Jusqu’à présent, on écrivait et on enregistrait des textes sur un ordinateur en se servant, le plus souvent, d’un logiciel installé sur l’appareil. Le processus est différent lorsqu’on recourt à un système de «cloud» (nuage en anglais): le logiciel se trouve généralement sur un espace de stockage externe, et le document est créé et enregistré sur internet.
On parle aussi de «Software as a Service» («logiciel en tant que service», SaaS). Le client qui recourt à de telles offres paie pour pouvoir utiliser des programmes informatiques et stocker des données de manière externalisée. L’avantage du cloud est que l’utilisateur peut accéder aux fichiers et les modifier de n’importe où par le biais d’internet. En outre, il n’a pas à acquérir et à installer son propre logiciel. Il n’a besoin que d’un ordinateur et d’une connexion internet. Le fournisseur de services est responsable de la maintenance des logiciels informatiques et du stockage. La transmission des données sur internet et leur stockage sont cryptés. Seuls ceux qui disposent de la clé nécessaire (comme, par exemple, un mot de passe) peuvent accéder aux données et les traiter.
La société bernoise Weblaw SA a mis en place, dans un cloud suisse, une solution spécialement adaptée aux études d’avocats. Les logiciels peuvent être utilisés sur la plateforme «Lawdesk». Les prix dépendent de la taille de l’étude d’avocats. Pour trois à quatorze utilisateurs, par exemple, Lawdesk coûte 2 340 francs par utilisateur et par an. Il comprend Microsoft Office, un service d’archivage et de sauvegarde des données, une solution de vidéoconférence et de conférence téléphonique ainsi qu’un logiciel de dictée avec transcription. De plus, les clients ont accès à divers contenus juridiques, tels que la bibliothèque Weblaw et la revue juridique Jusletter. Moyennant un supplément, ils peuvent, en outre, accéder à d’autres logiciels destinés aux études d’avocats, comme M-Files, Octoiur-Octobit et Vertec.
Des offres à partir de 1 200 francs
De nombreuses autres entreprises fournissent des services similaires. A la fin de 2019, la Fédération suisse des avocats (FSA) a établi un paquet de «services-types» afin de pouvoir, dans la mesure du possible, comparer les prix. Elle a obtenu des devis de 14 entreprises. Le paquet devait comprendre Microsoft Office, la fourniture d’une adresse de courriel Exchange (permettant l’accès aux courriels quels que soient l’emplacement et l’appareil, sans qu’ils soient téléchargés) ainsi que des logiciels spécialisés de gestion des documents, de saisie de prestations, de facturation, de gestion des comptes clients, des adresses et des délais, de comptabilité financière et d’archivage des données pouvant servir de preuves.
Selon cette enquête, les avocats doivent s’attendre à des coûts d’au moins 1200 francs par utilisateur et par an pour un système de cloud (voir tableau p. 12), les logiciels destinés aux études d’avocats n’étant, en règle générale, pas inclus. Meta10, basée à Baar (ZG), propose, par exemple, aux études d’avocats une solution cloud à partir de 1 176 francs par an et par utilisateur («Small Business Secure Cloud», jusqu’à 15 utilisateurs). L’étude d’avocats peut choisir les logiciels qu’elle souhaite utiliser et paie des droits de licence en conséquence. Des programmes couramment utilisés dans la branche, tels que Plato, Vertec ou WinJur, sont disponibles. Si une étude d’avocats a déjà acquis l’un de ces logiciels, il peut généralement être transféré dans le cloud moyennant un surcoût.
Des frais supplémentaires sont à prévoir pour la mise en place du service. Ils sont très variables et se chiffrent de quelques centaines de francs à plus de 20 000 francs (voir tableau PDF). Les prestataires facturent généralement les services d’assistance à un taux horaire compris entre 150 et 230 francs. Les membres de la FSA peuvent trouver les détails et les prix des différentes offres à l’adresse sav-fsa.ch, en sélectionnant les rubriques «Services» et «Avocats et cloud», puis sous «Informations sur les fournisseurs de services informatiques en nuage». Selon la FSA, les prix indiqués sont toujours d’actualité.
Même quand elles utilisent un service externe de cloud, les études d’avocats doivent respecter le secret professionnel de l’art. 321 CP. L’accès technique aux données des fournisseurs de services Saas est problématique malgré leur cryptage. A l’automne 2018, la FSA a chargé le «Center for Information Technology, Society and Law» de l’Université de Zurich de clarifier cette problématique dans une expertise.
Recueillir le consentement du client
L’expertise arrive à la conclusion que les avocats sont autorisés à rendre les informations protégées accessibles aux fournisseurs de SaaS en tant qu’auxiliaires, au sens de l’art. 321 al. 1 CP. Toutefois, conformément à l’art. 13 al. 2 LLCA, les avocats doivent veiller à ce que les fournisseurs respectent le secret professionnel. Selon l’expertise, l’avocat doit, dans sa relation contractuelle avec le fournisseur de cloud, prévoir une clause selon laquelle ce dernier respectera le secret professionnel. L’avocat est autorisé à faire appel à des auxiliaires sans le consentement du client. Néanmoins, les experts recommandent, comme garantie supplémentaire, d’obtenir le consentement du client pour utiliser les services de cloud dans le cadre du mandat.
Un arrêt du TF révèle des points sensibles
Le Tribunal fédéral s’est également déjà penché sur la question de savoir si l’utilisation de services de cloud est compatible avec les obligations professionnelles de l’avocat. Dans l’ATF 145 II 229, il a qualifié d’auxiliaire un spécialiste chargé du stockage à distance et de la protection des données informatiques de l’avocat. Concernant le respect du secret professionnel, toutefois, il a considéré qu’il n’était pas admissible que l’avocat accepte que l’auxiliaire limite sa responsabilité aux seuls cas de faute grave ou intentionnelle, alors que de nombreux fournisseurs de services de cloud prévoient ce type de clause limitative de responsabilité dans leurs conditions générales. En outre, l’avocat ne doit pas non plus accepter que l’auxiliaire charge un tiers de l’exécution des tâches qui lui sont confiées, ce qui arrive également souvent.
Selon Wolfgang Straub, avocat bernois et chargé de cours en droit informatique à l’Université de Berne, le Tribunal fédéral n’exclut généralement pas le recours à un sous-traitant. Il précise toutefois que le sous-traitant doit, lui aussi, être tenu de respecter le secret professionnel, et que l’étude d’avocats doit avoir le droit de lui donner des instructions.
Si les avocats ont recours aux services SaaS, ils doivent aussi se conformer à la loi sur la protection des données. Ils traitent et enregistrent les données de leurs clients, en règle générale avec leur consentement. Selon l’expertise, les fournisseurs de services de cloud sont également autorisés à le faire. Cependant, les avocats doivent convenir avec eux qu’ils ne traiteront les données que dans la mesure requise pour l’exécution du contrat. En outre, celui qui traite et enregistre des données doit aussi s’efforcer de les sécuriser. Si le fournisseur de services déclare qu’il satisfait aux exigences de certificats de protection des données, tels que «GoodPriv@cy» ou «ePrivacy», l’avocat devrait pouvoir s’y fier.
Des difficultés peuvent survenir lorsque les données se trouvent sur un serveur à l’étranger. Selon l’art. 6 al. 1 LPD, cela est inadmissible «si la personnalité des personnes concernées devait s’en trouver gravement menacée, notamment du fait de l’absence d’une législation assurant un niveau de protection adéquat». Selon le Préposé fédéral à la protection des données, la protection des données n’est pas suffisante aux Etats-Unis.
Les avocats doivent obtenir des garanties de respect de la protection des données ou choisir un fournisseur qui n’enregistre les données qu’en Suisse, car, sinon, l’accès aux données par des Etats étrangers serait légalement possible. Par exemple, les autorités américaines peuvent, en se fondant sur le «Cloud Act», accéder aux données si elles sont en possession ou sous le contrôle d’un fournisseur de cloud américain.
La FSA fournit des modèles de contrat (sav-fsa.ch, rubriques «Services», «Avocats et cloud» puis «Modèles de contrat pour études et fournisseurs de cloud»). Ceux-ci stipulent, par exemple, que le fournisseur de cloud doit fournir les services lui-même et ne peut engager des sous-traitants que si le client y consent par écrit.
La FSA a également élaboré des indications et des recommandations sur les points à surveiller dans le choix du fournisseur, sur ce que le contrat doit prévoir, sur la manière dont le fournisseur doit être surveillé et sur l’information des clients (sav-fsa.ch, rubriques «Services», «Avocats et cloud», puis «Indications et recommandations de la FSA pour la sous-traitance informatique et l’utilisation de services cloud»).
«Les données sensibles n’ont pas leur place dans le cloud»
Mais les données sensibles ont-elles réellement leur place dans un système de cloud externe? En tout cas pas, selon Volker Birk, de l’association de hackers Chaos Computer Club Suisse: «Les données sensibles appartiennent aux ordinateurs locaux de l’étude d’avocats, tout comme les dossiers appartiennent à l’étude.» Laurent Metzger, professeur d’informatique à la Haute Ecole d’ingénieurs de Rapperswil, est d’un autre avis. Selon lui, les solutions de cloud computing sont sûres, car les fournisseurs font beaucoup d’efforts pour se conformer aux standards en matière de sécurité.
Un bureau mobile peut également s’organiser d’une autre manière: les données peuvent être stockées localement dans l’étude d’avocats, et rendues accessibles de n’importe où. Cela étant, la mise en place d’une telle solution est plus onéreuse: Achermann ICT-Services, par exemple, facture quelque 25 000 à 35 000 francs (pour dix utilisateurs). A cela s’ajoutent les frais d’achat du serveur et au moins 7 200 francs par an pour la maintenance. Pour un cabinet d’avocats de cinq utilisateurs, Virtualtec calcule un coût d’acquisition approximatif de 15 500 francs (19 500 francs pour dix utilisateurs) plus 12 500 francs pour la mise en service. Si des données doivent être transférées, Virtualtec facture 180 ou 210 francs par heure. La
maintenance se chiffre à au moins 2 520 francs par année.
En contrepartie, les frais de fonctionnement par utilisateur sont réduits. Chez Virtualtec, ils se chiffrent à un peu moins de 300 francs par année. Celui qui envisage une telle solution devrait demander plusieurs offres. Le professeur d’informatique Laurent Metzger déconseille les systèmes de cloud «faits maison»: les mesures de sécurité risquent de devenir obsolètes et le cloud local d’être crypté en cas d’attaque de pirates qui pourraient alors exiger des sommes importantes pour le débloquer.
