un contrat de sous-traitance au sens de l’article 28 du RGPD devrait théoriquement être conclu pour viser ces situations particulières et encadrer le recours aux outils utilisés, même si une telle situation peut être complexe en pratique. Une solution pourrait consister dans le fait de ne recourir qu’à des prestataires de solutions cloud ayant signé le code de conduite européen dédié aux fournisseurs de services d’infrastructure cloud (IaaS), ces adhérents au code de conduite devant proposer à leurs clients la possibilité de stocker et traiter leurs données exclusivement sur le territoire de l'Espace économique européen.

Quel lien entre violation de données et violation du secret de l’instruction ?

Autre problématique, la potentielle perte de confidentialité des informations du dossier lorsqu’un avocat utilise son téléphone à titre personnel et professionnel. Quid si l’avocat perd son téléphone, voit son téléphone piraté, le laisse à la disposition d’un tiers, n’applique pas une politique de mot de passe robuste ou de double authentification ? Est-ce une violation du secret de l’instruction du fait de l’insuffisance des mesures de protection du secret de l’instruction ou est-ce sans conséquences ? Est-ce qu’une violation de données personnelles au sens du RGPD revient de facto à une violation du secret de l’instruction ? Quel est le seuil de mesures techniques et organisationnelles minimal qu’un avocat devrait mettre en œuvre pour garantir le secret de l’instruction ?

Ces questions méritent d’être soulevées et finement évaluées pour encadrer la reproduction d’un dossier pénal par l’avocat, à plus forte raison car les dossiers de procédure sont innombrables, volumineux et que l’absence d’organisation et d’encadrement par une solution technologique adaptée pourrait conduire à partager des informations au-delà du cadre prévu.

Autant de questions qui concernent au premier chef les avocats et leurs cabinets et qui doivent interpeller sur les enjeux de leur mise en conformité en matière de données personnelles.

Jérôme Deroulez, Avocat aux barreaux de Paris et de Bruxelles et Alexandre Minot-Chartier (Elève-avocat)