Numérique et secret professionnel
Nous sommes en 2022. La révolution numérique poursuit son avancée galopante, l’Europe est en ordre de bataille pour la protection des données personnelles des personnes contre les GAFAM, qui eux-mêmes se retrouvent entre le marteau du RGPD et l’enclume des injonctions de l’administration américaine. Dans des milieux plus obscurs, les cyberattaques s’organisent à la chaîne, parfois l’œuvre des black hats (pirates informatiques malveillants), parfois l’œuvre des services de renseignements de certains pays.
Dans ce contexte anxiogène pour tout spécialiste en cybersécurité, il convient à chacun(e) de se poser les questions adéquates en matière de protection de ses données, à l’heure où tous les processus professionnels se dématérialisent. Cette exigence est d’autant plus vitale dans le cadre d’un renforcement des obligations de sécurité, comme c’est notamment le cas pour le secret professionnel.
Disons-le tout net, des risques particulièrement importants existent pour les professionnels soumis à ce secret (1). Il convient cependant de ne pas sombrer dans l’hystérie collective, car là où la technologie peut être synonyme d’agression et de dangers potentiels, elle peut aussi être le moyen de se protéger (très) efficacement (2).
1) La jungle numérique, espace d’action des prédateurs du web
Nul besoin de se plonger dans les profondeurs du dark net pour éventuellement croiser la route d’individus mal intentionnés. Ces individus peuvent être de plusieurs natures. Une première catégorie est peuplée par les cybercriminels (A) , l’autre par des acteurs plus institutionnels (B).
A) La cybercriminalité ou la volonté de convertir vos données en monnaie sonnante et trébuchante
A notre époque, la donnée constitue l’actif le plus précieux pour bon nombre d’entreprises. Aussi sûr que la lumière attire des insectes nuisibles un soir d’été, cette valeur va pousser nombre de pirates à lorgner sur vos précieuses données, que ce soit à des fins de chantage, ou à des fins de revente, le plus souvent sur le dark net.
Précisons-le d’emblée, dans ce cadre, tous les professionnels ne sont pas exposés de la même manière à ce risque, y compris chez les professionnels tenus au secret. L’avocat indépendant qui traite le conflit de voisinage de Madame Dupont au Tribunal de proximité de Brantigny-les-deux-rivières ne sera pas aussi exposé que le cabinet d'affaire qui s'occupe d'un dossier de fusion/acquisition pour un groupe du CAC 40.
Pour ces professionnels, l’enjeu est de déterminer le niveau de risque auquel ils sont exposés. En effet, le secret professionnel en tant qu’obligation renforcée entraîne des conséquences plus importantes en cas de fuite par rapport à ce qu’elles seraient pour des professionnels non soumis à ce secret.
A titre d’exemple, on peut citer l’attaque subie en 2021 par un cabinet d’avocat parisien qui représentait une partie civile au procès des attentats de Charlie Hebdo. 820 Go de données subtilisés, blocage du système d’information par ransomware, publication d’une photo de la scène de crime et 500 000 euros de rançon, nous nous situons clairement dans le périmètre de la crise pour ce cabinet.
Avec cette délinquance « de métier » cohabitent des pratiques institutionnalisées qui peuvent s’opposer, elles aussi, au secret professionnel.
B) Des acteurs « institutionnels » susceptibles de mettre à mal le secret professionnel
Le 10 février dernier, la CNIL annonçait avoir mis en demeure un gestionnaire de site web pour l’utilisation de Google Analytics. Le fondement de cette mise en demeure : le droit américain permet au gouvernement d’obliger les entreprises américaines à lui adresser les données personnelles dont elles ont la garde, ce qui comprend nécessairement les données de l’outil GA, et ce parfois en dehors de tout cadre judiciaire. Cet état de fait juridique rend donc potentiellement tous les transferts de données vers les Etats-Unis illégaux.
Cet invasionnisme numérique soulève plusieurs points intéressants dans notre contexte. D’une part, tout professionnel stockant des données couvertes par le secret professionnel sur une plateforme américaine s’expose à ce que ces données soit divulguées au gouvernement américain, créant ainsi à la fois une atteinte potentielle au secret professionnel mais aussi vis-à-vis du RGPD. C’est en effet l’objet du bien connu Patriot Act et de son petit frère plus discret le Cloud Act (Clarifying Lawful Overseas Use of Data Act). Ce dernier va jusqu’à obliger les entreprises américaines à potentiellement fournir des données hébergées par une filiale de ces entreprises sur le sol européen (coucou Google Ireland).
De plus, le Cloud Act reconnait la possibilité aux fournisseurs de services concernés de contester les demandes qui seraient contraires aux lois ou aux intérêts nationaux d’un autre pays. Il semble donc que le Cloud Act apporte finalement un peu de sécurité là où le Patriot Act envisage des atteintes aux données beaucoup plus virulentes. En effet, si le Cloud Act s’inscrit dans les règles de la procédure pénale américaine, le Patriot Act, lui, traite plus des enquêtes placées sous le sceau du secret défense, rendant beaucoup plus obscure la portée des intrusions, et la possibilité d’éventuels recours inexistante. C’est évidemment sur l’existence des possibilités accordées par le Patriot Act que les autorités de protection des données européennes s’appuient pour justifier leur position évoquée ci-dessus.
Si les Etats-Unis se cachent donc derrière un certain formalisme juridique pour justifier des pratiques plus que discutables, d’autres ne s’encombrent pas de telles préoccupations et vont se contenter d’agir. En tête de liste, la Chine et la Russie, l’une comme l’autre réputée pour avoir mis en place des groupes de hackers au service du gouvernement. Ces groupes ne peuvent que se frotter les mains en considérant le volume toujours plus important de données conservé par les professionnels, données dont la valeur ne cesse d’augmenter de surcroît.
Ce contexte général, qui pourrait donner des sueurs froides à toute personne traitant de la donnée un peu sensible, et encore plus aux personnes soumises à une obligation renforcée, n’a pourtant rien d’une fatalité. En effet, si la technologie donne aux acteurs évoqués précédemment les moyens de perpétrer leurs invasions, elle offre aussi aux professionnels les moyens de se protéger.
2) Adapter vos mesures de sécurités à la sensibilité de vos données
Rappelons-le, l’atteinte au secret professionnel est un délit pénal sanctionné par l’article 226-13 du code pénal d’un maximal d’un an d’emprisonnement et de 15 000 euros d’amende. En plus de potentiellement générer un risque de préjudice d’image ou un préjudice économique, il existe donc également un risque pénal pour les professionnels concernant la gestion et la sécurité de leur traitement de données.
L’enjeu pour le professionnel est donc de prévoir en amont. Une bonne maîtrise des outils et une bonne connaissance de son système d’information sont indispensables pour se protéger efficacement.
A) Connaître sa data et la catégoriser
La première étape pour chaque professionnel est de se demander quelles sont, dans le cadre de son activité, les données qu’il traite : données bancaire, de santé, relatives à la vie du cabinet ou de l’entreprise, judiciaires, etc.
Toutes ces données n’ont pas le même degré de sensibilité. Par exemple, la communication entre un cabinet d’avocat et son prestataire de dépannage d’imprimante ne revêt pas le même degré de sensibilité que les éléments d’un dossier judiciaire portant sur la liquidation d’une entreprise.
Une question spécifique à se poser dans ce contexte est la suivante : Quelles données, parmi celles que je traite, sont des données à caractère personnel ? En effet, ces données doivent faire l’objet de précautions et mesures particulières en accord avec les dispositions du RGPD et les décisions et recommandations des autorités de protection des données personnelles (en France, la CNIL).
En matière de données personnelle par ailleurs, Il convient d’être tout particulièrement attentif aux données sensibles (Article 9 du RGPD). En effet les professionnels libéraux vont être amenés à manipuler ce type de données sensibles dans le cadre de leur activité (données relatives au casier judiciaire, à la santé, à l’orientation sexuelle, etc.). L’enjeux est donc double car il s’agit à la fois de se prémunir contre les sanctions tirées du RGPD, ainsi que contre les sanctions pénales relatives à la violation du secret professionnel.
Le responsable de traitement de données à caractère personnel est, de plus, obligé de tenir un registre détaillant les différents traitements qu’il effectue (Art 30 RGPD). La réalisation de ce registre peut être l’occasion d’aller plus loin en appliquant cette méthodologie à toutes les données sensibles, même si elles n’ont pas de caractère personnel. Réaliser des analyses d’impact sur la vie privée est également obligatoire dans certains cas pour les données personnelles. De la même manière cet exercice peut être appliqué sur toutes les données sensibles.
Tout ces travaux permettent au professionnel d’avoir une bonne visibilité sur les risques auxquels il s’expose, et donc de pouvoir y répondre de la façon la plus adéquate.
B) Appliquer les bonnes pratiques en fonction de la catégorisation
Une fois acquise une bonne visualisation de son écosystème de données, le professionnel doit sécuriser cet écosystème. Petite liste non-exhaustive des chantiers à envisager :
La sécurisation des accès : Aussi bien physique que numérique, le professionnel doit gérer les accès à la fois vis-à-vis du local où il exerce (documents papier sensibles sous clef, moyens d’accès aux locaux) mais aussi dans son système d’information. Pour un libéral exerçant seul son activité, cette problématique sera vite résolue. Il en va autrement pour les structures comptant plus d’une personne.
Passer en revue ses prestataires : Tous les prestataires qui manipulent de la donnée doivent présenter le niveau de sécurité adéquat au regard du niveau de sensibilité de ces données. Sans aller jusqu’à demander des audits externes à ces prestataires, bien que certains soient susceptibles de fournir des rapports d’audit antérieur à leurs clients, il faut veiller à ce que la relation soit bien encadrée en termes de responsabilité. Si le prestataire manipule des données personnelles notamment, certaines clauses doivent absolument figurer sur le contrat. Il faut également regarder les certifications éventuelles du prestataire en matière de norme de sécurité.
Prévoir le cycle de vie des données et le documenter : Le RGPD a amené un certain nombre de règles relatives à la vie des données, que ce soit en termes de conservation et de résilience, ou en termes d’effacement. Ce cycle doit être prévu en amont répondre autant aux problématiques de protection de la vie privée que de sécurité. En effet, une donnée dont je n’ai plus besoin et dont j’ai purgé mon système d’information ne risque pas de me causer un préjudice en étant dérobé. Dans l’hypothèse opposée, si j’ai prévu une sauvegarde de secours pour mes données sensibles, le risque de perdre une donnée dont je suis censé protéger l’intégrité est fortement amoindri. Là encore, il est opportun d’appliquer la logique du RGPD à des données non personnelles.
Les quelques grands axes présentés ci-dessus ne sont cependant pas une fin en soi. Protéger ses données peut parfois paraître relever du sacerdoce dans le contexte qui est le nôtre, et il n’y a pas de honte à s’entourer de personnes de confiance pour affronter ce défi. Toute l’équipe de La Robe Numérique est à votre disposition pour vous aider à traiter vos données en toute sécurité. N’hésitez pas à nous contacter.
Pierre ETIENNE- GIRANDIÈRE