Le secret professionnel et le numérique

Le secret professionnel des avocats est l'un des plus stricts du droit français. Une fuite expose le cabinet à des poursuites disciplinaires devant le Conseil de l'Ordre, des sanctions pénales (Article 226-13 du Code Pénal) et des sanctions RGPD. Le numérique a multiplié les surfaces d'exposition.

Les attaques fréquentes contre les cabinets

• Ransomware sur le serveur de fichiers : tous les dossiers clients chiffrés, exigence de rançon
• Phishing du secrétariat : faux mail d'un client demandant un document
• Vol de laptop : à l'aéroport, en formation, au tribunal
• Fraude au virement : faux client annonçant un changement de RIB
• Exfiltration ciblée : un dossier sensible (M&A, divorce médiatique) volé pour rançon ou revente

Les 7 règles de base

1. Le RPVA et la dématérialisation

Le RPVA (Réseau Privé Virtuel des Avocats) est obligatoire pour les échanges avec les juridictions. Doit être configuré avec MFA. Vérifiez régulièrement les listes de pairs autorisés.

2. La gestion documentaire chiffrée

Toute solution de gestion documentaire (Diapaz, Néomédia, Predictice, etc.) doit chiffrer les dossiers au repos et en transit. Vérifiez la conformité hébergement français (label HDS si santé, sinon HDS-équivalent pour le juridique).

3. Les communications client confidentielles

WhatsApp, SMS, mail classique : à proscrire pour les éléments confidentiels. Préférer une messagerie chiffrée bout en bout dédiée (Signal, Tutanota Pro, Olvid). Ou un portail client sécurisé (proposé par les éditeurs métiers).

4. La protection des laptops itinérants

Chiffrement intégral obligatoire. Pour les déplacements à l'étranger (négociations, plaidoiries internationales), envisager un laptop voyage vide qui se connecte au SI cabinet par VPN.

5. La traçabilité des accès

Tous les accès aux dossiers doivent être logués : qui a consulté quoi, quand. En cas de soupçon de fuite (cas du jeune collaborateur qui part chez un concurrent avec des dossiers), les logs sont la preuve.

6. La sensibilisation à la fraude au virement

Aucun changement de RIB d'un client ne doit être accepté par mail. Procédure obligatoire : appel téléphonique au numéro déjà connu du client, validation à deux yeux (associé + comptable), pause 48h entre réception et application.

7. Le plan de reprise d'activité

Sauvegardes ransomware-proof, plan de continuité documenté, contact ANSSI / Cybermalveillance pré-établi, communication crise préparée.

Le défi des Apple Mail / iCloud

Beaucoup d'avocats utilisent leur Mac avec Apple Mail et stockage iCloud. C'est cohérent au niveau confort mais pas pour la confidentialité : Apple a des injonctions américaines (Cloud Act) qui peuvent contraindre à fournir des données. Pour les dossiers à enjeu international, préférer une solution souveraine européenne (Tutanota, ProtonMail, OVHCloud Mail).

La formation aux cyberattaques sociales

Le secrétariat est la première ligne de défense. Sensibilisation annuelle obligatoire au phishing, à la fraude au virement, aux faux mandataires. C'est l'investissement le plus rentable du cabinet.

Le DPO et la conformité RGPD

Pour un cabinet de plus de 5 avocats, désigner un référent RGPD (associé, juriste interne, DPO externalisé). Tenir le registre des traitements, signer les contrats de sous-traitance avec les éditeurs, prévoir la procédure incident.

Les ressources spécifiques

• CNB (Conseil National des Barreaux) : guide cybersécurité avocats téléchargeable
• Cyberprotect.com : programme de formation barreaux
• ANSSI : guide sectoriel professions juridiques