Piratage informatique : quels risques pour les avocats?

Si les cabinets d'avocats craignent souvent qu'un employé divulgue par mégarde de l'information confidentielle, ils sont peu préoccupés par les risques de piratage de leurs bases de données, révèle une étude rapportée par le Global Legal Post.

Les juristes devraient-ils être plus inquiets à cet égard? Mes Pierre-Marc Gendron et Marcel Naud, du cabinet Robic, répondent conjointement aux questions de Droit-inc.

1- Croyez-vous qu'il y a un risque important de piratage pour les bureaux d'avocats?

Les cabinets d'avocats peuvent représenter une cible de choix pour des pirates informatiques, car le réseau informatique d'un cabinet contient des milliers de dossiers et d'informations confidentielles sur ses clients (noms, adresses, numéro d'assurance sociale) et sur ses opérations. D'ailleurs, les cabinets d'avocats peuvent avoir de plus petits budgets informatiques que plusieurs de leurs clients; il pourrait être plus facile d'accéder au réseau informatique d'un cabinet que d'accéder à celui de grandes sociétés.

Prenons par exemple la fuite d'informations confidentielles dont a été victime le cabinet Monssack Fonseca [NDLR : le cabinet derrière l'affaire des Panama Papers] qui a exposé les pratiques fiscales de plusieurs individus ou encore, imaginons un scénario selon lequel un pirate mettrait la main sur des informations concernant une éventuelle transaction d'actions d'une société publique. Ce pirate pourrait en tirer un avantage financier important et pourrait même faire avorter la transaction.

2- Le stockage de données dans des nuages (clouds) par les avocats est-il permis relativement à leur devoir de confidentialité?

Le fait pour un avocat de recourir à l’infonuagique pour entreposer des documents n’occasionne pas en soi un non-respect du secret professionnel. L’appréciation se situe plutôt dans la suffisance des engagements du fournisseur envers l’avocat quant à cet aspect.

Le secret professionnel, prévu dans la Loi sur le Barreau, oblige l’avocat à s'assurer que des tiers n'auront pas accès au contenu des dossiers de ses clients lorsqu'il fait appel à un prestataire de services infonuagiques pour héberger ses dossiers. On peut penser que les opérateurs de centres d’hébergement de données ont des ressources plus sûres que nous à l’égard de la sécurité informatique, mais il faut s’en assurer.

Le Règlement sur la comptabilité et les normes d'exercice professionnel des avocats impose à l’avocat l’obligation de s'assurer de la confidentialité de ses dossiers et de l'information de nature professionnelle qui lui est transmise. L'avocat doit aussi conserver ses dossiers actifs à son domicile professionnel ou dans un lieu d'archivage approprié.

En ce sens, la Loi concernant le cadre juridique des technologies de l'information rappelle que lorsqu'on confie un document technologique à un prestataire de services chargé d'en assurer la garde, on doit informer ce prestataire de la protection que requiert le document. Le prestataire, lui, doit veiller à ce que les moyens technologiques soient mis en place pour assurer la confidentialité du document, et interdire l'accès au document à quiconque n'y est pas dûment autorisé.

3- Pensez-vous que l’infonuagique est préoccupant pour les bureaux d'avocats?

Tout dépend donc en bonne partie de la façon dont le nuage est constitué. Le problème de l'infonuagique est qu'il est difficile de savoir où exactement se trouvent les données. Les risques sont donc la perte de contrôle sur celles-ci, et la détermination du cadre juridique applicable. Certains fournisseurs d'infonuagique préfèrent ne pas divulguer trop d’informations quant aux endroits où sont conservées les données pour des raisons de sécurité, mais ils devraient tout de même fournir des indications suffisantes et fournir des garanties sur le maintien de la confidentialité.

Ce qui pourrait s'avérer plus préoccupant, c'est l'usage de services gratuits conçus pour les consommateurs, comme Dropbox ou Google Drive, puisqu'il est impossible de négocier les modalités des ententes avec les fournisseurs de ces services et que les données sont communiquées hors du pays. D'autant plus que certains fournisseurs gratuits prévoient qu'une licence leur soit accordée sur le contenu ainsi conservé dans le nuage.

4- Pensez-vous que l'on accorde trop, assez ou pas assez d'importance à la protection des données informatiques chez les avocats?

Cela varie d’un avocat à l'autre. Ce qu'il faut savoir, c'est si le degré d’importance est suffisant parmi toutes les parties prenantes.

Les comités et groupes de travail des institutions de référence (tel le Barreau du Québec) sont sans doute les mieux placés pour s’exprimer et se positionner de manière aussi claire et précise que possible sur le sujet. Par exemple, la Law Society of British Columbia a publié en 2012 un rapport dans lequel elle fait des recommandations relativement à l’utilisation d’un service infonuagique par les avocats de cette province. L’American Bar Association et les « State Bars » de certains États américains ont formulé quelques énoncés et des avis au sujet de l’infonuagique dans l’exercice de la profession. Au Québec, cela pris la forme du Guide des TI résultant des travaux du Comité sur la sécurité des technologies de l’information du Barreau du Québec.

Par ailleurs, un texte publié par l’International Legal Technology Association souligne le besoin d’assurer la sécurité des données stockées par des avocats sur le nuage informatique, surtout par le chiffrement, ce que recommandent aussi les State Bars de plusieurs États.

Au niveau de la pratique, il n’est pas rare que des cabinets interdisent formellement à leurs employés l'utilisation des plateformes de partage de fichiers, tels Dropbox ou Google Drive.

5- Croyez-vous que les bureaux d'avocats doivent avoir un budget distinct dédié à la sécurité informatique?

Les directeurs informatiques, comptables et gestionnaires au sein des cabinets assument des responsabilités accrues à mesure que les rôles se spécialisent et que les questions se complexifient.

Pour qu'elle soit priorisée, on peut trouver préférable que la sécurité informatique ne soit pas une dépense parmi tant d’autres dans le budget général d'informatique d’un cabinet. D’un point de vue de gouvernance, il faut veiller à ce que cet enjeu reçoive un degré approprié de ressources et d’attention soutenue, indépendamment des moyens pour y parvenir.