Utilisation du cloud - Digitalisierung
Utilisation du cloud
Exercer la profession d’avocat sans recours à une forme ou une autre d’informatique semble totalement inconcevable, et ce depuis plusieurs décennies. Souvent, la mise en place et la maintenance du système informatique ne sont pas assurées par l’avocat/e lui/elle-même, mais par des informaticiens internes ou un prestataire de services externe. Les études d’avocats utilisent non seulement des ordinateurs autonomes ou des réseaux locaux, mais font également appel, depuis quelques années, à des services cloud. Le cloud se réfère à une gamme de services proposés en ligne via un réseau, quel que soit l’endroit où se trouve l’avocat, de sorte que l’emplacement physique de ces services n’a techniquement pas d’importance.
Aux États-Unis d’Amérique, le cloud s’est imposé comme une solution de remplacement à l’informatique traditionnelle. En Europe, le CCBE, en tant qu’organisation faîtière des fédérations nationales d’avocats, a émis des recommandations générales sur la manière d’utiliser le cloud, déclarant de la sorte son admissibilité comme outil de travail de l’avocat. En revanche, la question de savoir si le cloud était conforme à nos règles professionnelles a longtemps été débattue en Suisse. Un projet de recherche universitaire, mené en étroite collaboration avec la FSA et intitulé « Transformation numérique des moyens de communication et solutions basées sur le cloud : un défi de taille pour les avocats », de même qu’un avis de droit émis par le Center for Information Technology, Society and Law (ITSL) de l’Université de Zurich, ont permis de clarifier ces questions qui se posaient avec acuité :
« Si l’avocat chiffre ses données avant de les transférer à un fournisseur de services cloud et que celui-ci ne dispose pas de la clé de déchiffrement, il n’y a pas de violation du secret au sens de l’art. 321 CP. Les données chiffrées n’étant pas considérées comme des données personnelles, l’activité du fournisseur de services cloud n’est pas non plus soumise à la législation sur la protection des données. Eu égard à ce qui précède, l’utilisation de services cloud par l’avocat est donc exorbitante du droit pénal et de la protection des données. Cependant, si l’avocat ne chiffre pas ses données et qu’il incombe ensuite au fournisseur de services cloud de le faire, ce dernier pourra lire les données qui lui ont été transmises, et dispose ainsi d’un accès à des informations protégées par le secret professionnel. Toutefois, par l’utilisation de ses services, le fournisseur de services cloud fait partie de l’unité de travail de l’étude d’avocats, avec pour conséquence de pouvoir être qualifié d’auxiliaire de l’avocat. Les auxiliaires ne sont par définition pas des tiers non autorisés au sens de l’art. 321 CP. La divulgation d’informations secrètes au fournisseur de services cloud ne remplit donc pas l’élément constitutif de la divulgation à des tiers non autorisés, ce qui signifie qu’il n’y a pas de responsabilité pénale au sens de l’art. 321 CP. L’avocat doit toutefois sélectionner avec toute l’attention requise le fournisseur de services cloud, l’obliger contractuellement à maintenir le secret et s’assurer que les données ne sont utilisées par le fournisseur que pour l’exécution du contrat de services cloud. »
Plusieurs auteurs (cf. en particulier Chappuis et Alberini, Secret professionnel de l’avocat et solutions cloud, Revue de l'avocat 8/2017, p. 337 ss l’instar du Conseil fédéral, arrivent aux mêmes conclusions. Dans son message relatif à la loi sur la protection des données , le Conseil fédéral indique par exemple que la sous-traitance de données personnelles protégées par l’art. 321 CPS n’est pas non plus exclue par la nouvelle LPD, du moins si ces tiers peuvent être qualifiés d’auxiliaires au sens de l’art. 321 ch. 1er al. 1er CP.
Recommandations de la FSA pour l’externalisation informatique et les services cloud
Cliquez ici pour consulter les lignes directrices édictées en juin 2019 par le groupe d’experts de la FSA pour la transition numérique.
Les modèles de services cloud
Le sondage réalisé par la FSA en 2018 montre que la majorité des études d’avocats sondées ont leurs infrastructures informatiques de base installées de manière stationnaire (53 %), mais qu’une grande partie d’entre elles sont déjà stockées dans le cloud (39 %). Presque toutes les ressources informatiques peuvent être externalisées sur un cloud et il existe différents modèles de services sur le marché. On les classe généralement en trois grandes catégories : l’Infrastructure-as-a-Service (IaaS), la Platform-as-a-Service (PaaS) et le Software-as-a-Service (SaaS). Le modèle PaaS est principalement destiné au développement d’applications. Dès lors que les études d’avocats n’utilisent que rarement ce modèle, du moins à l’heure actuelle, la description qui suit se limitera aux deux autres modèles.
L’IaaS est le modèle de base des services cloud. Les ressources informatiques sont en cloud (l’informatique en tant que telle, le stockage des données, l’accès au réseau, etc.) et sont mises à disposition en tant que service. Ce modèle est une option intéressante si une étude d’avocats nécessite une infrastructure informatique, mais ne veut pas l’exploiter elle-même pour des raisons financières. Dans ce modèle, l’étude d’avocats décide quelles sont les solutions logicielles qui seront installées sur l’infrastructure et doit prendre toutes les mesures pour garantir la confidentialité et l’intégrité du système. Le fournisseur de services cloud doit, quant à lui, s’assurer que les données stockées par l’étude d’avocats sont disponibles à tout moment.
Avec le SaaS, le fournisseur de services cloud fournit sur Internet une application logicielle, dont l’ambition est d’être aussi conviviale que possible pour l’utilisateur final. Avec ce modèle de service, ce ne sont pas seulement les données et les logiciels qui sont stockés de manière centralisée sur le cloud, mais également le traitement des données (par exemple le traitement de texte, les fonctions de calcul ou la création de présentations). Le fournisseur de services cloud installe également les mises à jour et offre des fonctions de support. Contrairement à l’IaaS, le modèle de service SaaS ne permet pas à l’étude d’avocats de réaliser des configurations étendues en matière de sécurité. D’un point de vue technique, il suffit à l’étude d’avocats d’assurer la sécurité des données d’accès. Il appartient ensuite au fournisseur de services cloud d’assurer la confidentialité des données, l’intégrité du réseau et la disponibilité des services.
L’accès aux données
Lors de l’utilisation de services cloud, les données ne sont plus stockées localement au sein de l’étude d’avocats, mais chez le fournisseur de services cloud. La transmission sur Internet est chiffrée par les protocoles HTTPS (Hypertext Transmission Protocol Secure) et TLS (Transport Layer Security), lesquels utilisent une clé de grande taille (128 ou 256 bits). Le fournisseur de services cloud chiffre également les données à l’aide d’une clé locale, par exemple avec la méthode AES (Advanced Encryption Standard).
Il existe deux cas de figure :
- Si les données sont chiffrées par le fournisseur de services cloud, tant l’avocat/e que le fournisseur pourront lire les données ;
- Les données à stocker chez le fournisseur de services cloud peuvent aussi être chiffrées par l’avocat/e avant d’être transmises sur Internet. Dans ce cas, seul l’avocat/e pourra lire les données.
Dans ce modèle, le fournisseur rend le logiciel disponible dans le cloud. L’application logicielle doit pouvoir accéder aux fichiers non chiffrés et les données sont donc lisibles par le fournisseur de services cloud. Les autres utilisateurs du même cloud ne peuvent toutefois pas accéder à ces données, car une clé différente est utilisée pour chaque client. En utilisant le SaaS, les avocat/es qui travaillent avec des contenus confidentiels doivent être conscients que le fournisseur de services cloud peut lire les données et qu’il dispose théoriquement de la possibilité de les utiliser.
Obligation de diligence dans la sélection, l’instruction et la surveillance des auxiliaires
Lors du choix d’un auxiliaire, les personnes astreintes au secret professionnel doivent respecter certaines règles, lesquelles découlent également du droit civil et des règles professionnelles. Ces dernières ne permettent aucune révélation proscrite par le droit pénal, mais contribuent à préciser la notion d’auxiliaire de l’art. 321 ch. 1er al. 1er CP, par le biais d’une interprétation téléologique.
L’avocat qui fait appel à des auxiliaires endosse la responsabilité de l’art. 101 CO pour tous les dommages causés par ses auxiliaires chargés d’exécuter l’obligation, à condition que ces dommages puissent leur être imputés. L’art. 13 al. 2 LLCA prévoit également que l’avocat doit s’assurer que le secret professionnel est respecté, en engageant, instruisant et surveillant ses auxiliaires. S’il ne prend pas toutes les mesures raisonnables pour garantir son secret professionnel, il enfreint cette règle professionnelle. La doctrine retient par ailleurs que les auxiliaires doivent contractuellement s’obliger à maintenir le secret, tout en soulignant la nécessité de mettre en place un véritable dispositif de sécurité, en fonction de la taille et des activités de l’étude d’avocats. Il peut donc s’avérer judicieux de restreindre le cercle des auxiliaires impliqués dans des informations particulièrement sensibles et de prendre les mesures techniques et organisationnelles appropriées pour protéger ces informations.
En conclusion, le détenteur du secret n’est donc pas totalement libre dans ses actions. Le respect des obligations civiles et professionnelles exige plutôt une limitation raisonnable du cercle des personnes qui ont accès aux informations secrètes et une prise de mesures suffisantes pour sécuriser ces informations.
Quid s’il s’agit de fournisseurs de services cloud à l’étranger ?
Si des données sont transférées à l’étranger ou si un fournisseur de services cloud à l’étranger se voit accorder l’accès à des données stockées en Suisse, ces données peuvent être soumises à une protection juridique plus faible ou à un droit d’accès des autorités étrangères (par exemple dans le cas de mesures coercitives lors d’une procédure pénale). Comme exemple perceptif, le Cloud Act 29 adopté par le Congrès américain en mars 2018 permet aux autorités américaines d’accéder aux données stockées à l’étranger si elles sont en possession, sous la garde ou le contrôle d’un fournisseur américain de services cloud.
La compétence pénale suisse est en principe liée au lieu de commission de l’acte, c.-à-d. soit le lieu d’exécution ou le lieu du résultat (art. 8 al. 1er CP). Si le secret est révélé à l’étranger, il se peut que ni la commission de l’acte ni le résultat n’aient eu lieu en Suisse. Toutefois, pour admettre qu’il y a eu communication à un auxiliaire, il n’est pas déterminant que celui-ci soit également soumis à l’art. 321 CP. Ce qui est décisif, c’est que l’implication du fournisseur de services cloud soit autorisée. Cela nécessite que ce dernier soit contractuellement tenu au secret professionnel et que l’externalisation prévue résiste à l’évaluation des risques. Dans cette analyse, il faut tenir compte de la sensibilité des données, mais aussi du respect attendu des contrats et des lois auxquels est soumis le fournisseur de services cloud à l’étranger, ainsi que de la probabilité concrète d’accès aux données. Cette évaluation des risques peut varier en fonction de l’activité de l’avocat/e. Une prudence élémentaire s’impose, notamment lorsque l’avocat/e conseille des clients étrangers sur des questions fiscales et des clients politiquement exposés.
Garantie supplémentaire : le consentement du client
Même si le recours à un fournisseur de services cloud par l’avocat est en principe autorisé, il est recommandé, afin de garantir un degré de sécurité supplémentaire dans l’exécution du mandat, d’obtenir le consentement du client pour le recours à ce fournisseur (ainsi qu’à d’autres auxiliaires, tels que les stagiaires et les informaticiens). Ce consentement ne requiert pas de forme particulière. En outre, le consentement est présumé si le client a été suffisamment informé sur l’utilisation des services cloud par son avocat/e et si, une fois cette information donnée, il ne s’est pas opposé au maintien du mandat. À l’issue de celui-ci, il convient de prévoir, dans le modèle IaaS, un archivage chiffré, lequel exclut désormais tout accès par le fournisseur de services cloud au contenu des données stockées.
Downloads
- Lignes directrices du CCBE sur l'usage des services d'informatique en nuage pas les avocats
- Avis de droit de l'utilisation des services de cloud par les avocats
- Indications et recommandations de la FSA pour la sous-traitance informatique et l’utilisation de services cloud
- Extrait de la revue de l'avocat 8/2017, p. 337 f.
- Le point du mire du Coseil - revue de l'avocats 8/2018
- Aperçu des offres
- Contrat cloud Computing Fournisseur avec lien étranger
- Contrat cloud Computing Fournisseur sans lien étranger
- Le point du mire - revue de l'avocats 2/2019