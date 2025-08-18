Dans le prolongement d’une affaire dans laquelle un avocat du barreau de Paris a vu ses comptes Google fermés parce qu’ils contenaient des images pédopornographiques liées aux dossiers traités par ce professionnel, Me Patrick Lingibé souligne la nécessité pour les avocats de choisir des solutions sécurisées, par exemple celles proposées par le Conseil national des barreaux (CNB).

L’ère du numérique et la généralisation de l’utilisation d’outils non souverains pour la gestion de la correspondance et des dossiers professionnels soulèvent des enjeux fondamentaux en matière de confidentialité et de responsabilité.

L’affaire jugée par la cour d’appel de Paris dans son arrêt rendu le 24 janvier 2025, à l’égard de Maître [B], avocat au barreau de Paris, illustre de façon frappante les risques encourus par l’utilisation de services de messagerie et de stockage grand public pour la gestion d’informations sensibles.

Cependant, si l’affaire Maître [B] illustre un cas particulièrement grave, les risques liés à l’utilisation d’outils non sécurisés concernent tous les avocats, quel que soit leur domaine d’activité. En 2024, une étude du Conseil national des barreaux révélait que des cabinets avaient déjà été confrontés à une tentative de piratage ou à une perte de données sensibles, souvent due à l’utilisation de plateformes grand public. Ces incidents, bien que moins médiatisés, peuvent avoir des conséquences tout aussi lourdes : perte de confiance des clients, sanctions disciplinaires, voire une responsabilité civile en cas de fuite de données personnelles. La cybersécurité n’est donc pas une option, mais une nécessité quotidienne.

Nous commenterons cette décision en abordant, d’une part, les défis de la numérisation pour les avocats (I) et, d’autre part, les responsabilités professionnelles et recommandations stratégiques (II).

I – LES DÉFIS DE LA NUMÉRISATION POUR LES AVOCATS

Dans le contexte actuel marqué par une transformation numérique rapide, les membres de la profession d’avocat sont confrontés à des défis inédits concernant la sécurisation de leurs échanges et la gestion des dossiers sensibles. L’affaire Maître [B], jugée en janvier 2025 par la cour d’appel de Paris, met en exergue les conséquences parfois lourdes de l’utilisation de services numériques non sécurisés. Afin de mieux comprendre les enseignements de cette décision, nous aborderons tout d’abord l’usage des outils numériques et les vulnérabilités constatées (A), avant de voir les conséquences juridiques et pratiques de l’utilisation de solutions non sécurisées (B).

A – Usage des outils numériques et vulnérabilités constatées

La transformation numérique du métier d’avocat s’est accélérée ces dernières années, avec une utilisation massive des plateformes de messagerie et de stockage en ligne pour la gestion des dossiers, des pièces et des échanges professionnels. Maître [B], avocat de profession, illustre cette évolution en ayant recours, tant à titre personnel que professionnel, à Gmail et Google Drive, des services grand public particulièrement accessibles et polyvalents.

Cependant, ce choix de facilité peut masquer de graves lacunes en matière de sécurité et de conformité. Maître [B] a ainsi conservé sur Google Drive divers dossiers numérisés relatifs à ses affaires, dont des pièces sensibles issues d’une procédure pénale où il intervenait en qualité d’avocat de la défense, notamment des fichiers à caractère pédopornographique, élément de preuve du dossier qu’il traitait. De plus, aucune mesure technique spécifique n’a été prise pour assurer la protection ou le chiffrement de ces documents.

La cour a relevé que « les contenus litigieux stockés sur le compte Google Drive étaient constitués d’images brutes, et non des copies de rapport d’expertise ou d’un dossier pénal et ne permettaient pas à la société Google d’établir l’origine légale de la détention de ces fichiers au jour de la clôture du compte le 7 janvier 2021. ». En l’espèce, il s’agissait plus précisément de 77 images brutes de mineurs à caractère pornographique.

Cependant, au-delà des contenus illicites, des situations banales peuvent exposer les avocats à des risques majeurs, telles que, par exemple :

un e-mail intercepté contenant une stratégie de défense ou des éléments couverts par le secret professionnel ;

un fichier partagé par erreur sur Google Drive avec un tiers non autorisé ;

un compte piraté parce que le mot de passe était trop simple ou réutilisé sur plusieurs plateformes.

Ces scénarios, beaucoup plus fréquents qu’on ne le pense, suffisent à compromettre la confidentialité d’un dossier et la réputation d’un cabinet.

La motivation de la Cour d’appel s’inscrit dans le sillage d’autres décisions ayant statué sur l’utilisation de services extraterritoriaux, confirmant une tendance au strict respect du RGPD et de la territorialisation des données sensibles. Nous pouvons rapprocher cette logique de celle adoptée par la CJUE, notamment dans l’arrêt Schrems II[1], qui a invalidé le Privacy Shield en raison d’un niveau insuffisant de protection des données transférées aux États-Unis.

B – Conséquences juridiques et pratiques de l’utilisation de solutions non sécurisées

Il convient de rappeler que la société Google est une société de droit américain et que tous les outils qu’elle développe sont contrôlés par les autorités américaines.

La cour d’appel a rappelé à juste titre les obligations qui s’imposent à tout client contractant avec la société Google :

« M. [B], en utilisant le service Google Drive, a accepté de se soumettre aux conditions générales de Google et ses règles de confidentialité ainsi que des conditions particulières de Google Drive qu’il utilisait, lesquelles sont par conséquent applicables en l’espèce. »

Il s’évince que ce sont donc les normes du droit américain qui s’imposent quant au contrôle et aux sanctions s’appliquant aux comptes mails ouverts par les titulaires de compte Gmail, peu importe leur nationalité ou encore leur profession.

Il ressort que c’est à l’occasion des contrôles effectués sur ses plateformes par ses algorithmes que la société Google a constaté la présence d’images prohibées sur l’espace de Monsieur B. et a signalé, comme l’exige la loi américaine, au National Center for Missing & Exploited Children (NCMEC)[2].

À la suite de la détection de fichiers illicites, le 6 janvier 2021, la société Google Ireland procédait à la désactivation du compte de Maître [B]. L’impact est immédiat : l’avocat perd l’accès à son courrier électronique, à ses dossiers professionnels et à son carnet d’adresses, ce qui le prive brutalement d’outils essentiels à l’exercice de son activité et à la relation avec ses clients.

Heureusement, des alternatives existent, comme nous le verrons plus loin. Contrairement à Google, les outils proposés par le Conseil national des barreaux (CNB) ou les plateformes labellisées « cloud de confiance » garantissent une maîtrise totale des données : aucun scan automatique, aucun risque de blocage arbitraire et une conformité totale au RGPD. Ces solutions, souvent perçues comme complexes ou coûteuses, sont en réalité accessibles et adaptées à tous les cabinets, y compris les plus petits.

Face à cette coupure soudaine dont il a été victime, Maître [B] a décidé d’assigner les sociétés Google France et Google Ireland devant le tribunal judiciaire de Paris, réclamant la réactivation de son compte, la restitution de ses données et le paiement de la somme de 200 000 euros en réparation de son préjudice professionnel et 100 000 euros au titre de son préjudice personnel., lequel va le débouter pour l’essentiel et donner raison à Google.

II – RESPONSABILITÉS PROFESSIONNELLES ET RECOMMANDATIONS STRATÉGIQUES

Dans le prolongement de l’analyse des faits et des enjeux soulevés par l’affaire de Maître [B], la seconde partie de notre article traitera, sous un angle juridique et professionnel, les conséquences et responsabilités découlant de l’usage de services numériques non souverains par un avocat. À cet effet, nous traiterons, en premier lieu, du cadre légal, de la jurisprudence et de la responsabilité des hébergeurs (A). En deuxième lieu, nous aborderons la question de la souveraineté numérique, du secret professionnel et des outils sécurisés pour la profession (B).

A – Cadre légal, jurisprudence et responsabilité des hébergeurs.

Saisie à son tour du litige, la cour d’appel de Paris a validé la position de Google, estimant que la société avait agi conformément à ses obligations légales et contractuelles en désactivant le compte dès la détection de contenus illicites, et ce, malgré le contexte judiciaire de conservation.

Cette vigilance, qui peut paraître brutale pour le professionnel concerné, s’appuie sur les deux dispositions ci-après de la loi n° 2004-575 du 21 juin 2001 modifiée pour la confiance dans l’économie numérique, dite loi LCEN[3].

La première résulte de l’article 6 I 2° de la LCEN, dans sa version en vigueur du 26 juin 2020 au 31 juillet 2021 :

« 2. Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d’un destinataire de ces services si elles n’avaient pas effectivement connaissance de leur caractère manifestement illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l’accès impossible. »

La deuxième provient de l’article 6 I 7°, alinéa premier, de la LCEN, dans sa version en vigueur du 26 juin 2020 au 31 juillet 2021 :

« 7. Les personnes mentionnées aux 1 et 2 ne sont pas soumises à une obligation générale de surveiller les informations qu’elles transmettent ou stockent, ni à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites. »

Ces dispositions prévoient que les hébergeurs ne peuvent voir leur responsabilité engagée s’ils agissent promptement une fois informés de la présence d’un contenu illicite.

En pratique, cela signifie qu’un avocat ne peut plus se contenter de la bonne foi ou de l’ignorance pour se prémunir contre les risques. Les clients, de plus en plus sensibilisés à la protection de leurs données, sont en droit d’exiger des garanties. Un cabinet qui utilise Gmail ou Dropbox sans précautions s’expose non seulement à des sanctions, mais aussi à une perte de crédibilité face à une clientèle exigeante.

Ainsi, l’avocat, convaincu du bien-fondé de sa démarche (conservation de pièces pour la défense), se retrouve débouté de l’ensemble de ses demandes au civil, la juridiction estimant que l’intervention de Google a respecté la loi et les engagements contractuels du fournisseur de service.

La cour d’appel a confirmé le jugement rendu le 6 mai 2021 par le tribunal judiciaire de Paris en ce qu’il a déclaré Maître [B] irrecevable en ses demandes formées à l’encontre de la société Google France, l’a débouté de l’ensemble de ses demandes de dommages et intérêts, a ordonné à la société Google Ireland de transférer à l’avocat l’intégralité de ses correspondances (courriels reçus) ainsi que son carnet d’adresses associé au compte Gmail, a débouté Maître [B] du surplus de ses demandes, et condamné ce dernier à payer à la société Google Ireland la somme de 3 500 € sur le fondement de l’article 700 du Code de procédure civile, en plus des dépens.

Dans son arrêt de confirmation, la cour y a ajouté les trois décisions suivantes dans son dispositif :

« CONSTATE que selon un procès-verbal de constant d’huissier du 1er février 2022, M. [I][B] détenait sur ses comptes et Google Drive ouverts auprès de la société Google des fichiers d’images de mineurs à caractère pédopornographique issus de procédures pénales dans lesquelles il était régulièrement désigné en sa qualité d’avocat ;

FIXE à 11 000 euros le montant de l’astreinte définitive due par la société Google Ireland à M. [I][B] ;

DÉBOUTE la société Google Ireland de sa demande de dommages et intérêts, »

Les conséquences pour Maître [B] rappellent que la négligence en matière de cybersécurité peut coûter cher, bien au-delà des frais de justice : perte de temps, stress, et surtout, atteinte à la relation de confiance avec les clients.

B – Souveraineté numérique, secret professionnel et outils sécurisés pour la profession

Au-delà du cas d’espèce, cette affaire souligne des impératifs déontologiques et technologiques pour le métier d’avocat à l’ère du numérique. La conservation de documents relevant du secret professionnel sur des espaces numériques non souverains expose à des risques majeurs : blocage unilatéral des comptes, perte d’accès aux données, divulgation potentielle d’informations confidentielles et contrôle exercé par des autorités étrangères, en l’occurrence américaines sur les services Google.

L’affaire rappelle la nécessité, pour les avocats, de choisir des outils de messagerie et de stockage en ligne offrant des garanties de confidentialité et de sécurité, idéalement localisés en France ou dans l’espace européen et conformes au RGPD.

Il convient sur ce point de rappeler les dispositions protectrices posées par le Règlement (UE) du Parlement européen et du Conseil du 27 avril 2016, entré en application depuis le 25 mai 2018[4]. La loi n° 2018-493 du 20 juin 2018 est venue mettre à jour notre droit national par rapport au droit communautaire, notamment au niveau du contrôle de la CNIL[5].

Le règlement général sur la protection des données (RGPD ou GDPR, pour General data protection regulation) vise à unifier et à renforcer la protection des données pour l’ensemble des résidents de l’Union européenne. Il remplace la directive sur la protection des données personnelles datant de 1995. Il définit un nouveau corps de règles qui s’ajoute à la réglementation existante. Le RGPD concerne toutes les entreprises et tous les organismes qui collectent ou utilisent des données personnelles concernant des résidents européens.

Il convient par ailleurs de mettre en place des pratiques de chiffrement systématique des dossiers numériques sensibles et de s’abstenir de stocker toute information confidentielle sur des plateformes dont l’accès est régi par des réglementations extraterritoriales.

La prudence impose également de s’informer régulièrement des recommandations ordinales et de suivre une formation continue sur les enjeux de cybersécurité et la gestion des risques numériques. La protection du secret professionnel ne peut être assurée sans une maîtrise technique suffisante des moyens de communication et de stockage.

Même s’il existe des sites offrant des adresses électroniques sécurisées[6], il est bon de rappeler que le Conseil national des barreaux a créé également des outils idoines afin d’offrir à tout avocat français une sécurité optimale dans ses échanges et relations professionnels, car les cabinets d’avocats sont concernés par les règles de protection imposées au RGPD. Tout avocat doit s’assurer que les données personnelles qu’il détient pour ses clients sont stockées sur un espace relevant du continent européen, ce qui exclut d’office les plateformes de stockage américaines et autres. Il convient de préciser sur ce point que le Conseil national des barreaux propose plusieurs outils numériques spécifiquement conçus pour les avocats français et répondant à des exigences de sécurité supérieures à celles des outils grand public proposés par d’autres sociétés comme Google.

Nous listons ci-dessous les trois principaux outils sécurisés mis à disposition et leurs différences notables par rapport à d’autres outils d’autres plateformes.

En premier lieu, l’e-Drive qui est un Cloud sécurisé réservé aux avocats pour le stockage et le partage de documents sensibles. Il est hébergé en France et respecte strictement le RGPD : maîtrise totale de la donnée, confidentialité et respect du secret professionnel garantis, ce contrairement à Google Drive où les fichiers peuvent être analysés automatiquement et soumis à la législation américaine. De plus, un espace dédié peut être ouvert pour les clients afin de déposer des documents en toute sécurité.

En deuxième lieu, l’e-Partage sécurisé qui est une solution de transfert de fichiers volumineux (jusqu’à 1Go) ; c’est l’équivalent sécurisé de WeTransfer ou Google Drive. Il est accessible depuis l’espace avocat, hébergé sur les serveurs du CNB. Il est conforme aux normes de confidentialité et au secret professionnel. De plus, l’avocat a la possibilité de générer un accusé de réception des téléchargements, ce que Google ou d’autres plateformes ne proposent pas systématiquement.

En troisième lieu, l’e-Mail qui est une messagerie sécurisée constituée du prénom et du nom de l’avocat adossée au nom de domaine avocat.fr ([email protected]). Rappelons qu’une messagerie sécurisée est une messagerie qui comporte une adresse électronique qui doit posséder des fonctionnalités conçues pour assurer la sécurité du compte e-mail et du contenu des e-mails reçus et envoyés. Une telle messagerie repose généralement sur un dispositif de cryptage de bout en bout, lequel permet au seul utilisateur de pouvoir consulter ses mails. En effet, il faut savoir que la plupart des fournisseurs de messagerie électronique analysent le contenu de vos courriels et utilisent votre adresse électronique pour créer un profil détaillé vous concernant et exploitent vos données.

La messagerie professionnelle proposée par le CNB garantit une confidentialité et une sécurité supérieure à celle d’autres messageries de type Gmail. En outre, toutes les données sont hébergées en France : celles-ci ne font l’objet d’aucun transfert hors de l’Union européenne et ne sont ni scannées, ni exploitées à des fins commerciales ni transmises à des tiers.

Nous avons établi ci-dessous un tableau récapitulatif de ces trois outils sécurisés du CNB, avec leur différence avec d’autres proposés par des plateformes.

OUTILS DU CNB FONCTION PRINCIPALE NIVEAU DE SÉCURITÉ DIFFÉRENCE MAJEURE AVEC D’AUTRES OUTILS E-Drive Stockage et partage sécurisé de documents Très élevé, respect strict du RGPD, Données non scannées, hébergement en France E-Partage sécurisé Transfert sécurisé de gros fichiers Très élevé, respect du secret professionnel de l’avocat et du RGPD Confidentialité garantie, accusé de réception du transfert, hébergement en France E-Mail Messagerie professionnelle sécurisée Très élevé, respect du secret professionnel de l’avocat et conformité au RGPD garantis Données non commercialisées, hébergement en France

Les solutions précitées sont-elles vraiment accessibles aux petits cabinets ? Oui. Les outils du CNB (e-Drive, e-Partage, e-Mail) sont inclus dans la cotisation annuelle pour la plupart des barreaux, et leur prise en main est simplifiée grâce à des tutoriels et des formations gratuites. Par exemple, la migration d’un compte Gmail vers une messagerie @avocat.fr peut être réalisée en quelques heures, avec un accompagnement technique si nécessaire. Quant au coût, il est dérisoire comparé aux risques financiers et réputationnels encourus en cas de faille de sécurité.

De notre point de vue, cela doit conduire tout avocat à diligenter cinq actions afin de s’assurer que ses pratiques numériques sont conformes aux règles professionnelles qui s’imposent à lui.

Premièrement : faire un audit des messageries et espaces de stockage utilisés par le cabinet (origine, localisation, niveau de sécurité).

Deuxièmement : mettre en place systématiquement des outils recommandés par le Conseil national des barreaux ou des plateformes labellisées « cloud de confiance ».

Troisièmement : utiliser le chiffrement de bout en bout pour tous les échanges et les listes de diffusion externes (partenaires, clients, juridictions), et internes (collaborateurs, stagiaires) afin de faire face aux enjeux de la cybersécurité. Les webinaires réalisés par le CNB à destination des avocats et de leurs cabinets sont, à cet égard, très instructifs[7].

Quatrièmement : mettre à jour la politique interne de protection des données et d’archivage.

Cinquièmement : vérifier la territorialisation effective de l’hébergement des données du cabinet.

Pour faciliter cette transition, le CNB propose des formations et des guides pratiques, comme ceux publiés en octobre 2023[8] et septembre 2024[9], notamment à l’initiative du président de la commission numérique Philippe Baron sur la sécurité numérique du cabinet d’avocat. La Conférence des bâtonniers de France sensibilise également les Ordres et les bâtonniers de Province sur cet enjeu majeur pour la profession d’avocat[10]. De même, des webinaires organisés par le CNB, comme celui du 14 janvier 2025 sur la cybersécurité, permettent aux avocats de se former en moins de deux heures[11]. Investir ce temps, c’est protéger son cabinet et ses clients.

L’obligation de sécurité et de confidentialité numérique relève désormais du socle même de la déontologie de la profession d’avocat, au même titre que le secret professionnel dans sa dimension classique. Le non-respect de ces exigences expose l’avocat à des sanctions disciplinaires, mais aussi civiles et pénales, dès lors que la protection des intérêts du client ou du justiciable est compromise. Cette évolution justifie l’intervention renforcée des Ordres pour accompagner, contrôler et sanctionner, le cas échéant.

L’affaire de Maître [B] doit servir d’avertissement à l’ensemble de la profession : l’utilisation de services numériques non souverains et non sécurisés expose à des risques graves, tant pour l’avocat que pour la confidentialité des dossiers de ses clients. Nous avons pu voir que les solutions Google (Drive, Gmail) impliquent l’acceptation de conditions générales qui autorisent l’analyse automatique des contenus et permettent aux autorités américaines un accès possible aux données, ce qui est incompatible avec le secret professionnel qui s’impose à l’avocat. La responsabilité liée au secret professionnel, à la protection des données et à la souveraineté numérique doit guider le choix des outils technologiques. Seule une approche exigeante et proactive en matière de sécurité numérique permettra aux avocats de garantir la confiance inhérente à leur mission dans le contexte digital actuel.

Chaque avocat se doit de devenir un acteur vigilant et éclairé de la transformation numérique du droit, en veillant scrupuleusement à la sécurité des données confiées par ses clients. Plus qu’une simple évolution technique, il s’agit d’une révolution culturelle : à l’ère du numérique, la souveraineté se joue désormais autant dans les usages et outils numériques quotidiens que dans les prétoires.

Il faut savoir que de nombreux États imposent déjà des obligations strictes de localisation et de sécurisation des données pour certaines professions réglementées. Ainsi, en Allemagne, la loi impose que les données judiciaires soient hébergées exclusivement sur le territoire national, sous peine de sanctions. La France, à travers le Conseil national des barreaux et ses outils, s’inscrit dans cette dynamique de souveraineté numérique. En effet, les outils du CNB offrent sur ce point une maîtrise totale des données (pas d’accès tiers, hébergement souverain, conformité RGPD) et ils protègent des risques de piratage, de perte de données sensibles ou d’atteinte au secret professionnel, qui peuvent survenir avec des outils non spécialisés. À cet effet, il convient de signaler que le 17 juillet 2025, la présidente du Conseil national des barreaux, Julie Couturier, a signé avec la présidente de la CNIL, une nouvelle convention de partenariat visant justement à former et accompagner les avocats, notamment en vue de la sensibilisation des avocats à la mise en conformité au RGPD, incluant la gestion des risques liés à la cybersécurité.

Nous terminerons en empruntant la figure de style de l’anastrophe, chère au maître Jedi Yoda, par un principe à suivre par chaque avocat français : Les outils numériques du CNB, tu adopteras.

[1] CJUE, 16 juillet 2020, (grande chambre) (demande de décision préjudicielle de la High Court (Irlande), Data Protection Commissioner / Facebook Ireland Limited, Maximillian Schrems.

[2] Le National Center for Missing & Exploited Children (NCMEC) est une organisation non lucrative fondée le 13 juin 1984 par le Congrès des Etats-Unis qui a pour objet de s’occuper des affaires d’enfants maltraités ou disparus.

[3] Loi n° 2004-575 du 21 juin 2001 modifiée pour la confiance dans l’économie numérique modifiée.

[4] Règlement (UE) du Parlement européen et du Conseil du 27 avril 2016 entré en application depuis le 25 mai 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

[5] Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.

[6] Certains sites comme Proton mail ou Adwin avec avocatline offrent des messageries sécurisées.

[7] Par exemple, le webinaire Cybersécurité et avocats, CNB, 14 janvier 2025.

[8] Guide pratique « La sécurité numérique du cabinet d’avocat 1. Prendre conscience du risque cyber », CNB, 1ère édition, octobre 2023.

[9] Guide pratique « La sécurité numérique du cabinet d’avocat 2. La gestion du risque cyber », 1ère édition, septembre 2024.

[10] Formation dispensée l’Institut de Formation Continue de la Conférence des bâtonniers de France le vendredi 25 octobre 2024 à Valence sur le thème Cybersécurité des cabinets d’avocats.

[11] Webinaire cité supra Cybersécurité et avocats, CNB, 14 janvier 2025, note 7.