Colombani Avocat
4, Rue Albert 1er
59140  Dunkerque
N°TVA :

RPVA/RPVJ, l'arrêté du 7 avril 2009, une ébauche de normalisation de la sécurité internet
08/05/2009

Le texte pose en son article premier un principe selon lequel l'arrêté fixe les conditions de confidentialité des communications entre avocats et des communications entre avocats et juridictions.

L'aricle 5 explique que: "L'accès des avocats au système de communication électronique mis à disposition des juridictions se fait par l'utilisation d'un procédé de raccordement à un réseau indépendant privé opéré sous la responsabilité du Conseil national des barreaux, dénommé « réseau privé virtuel avocat » (RPVA)."

L'aricle 6 mérite un commentaire:

"Dans le cas où le raccordement de l'équipement terminal de l'avocat au RPVA se fait via le

réseau ouvert au public internet, il utilise des moyens de cryptologie préservant la confidentialité des

informations."

Il me semble que le rédacteur souhaitait dire que lorsque le cabinet était raccordé au RPVJ et au service internet de la justice sans passer par le RPVA son équipement devait utiliser "des moyens de cryptologie préservant la confidentialité des informations."

Soit!

En effet, le RIN pose des principes:

"2.1 L'avocat est le confident nécessaire du client.

Le secret professionnel de l'avocat est d'ordre public. Il est général, absolu et illimité dans le temps.

Sous réserve des strictes exigences de sa propre défense devant toute juridiction et des cas de déclaration ou de révélation prévues ou autorisées par la loi, l'avocat ne commet, en toute matière, aucune divulgation contrevenant au secret professionnel.

Etendue du secret professionnel

2.2 Le secret professionnel couvre en toute matière, dans le domaine du conseil ou celui de la défense, et quels qu'en soient les supports, matériels ou immatériels (papier, télécopie, voie électronique ...) :

les consultations adressées par un avocat à son client ou destinées à celui-ci

les correspondances échangées entre le client et son avocat, entre l'avocat et ses confrères, à l'exception pour ces dernières de celles portant la mention officielle

les notes d'entretien et plus généralement toutes les pièces du dossier, toutes les informations et confidences reçues par l'avocat dans l'exercice de la profession

le nom des clients et l'agenda de l'avocat

les règlements pécuniaires et tous maniements de fonds effectués en application de l'article 27 alinéa 2 de la loi du 31 décembre 1971

les informations demandées par les commissaires aux comptes ou tous tiers, (informations qui ne peuvent être communiquées par l'avocat qu'à son client).

Dans les procédures d'appels d'offres publics ou privés et d'attribution de marchés publics, l'avocat peut faire mention des références nominatives d'un ou plusieurs de ses clients avec leur accord exprès et préalable.

Si le nom donné en référence est celui d'un client qui a été suivi par cet avocat en qualité de collaborateur ou d'associé d'un cabinet d'avocat dans lequel il n'exerce plus depuis moins de deux ans, celui-ci devra concomitamment aviser son ancien cabinet de la demande d'accord exprès adressée à ce client et indiquer dans la réponse à appel d'offres le nom du cabinet au sein duquel l'expérience a été acquise.

Aucune consultation ou saisie de documents ne peut être pratiquée au cabinet ou au domicile de l'avocat, sauf dans les conditions de l'article 56-1 du Code de procédure pénale.

Structure professionnelle, mode d'exercice et secret professionnel

2.3 L'avocat doit faire respecter le secret par les membres du personnel de son cabinet et par toute personne qui coopère avec lui dans son activité professionnelle. Il répond des violations du secret qui seraient ainsi commises.

Lorsque l'avocat exerce en groupe ou participe à une structure de mise en commun de moyens, le secret s'étend à tous les avocats qui exercent avec lui et à ceux avec lesquels il met en commun des moyens d'exercice de la profession.

Mais ces règles de confidentialité sont-elles bien compatibles avec une comunication électronique débridée?

En effet, dès lors qu'une machine est reliée aux dossiers du cabinet et qu'elle est connectée à internet quelle est son degré de vulnérabilité aux cookies, troyens et autres agents de renseignements virtuels?

A fortiori lorsque la maintenance des logiciels de gestion des dossiers du cabinet est confiée à une entreprise tierce, non avocat, dont il est impossible de se porter fort...

L'avocat a toujours la possibilité de télécharger des patchs de mise à jour du logiciel, via une clé dont les informations sont passées préalablement à l'antivirus avant d'être mise dans le réseau intranet, seul connecté aux dossiers.

C'est lourd!

Mais que faire?

L'utilisation de moyens cryptographiques "employant des clés cryptographiques de grande taille" vers l'étranger ou l'Union Européenne doit faire l'objet de déclarations. Il peut être posé la question de la compatibilité de ces déclarations avec le secret ci-dessus énoncé lorsque les machines sont connectées directements aux dossiers.

La question se pose avec d'autant plus d'acquité dans les réseaux de cabinets ou les cabinets en réseaux...

N'oublions pas que la "libéralisation" du PGP n'est que très récente, il reste des traces dans la loi...

En effet, la loi française qui est supérieure à l'arrêté pose le principe que les moyens de cryptage utilisés doivnt dans certains cas faire l'objet de déclarations en particulier dans les relations avec l'étranger.

Ces dispositions posent la question de la compatibilité du chapitre 3 de l'arrêté avec la loi de 2004.

"CHAPITRE III

De l'identification des parties à la communication électronique et sa fiabilité

Art. 9. - La sécurité de la connexion des avocats au RPVA est garantie par un dispositif d'identification.

Ce dispositif est fondé sur un service de certification garantissant l'authentification de la qualité d'avocat

personne physique, au sens du décret du 30 mars 2001 susvisé. Le dispositif comporte une fonction de

vérification de la validité du certificat électronique. Celui-ci est délivré par un prestataire de services de

certification électronique agissant au nom du Conseil national des barreaux, autorité de certification.

Art. 10. - Au sein du RPVJ, les courriers électroniques sont formatés par l'application WinCi TGI et émis

au nom du service compétent par les utilisateurs authentifiés.

Art. 11. - Au sein du RPVJ, la liste des données communiquées par l'ordre pour l'identification et

l'habilitation de l'avocat comporte un indicateur « inscrit à la communication électronique », les données

relatives au barreau d'appartenance, la qualité, le numéro CNBF et l'adresse de la boîte aux lettres sécurisée associée au certificat électronique. Si l'avocat appartient à une structure d'exercice professionnelle conformément aux dispositions de l'article 93 du décret du 27 novembre 1991 susvisé, elle comporte également le numéro SIREN de la structure et un indicateur « niveau d'habilitation ».

Art. 12. - L'adresse de la boîte aux lettres sécurisée de l'avocat est hébergée par un serveur de messagerie dont le nom de domaine est « avocat-conseil.fr ». La structure de l'adresse de messagerie est de la forme « cnbf.nomprénom@avocat-conseil.fr », le préfixe « cnbf.nomprénom » permettant d'identifier l'avocat.

L'utilisation de cette adresse de messagerie couplée à l'utilisation du certificat avocat permet de garantir

l'identité de l'avocat en tant qu'expéditeur ou destinataire du courrier électronique.

Art. 13. - La liste des adresses de messagerie dédiées à la communication électronique civile utilisées par

les services des juridictions est mise à disposition des avocats au moyen du service « e-barreau ».

Art. 14. - La procédure d'inscription et d'enregistrement des données d'identification et d'habilitation des

avocats est à l'initiative et sous la responsabilité de l'ordre des avocats."

En effet, c'est le CNB et les Ordres qui assument la responsabilité de la connection correcte des avocats.

Enfin, dans ce contexte, la question se pose de la garantie de la fiabilité du dipositif au regard des pratiques de hacking et qui sont si fréquentes?

Retour
Top