Lecture: 7 min
N8739BSH
Citer l'article
Créer un lien vers ce contenu
par Henri de la Motte Rouge, avocat au barreau de Paris
le 17 Novembre 2011
Le Cloud computing est un concept d'organisation informatique externalisé. Il permet aux utilisateurs, par le biais du réseau internet, d'utiliser des services informatiques accessibles à distance.
Pour les particuliers, le Cloud existe depuis longtemps, puisque la plupart des internautes font confiance à des prestataires via leur messagerie webmail pour stocker leurs mails, agendas documents. Les réseaux sociaux type facebook fonctionnent aussi de la sorte.
Le Cloud computing actuellement en vogue cible principalement les entreprises attirées par des offres de services efficaces et bon marché. Des prestations Cloud de type SaaS (Software as a Service) proposent depuis n'importe quel terminal connecté à internet, des services de bases documentaires, mails cryptés, antivirus, logiciels bureautiques, réseaux sociaux, CRM et bien d'autres...
Le Cloud est à l'informatique ce que l'électricité était aux industries au début du XXème siècle. Les usines ont externalisé leur production d'électricité pour se focaliser sur leur coeur de métier et ainsi gagner en productivité.
De même, le Cloud n'est qu'une simple évolution des techniques mais permet aujourd'hui une révolution des pratiques.
L'intérêt pour les entreprises est de confier (externaliser) tout ou partie de leur infrastructure réseau ainsi qu'un savoir-faire (maintenance, sécurité, exploitation, conseil...) à des prestataires spécialisés, qui s'occupent de la gestion informatique des entreprises.
Les avocats ne sont pas des informaticiens ! Sauf exception, la plupart des avocats n'ont qu'une compréhension sommaire de l'informatique, et n'ont guère le temps pour "bidouiller" leur machine, gérer leur sécurité, mettre en place des infrastructures... Le Cloud permet de déléguer ces tâches à un "autre" qui en assumera la responsabilité.
La plupart des grands cabinets l'ont compris et nombreux sont ceux qui font appel à ces services "clés en mains" adaptés à leurs besoins.
Pour les plus petits cabinets, il est important de comprendre que les solutions Cloud présentent également de nombreux intérêts :
- elles sont simples à mettre en oeuvre en l'absence de compétences informatiques pointues en interne ;
- elles ont un coût proportionné à l'utilisation, permettant de disposer d'outils informatiques puissants réservés traditionnellement aux cabinets de plus grande taille ;
- elles correspondent au souci d'accessibilité que réclame la profession. Par le biais d'une connexion internet, l'avocat peut avoir accès à l'ensemble de ses dossiers et correspondances clients depuis son domicile ou son smartphone ;
- elles sont très flexibles et adaptables, ce qui correspond à une attente des avocats.
Pourtant le Cloud computing peut faire peur car la déontologie pose certains freins à son utilisation.
II - Risques identifiés du Cloud
Le Cloud génère une variété de risques au regard des données confidentielles de l'avocat :
- risques de divulgation et de perte des données par les prestataires ;
- risques de données conservées par le prestataire à l'arrêt du service ;
- risques de non réversibilité.
Techniquement, dans les solutions Cloud, les données sont confiées à un seul prestataire. Toutefois, ce même prestataire, pour fournir sa prestation, peut éventuellement se servir d'infrastructures, de services et de logiciels qui appartiennent à d'autres fournisseurs.
Juridiquement, les chaînes contractuelles et les problématiques de responsabilité liées aux transferts sont donc complexes.
Physiquement, les serveurs de ces prestataires peuvent être situés en dehors de nos frontières et les données réparties sur plusieurs serveurs dans le monde.
Or, de nombreux pays ont des réglementations "informatique et libertés" plus laxistes que la France.
Ainsi, aux Etats-Unis, le Patriot Act permet aux autorités d'avoir accès aux données hébergées par toute entreprise américaine, et ce, même en dehors de leur territoire.
En outre, en 2006, la procédure américaine du Discovery a été étendue aux documents et informations sous forme électronique (mails, informations cryptées, disques durs, logs de connexion...). Cette procédure judiciaire originale permet à une partie, dans le cadre de la recherche de preuves pouvant être utilisées dans un procès civil ou commercial, de demander à la partie adverse de lui communiquer des éléments d'information pertinents (qu'ils soient défavorables ou non). L'opposition à la communication peut être sévèrement sanctionnée. L' "e-discovery", en permettant à des tiers l'accès aux données, illustre bien les craintes qu'on peut avoir s'agissant des législations étrangères.
Quand nous savons que les plus grands prestataires de Cloud sont américains (Google, Amazon, Microsoft...), cela laisse songeur...
A cet égard, nous pouvons mieux comprendre l'investissement de 285 millions d'euros pour le développement d'un Cloud franco-français nommé Andromède, fruit d'un partenariat original entre l'Etat français, Orange, Thales et Dassault Systèmes. Les questions que nous nous posons vis-à-vis de la conservation du secret de certaines données dépassent en réalité le cadre de notre profession et constituent des enjeux stratégiques de défense nationale et d'intelligence économique.
Déontologiquement, la simple notion de transfert de données peut être discutée. Le secret doit en effet être "absolu". Le secret est la seule propriété des avocats, disent certains.
Cette vision traditionnelle du secret est difficile à mettre en oeuvre. En effet, elle irait à l'encontre de la simple utilisation d'une boîte mail qui devient pourtant obligatoire pour les avocats depuis la récente modification de l'article 15 du RIN (N° Lexbase : L4063IP8).
Notons que l'avocat bien que traitant des correspondances confidentielles, connaît rarement le prestataire situé au bout de la chaine juridico-technique de la boîte mails. Ne s'agit-il pas d'un prestataire américain ?
En tout état de cause, permettre un accès maîtrisé au secret confidentiel par ses partenaires, prestataires ou salariés, au sein d'un cabinet, n'est pas forcément en relation avec l'émergence des technologies de l'information. Les personnes intervenant dans un cabinet qui ne sont pas des avocats statutairement liés par le secret (assistants, office manager...) ont des accès quotidien à des informations couvertes par le secret. La meilleure solution pour pallier cette problématique reste de faire signer des accords de non divulgation et d'engager des personnes de confiance.
La même politique doit être adoptée avec les prestataires informatiques qui doivent être soumis à des obligations strictes (NDA fournisseur couplé d'un NDA pour chaque intervenant). De même qu'il existe des assistants de confiance et d'autres plus "bavards", les prestataires informatiques ne doivent pas tous être considérés sur le même pied d'égalité. En termes de sécurité informatique, il existe des niveaux de qualité et de sécurité extrêmement variables.
III - Positionnement de la profession
Les données stockées par les avocats sont confidentielles car par nature elles constituent le secret professionnel que protègent notre déontologie et le droit pénal. Nous partageons totalement l'avis de Laurent Caron, expert en droit de l'informatique, qui constate que les choix informatiques sont des choix déontologiques (lire, Informatique et déontologie de la profession : l'ADIJ rappelle le cadre juridique, Lexbase Hebdo n° 97 du 10 novembre 2011 - édition professions N° Lexbase : N8661BSL).
La majorité des cabinets anglo-saxons est déjà passée au Cloud depuis quelques années. Concernant les cabinets français, les plus gros travaillent avec Orange ou SCC qui leur proposent des solutions flexibles et sérieuses. De manière assez paradoxale et peut-être par soucis d'économie, certains grands cabinets confient leur données via leur boîte mails à ... Google. Ne jetons pas la pierre sur Google, mais la prudence s'impose !
Au-delà des experts du droit de l'informatique, les questions liées au Cloud Computing intéressent de plus en plus notre profession. Des associations de juristes et d'avocats comme l'ADIJ ou Cyberlex ont récemment intégré ces questions dans le débat déontologique.
La CNIL qui a publié un guide spécial avocat a également lancé une vaste consultation des professionnels du secteur de "l'informatique en nuage". Elle pourrait se prononcer prochainement sur les questions du Cloud dans la profession.
Enfin, le 9 septembre 2011, le Conseil des barreaux européens (CCBE) a publié sa réponse à une consultation publique de la Commission européenne sur "l'informatique en nuage".
Le CCBE rappelle les différents risques identifiés et donne des recommandations et orientations fortes pour des réglementations futures. Ainsi, le CCBE affirme que la pratique de "l'informatique en nuage" par les avocats suppose d'exiger "un niveau de sécurité maximal". Il propose également que les données des avocats soient isolées sur les serveurs.
Derrière les diverses prises de position, on entrevoit la notion de label "Cloud sécurisé" qui interviendra tôt ou tard pour réglementer les pratiques. Il pourrait être également intéressant pour la profession de mettre au point une solution "Cloud Avocat". Ce Cloud très sécurisé et à tarif avantageux pourrait reprendre les bases du RPVA en allant bien au-delà. Actuellement, le RPVA est un outil puissant de communication entre les professionnels de la justice mais il ne présente pas l'étendue des services Cloud (base documentaires, mails cryptés clients, antivirus, logiciels bureautiques, réseaux sociaux, CRM...). Cet outil de mutualisation pourrait ainsi proposer :
- une base des applications nécessaires aux avocats ;
- et un niveau de sécurité garantie qui assurerait la confidentialité indispensable à notre profession.
Toutes ces solutions prospectives sont louables, mais nous en sommes aujourd'hui encore loin. Et pourtant la course contre la montre a commencé. Beaucoup profitent déjà des avantages concurrentiels qu'offrent les solutions Cloud. Il convient donc de plancher rapidement sur cette question.
Comment faire en l'absence de label pour choisir une solution adaptée ? Il est important avant de signer un contrat avec un prestataire, d'effectuer une analyse des besoins prenant en compte clairement les risques et facteurs de risques. Un benchmark approfondi doit ensuite permettre de classifier les offres en fonction du projet, des garanties, des risques et des outils proposés par les différents prestataires. Pour les avocats, le secret professionnel doit guider en filigrane toute analyse. Enfin, la formalisation contractuelle et la négociation, si elle est possible, doit prendre en compte les faiblesses techniques de l'offre.
Se faire assister d'un avocat en partenariat avec un ingénieur peut être une manière sérieuse de sécuriser l'accès au Cloud. Par l'expérience acquise dans l'assistance et le conseil aux PME et autres professions réglementés dans leur passage au Cloud, l'auteur recommande fortement cette démarche.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:428739