Olivier Cousi, William Feugère, Pascal Alix, Anne Salzer et Jérôme Cazes nous ont apporté leurs points de vue sur cette question, le 2 février 2017, à l’occasion de la 2ème édition de la Journée de l'Innovation du Droit et du Chiffre (JINOV), lors de l’atelier " La protection des données et secret professionnel".

Le secret professionnel : lien de confiance

Le secret professionnel est la confiance que le client accorde à son conseil et que ce l’avocat garantit à son client. Olivier Cousi, avocat chez Gide et modérateur de la table-ronde, précise que "c’est le secret qui appartient au client et non l’inverse".
Le secret professionnel n’a pas bonne presse car il s’oppose à la transparence. "S’il y a un secret c’est qu’il y a quelque chose à cacher" pensent souvent, à tort, les gens. Il s’agit en réalité de protéger une innovation, une transaction en cours, ou un projet.

Au niveau européen, la directive 2016/943 du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués contre l'obtention, l'utilisation et la divulgation illicites (directive sur le secret des affaires) va transposer en France un secret professionnel des affaires qui se combinera avec le secret professionnel des avocats.

L’inconscience digitale des cabinets d’avocats

Les avocats ont l’obligation professionnelle de garantir à leurs clients la protection des données. Des cabinets d’avocats, notamment de grosses structures, ont su implémenter des systèmes venant de la compliance américaine très figée et processuelle. Anne Salzer, avocate chez Salzer Avocats, considère que le cloud mis en place par les cabinets, la gestion électronique des documents et la certification par la signature sont insuffisants. Elle déplore le fait que personne ne se demande ou sont les "tours" et ajoute que chacun devrait se demander "est ce qu’on assure, vis à vis des clients, lorsqu’on travaille sur Google drive, une sécurité et fiabilité dans la transmission des données au profit du client ?". Il s’agit d’obligations notamment contenues dans la loi informatique et libertés ("sécurité et la fiabilité"), ainsi que dans le Règlement intérieur national (RIN) ("sécurité, fiabilité et intégrité des données")

Les grosses structures ont, par ailleurs, souvent des téléphones dédiés au cabinet, bloquant certains téléchargements. Ce n’est pas le cas de la majorité des cabinets. Anne Salzer recommande que chacun devrait donner des règles en interne, aux collaborateurs et aux associés, car la sécurité des smartphones n’est pas acquise.

Solutions techniques pour sécuriser le transfert d’informations

Jérôme Cazes, fondateur MyCercle, rappelle que l’échange de documents par messagerie entre un avocat et son client met en danger le secret professionnel, via le vol de données, les "ransomwares" et le "fishing". La solution technique consiste à posséder un extranet sécurisé, existant depuis 10 ans. Cependant, 98% des cabinets d’avocats échangent dans des mails en pièce-jointe avec leurs clients.
"Il convient de sécuriser le transfert des données avec le client, sans crypter, mais en utilisant des outils performants et en sécurisant contractuellement avec le prestataire", estime Anne Salzer. En effet, si la messagerie est cryptée, elle l’est entre l’avocat et le serveur, entre le serveur d’arrivée et le client, mais pas entre les deux. Les grands clients ont toutes des dispositifs sécurisés et le seul à être hacké est donc l’avocat.

Concernant les attaques contre le secret professionnel à travers les réquisitions judiciaires, Jérôme Cazes préconise d’invoquer l’article 56 -1 du code de procédure pénale (CPP), pour dire "vous n’avez pas le droit de saisir la correspondance entre avocats et clients".
En cas de messagerie traditionnelle, le client aura tendance à paniquer au cours de la perquisition et à donner son ordinateur. En revanche, si le client dispose d’un extranet et qu’il est stipulé dans le contrat avec le prestataire qu’il invoquera le bénéfice de l’article 56-1 du CPP, il peut séparer sa correspondance d’avocat, de ses autres correspondances.

Pascal Alix, avocat au sein du cabinet Virtualegis souligne, quant à lui, que tout le monde utilise Gmail et Dropbox, mais qu’il faut refuser les fichiers et demander à son client de renvoyer les documents sur quelque chose de sécurisé. Il ne peut pas y avoir de secret professionnel et de secret des affaires sans une protection effective des données à caractère personnel et des données des clients. "La sécurité des données n’est pas seulement une question technique, c’est une question d’organisation, de formation et de sensibilisation des personnes traitant ces données".

Il considère que le correspondant informatique et libertés (CIL) est la meilleure personne pour veiller à la mise en conformité à la loi informatique et liberté et au Règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données qui s’appliquera le 25 mai 2018. . La deuxième manière d’exercer ce métier est d’être CIL en externe, c’est-à-dire de clients, d’organismes responsables de traitements, d’entreprises ou d’organismes publics. Le CIL interne d'un cabinet d'avocat ne peut pas être un avocat associé de ce cabinet ou l'avocat individuel propriétaire du cabinet : il ne peut s'agir que d'un avocat collaborateur (déconseillé) ou d'un salarié du cabinet.
Pascal Alix estime que "nous allons avoir une approche globale de la sécurité de l’information, s’inscrivant dans une approche globale de protection des données, qui va au delà de la sécurité, qui est la démarche de compliance. Cela va ouvrir la voie à des partenariats entre les avocats et les entreprises ou les organismes publics pour les accompagner dans cette démarche globale de compliance, voire même de gouvernance".

Concilier secret professionnel et transparence ?

William Feugère, avocat chez Feugère Avocats, a vu se multiplier, notamment sur le terrain du whistleblowing, les exigences de transparence et de divulgation de l’information.
La loi Sapin 2 est en effet venue apporter l’obligation de mettre en place des systèmes d’alerte, à compter du 1er juin 2017, pour toutes les entreprises de plus de 50 salariés. Outre ce système, dans les entreprises de plus de 500 et 100 millions de chiffres d’affaires, l’entreprise doit mettre en place des politiques anti-corruption et des formations internes. Ces seuils sont appréciés au niveau du groupe. La loi Sapin 2 impose, par ailleurs, une obligation de confidentialité sur l’objet de l’alerte, pour le lanceur d’alerte et une confidentialité pour la personne visée par l’alerte. "Les règles sont de plus en plus exigeantes en terme de confidentialité et, en même temps, elles organisent une transparence de plus en plus importante sur le principe même de l’alerte", souligne William Feugère.

Il s’est donc demandé "est-ce qu’au lieu d’opposer le secret à la transparence, il n’y a pas un moyen d’allier les deux ?" et a créé une plateforme sécurisée techniquement, ethicorp.org, qui réceptionne et traite les alertes. "Notre système apporte aux entreprises le bénéfice du secret de l’avocat, qui est absolu". Des avocats traitent les alertes et vont demander aux lanceurs des éléments pour enquêter avec l’entreprise adhérente, sans risque que ça s’ébruite, afin de l’aider à sécuriser la situation. Le secret professionnel de l’avocat permet à l’entreprise d’être en amont, plutôt que subir des atteintes à sa réputation et son image.

De gauche à droite : Jérôme Cazes, Anne Salzer, Olivier Cousi, Pascal Alix et William Feugère

Aurélia Gervais