« On n’imaginerait pas qu’un avocat laisse un dossier de plaidoirie ouvert, c’est la même chose pour les dossiers numériques »

INTERVIEW. Détenteurs de données sensibles, bon nombre d’avocats ne possèdent pourtant ni adresse électronique ni drive sécurisés. La bâtonnière des Hauts-de-Seine Marie-Pascale Piot et le président de la commission numérique du 92 Patrick Amouzou ont donc entrepris une série d’actions « coup de poing » pour rappeler que si l’avocat n’est pas la cible principale, il n’en reste pas moins épargné. 

JSS : De quel constat êtes-vous partie pour décider de la création de la commission numérique du barreau ? Pouvez-vous la présenter ?

Marie-Pascale Piot : Cette commission a été créée à la suite d’une demande particulière que j’ai faite en début d’année. Nous avions déjà au sein du barreau différents dispositifs, tel que l’incubateur, qui existe toujours et possède un double rôle : celui d’incuber des projets de confrères sur des legaltech ou des outils numériques et celui de sensibiliser et de former par le biais de matinales. Finalement, la commission est une émanation de ce qui existait avant, mais structurée de façon différente. 

Elle travaille sur deux axes. Le premier, autour de la sécurisation et de la protection du secret professionnel au travers des outils digitaux. L’idée est de s’assurer que nos confères puissent transformer leurs adresses emails non sécurisées, leurs espaces de partage ou de conservation des données de façon sécurisée. C’était un projet que j’avais lancé au départ pour mon bâtonnat et qui a été renforcé par une décision « Google » du début de l’année (Cour d'appel de Paris, 24 janvier 2025 Pôle 5-ch. 11, RG n° 21/10238), laquelle nous a confirmé que le secret professionnel et la continuité de l’activité ne sont pas en l’état compatibles avec les solutions de messagerie professionnel et de cloud grand public.

Il est donc important que, de l’intérieur de la profession, nous définissions les outils et les processus pour le protéger de façon suffisante et appropriée.

Le second axe, c’est de préparer l’avenir de la profession avec la montée en puissance des outils de l’intelligence artificielle. Un axe qui sera en développement constant.

Patrick Amouzou : En effet, la bâtonnière, avant même le démarrage de son mandat, souhaitait imprimer cette dynamique numérique. Au barreau des Hauts-de-Seine, nous faisons ce qu’appliquerait toute entreprise ou collectivité concernée dans sa transformation digitale avec un accent sur la sécurisation du secret professionnel dans notre cas.

JSS : Mi-juin, la commission numérique a publié un guide d’hygiène des 10 cyber-commandements de l’avocat. Pourquoi ces travaux et comment se présente le guide ?

M.-P.P. : Avec ce guide, l’Ordre propose une assistance vraiment concrète avec des outils qui sont ceux à la fois du Conseil national des barreaux et ceux du barreau des Hauts-de-Seine sur la transformation des adresse électroniques. Une dizaine de confères ont accepté d’être beta testeurs de cet accompagnement qui s’est fait en petit comité avec nos équipes dans le cadre de cette transformation. Il s’agit de la première étape, mais nous sentons qu’elle va durer, car nous avons beaucoup de confrères dont les adresses emails ne sont pas sécurisées.

En parallèle, nous avons travaillé sur la dimension de sensibilisation. A travers une action « coup de poing », nous avons réalisé une campagne de phishing. Nous avons envoyé à une partie de nos confrères un email depuis une adresse contenant une erreur dans le mot « bâtonier » pour les faire réagir.

JSS : Combien d’avocats sont tombés dans le piège ?

P. A. : 700 mails ont été envoyés à des confrères du barreau. 466 d’entre eux ont ouvert le mail, soit un taux d’ouverture d’environ 60 %. Mais surtout, presque 200 avocats ont cliqué sur le lien dans le mail – qui, heureusement, amenait directement sur le guide de l’hygiène numérique et sur les trois piliers d’un cabinet sécurisé - et 141 ont été jusqu’au bout du processus. Cela montre bien qu’il y a un grand nombre de confrères qui ne sont pas suffisamment sensibilisés. En revanche, il y en a quand même une trentaine qui ont eu le réflexe d’appeler l’Ordre.

« Les avocats ne sont pas une cible particulière des pirates, en revanche ils détiennent des données sensibles. »

Le but était de marquer les esprits pour faire passer le message, car tout le monde sait qu’il faut une adresse mail sécurisée, mais combien d’avocats sont conscients qu’une adresse Gmail ou autre « grand public » ne répond pas aux obligations déontologiques ? Il y en a très peu.

M.-P. P. : La démarche est un peu particulière au sein de notre barreau car celui-ci a cette particularité d’avoir deux typologies d’exercice des avocats, avec deux tiers du barreau qui est constitué de collaborateurs et associés de grands cabinets (ayant plusieurs centaines d’avocats), lesquels sont déjà très organisés avec des campagnes régulières de protection.

Notre premier axe et notre campagne ne visaient pas particulièrement cette population, mais plutôt les 700 autres, le tiers de confrères qui n’ont pas systématiquement tout le système de protection que peuvent se permettre les grands cabinets. L’idée était de les conduire à réagir tout de suite, soit en nous avertissant, soit en allant au bout du process qui consistait quand même à donner son nom et prénom via un formulaire, donc des données personnelles, avant d’arriver sur le guide d’hygiène numérique et une page qui affichait « vous êtes tombés dans le piège ».

JSS : Les avocats sont-ils une cible facile pour le phishing ? Quelles sont les méthodes utilisées par les criminels et quels sont les risques spécifiques pour les avocats ?

M.-P. P : Les avocats ne sont pas une cible particulière, en revanche ils détiennent des données sensibles. Les avocats d’affaires, par exemple, possèdent des données sur de grandes sociétés, des données fiscales, financières, humaines. De même pour d’autres avocats dans le cadre d’un divorce ou d’une affaire devant le juge aux affaires familiales avec des informations sur des mineurs, ou encore des informations financières, immobilières etc.

P.A. : L’opération de phishing est là pour mettre en lumière et commencer à soigner une maladie silencieuse. Des personnes s’introduisent dans le système, vont récupérer des mots de passe et identifiants pour s’en servir à posteriori, mais il sera déjà trop tard. Un avocat non averti peut être victime de pirates qui vont exfiltrer des données sans qu’il s’en rende compte. Et il ne le découvrira peut-être que des années plus tard.

M.-P.P. : On n’imaginerait pas qu’un confrère laisse un dossier papier client ouvert, c’est la même chose pour les dossiers numériques stockés sur un drive personnel.

En plus des informations confidentielles, les avocats interviennent aussi potentiellement, durant une durée limitée, sur des sommes d’argent non négligeables. La détention peut être courte, mais intéressante pour les hackers.

P. A. : En fait, l’avocat est ordonnateur. Et même si les fonds ne sont pas sur son compte bancaire, c’est lui qui va enclencher la transmission à son client, dans le cas d’une transaction en faveur de celui-ci ou dans le cas de l’exécution d’un jugement favorable à son client. Un tiers peut s’interposer et substituer le RIB original par un autre pour détourner les fonds.

M.-P. P. : On est une cible plus intéressante par cet aspect. D’autant que la fraude au RIB est la plus commune, avec un mail récupéré puis modifié. La Carpa a des obligations et des systèmes qui permettent aussi ce contrôle des flux d’argent qui est obligatoire du fait de la règlementation, avec la lutte anti-blanchiment notamment, mais le risque subsiste.

Si au barreau nous sommes relativement épargnés par les attaques, on ne va pas attendre d’avoir des problèmes pour se mettre en ordre de bataille.  

JSS : Quels conseils donneriez-vous aux avocats pour bien se prémunir face aux risques cyber, mais aussi pour adopter les bons réflexes en matière de protection des données ?

M.-P. P. : Il y a plusieurs axes sur lesquels il faut être attentif, notamment sur les applications et les systèmes qu’on utilise pour conserver les données. Sur la gestion des mots de passe, plutôt que de les mettre dans un fichier word sur l’ordinateur, il vaut mieux privilégier un outil dédié et utiliser des mots de passe robustes.

C’est déjà un premier point de vigilance. Ensuite, il y a tous types d’outils qui existent et que l’on a essayé de lister avec la commission numérique. Nous ne sommes pas là pour imposer – les confrères sont indépendants, ils choisissent –, mais plutôt pour leur expliquer les avantages et inconvénients des outils qu’ils pourraient utiliser dépendamment de ce qu’ils font dans leur quotidien professionnel. Le point faible, ce sont les données, comment elles sont archivées et comment elles sont communiquées.

JSS : Vous avez pour ambition également d’accompagner les avocats en matière d’IA, alors que de nombreux outils sont développés et commencent à être adoptés par la profession, comme GenIA-L, l’outil de recherche juridique basé sur l’IA de Lefebvre-Dalloz. Où en est la progression de la culture IA dans la profession ? Ne se fait-elle pas à deux vitesses ?

M-P. P. : Je dirais même qu’elle se fait à 18 vitesses ! Il y a ceux qui utilisent l’IA sans le savoir avec les outils de recherche par exemple. Nos éditeurs, et donc par extension les avocats, utilisent l’IA. Un avocat sans documentation, ça n’existe pas, quelle que soit sa matière, et dès lors qu’il va prendre un abonnement chez un éditeur, il va user de l’IA, même s’il ne le sait pas.

Après, il y a tout ce qui est lié à la gestion du cabinet. Là encore, il existe un certain nombre de prestataires d’applications sur la gestion des dossiers, des calendriers etc. qui utilisent l’IA de façon plus ou moins visible, et on sait aussi que des confères prennent ce type d’applicatif. La différence ici est qu’il est plus difficile de changer d’applicatif, puisqu’ils se font sur la gestion des dossiers, donc les confrères sont un peu plus bloqués dans un système.

Et puis il y l’IA générative ou agentive type ChatGPT ou des systèmes équivalents que tout le monde peut utiliser.

JSS : Quelles peuvent être les sources d’opportunités et les sources d’inquiétudes apportées par l’IA ?

M.-P. P. : Avec les IA type ChatGPT, on commence à voir des cas de réclamations de clients. Ils écrivent au bâtonnier pour faire part de leurs soupçons sur le fait que Maître « Untel » ait utilisé l’IA dans leur dossier qui présente des références inexistantes. Et à l’inverse, nous avons des confrères qui viennent nous faire part de leur inquiétudes quant à des pièces qu’ils pensent avoir été créées par l’IA et qui ne savent pas comment réagir devant le tribunal, ni s’ils doivent les considérer comme un faux.

Aujourd’hui, nous sommes donc dans cette utilisation de création qui n’est pas maitrisée et maitrisable, et devant laquelle on ne sait pas comment réagir. Une autre étape pour nous dans les mois à venir consistera à former aux prompts, former à l’utilisation de l’IA, avec un point d’attention sur l’utilisation des créations.

Nous travaillons aussi avec les juridictions et notamment la cour d’appel de Versailles sur la transformation que va pouvoir apporter l’IA sur nos écritures et les jugements ou arrêts. La cour d’appel a exprimé son inquiétude à ce sujet, et c’est pour cela que depuis plusieurs années, nous travaillons sur des guides d’écriture, et parallèlement la rédaction des décisions. Car l’utilisation de modèles pourrait conduire à la réalisation de conclusions très longues, ce qui préoccupe les juges. Et de notre côté, nous nous inquiétons de l’utilisation que peuvent faire les magistrats dans leurs décisions.

Mais ensemble on essaie de voir quel outils utiliser, comment on le fait, pourquoi, en quoi ils peuvent nous aider, et ainsi en tirer le meilleur et supprimer ce qui peut être « contre-productif » pour la justice en France.

On ne va pas écarter l’IA, car ne pas l’utiliser serait une aberration pour l’ensemble des professions juridiques. C’est une nécessité, mais il faut savoir l’utiliser intelligemment pour éviter ces écueils, et cela se fait dès le départ, sur la façon dont on fait le prompt, puis la façon dont on avance dans l’utilisation de l’IA. Plus on utilise l’IA, plus le prompt de départ va être précis, mais en tout état de cause le résultat final sera une base de travail, mais pas le travail final ! Seul le contrôle de l’humain sur cette base de travail pourra permettre in fine de l’utiliser.

Le risque que je vois dans l’IA c’est que des générations futures n’auront peut-être pas cet esprit critique pour utiliser les outils tels que ChatGPT.

P. A. : Concernant notre génération, nous avons 25-30 années d’exercice professionnel durant lesquelles on a fait à la main les résultats que produit l’IA aujourd’hui via un algorithme qui construit la réponse au fur et à mesure. C’est tout l’inverse du raisonnement humain qui est analytique et synthétique. L’IA a donc besoin d’experts pour lire les résultats, prendre du recul et analyser. Comme l’a dit la bâtonnière, on est encore là pour faire ce travail, mais nos générations de jeunes qui eux auront été formés avec l’IA, auront-ils le recul nécessaire pour faire ce travail critique et voir quand une jurisprudence donnée est en réalité erronée, illogique ou en réalité hors-sujet ?

Sur des questions théoriques ou doctrinales, j’ai pu attester que l’outil a un raisonnement construit. Toutefois si on n’est pas expert, on ne peut pas déceler la faille dans le raisonnement qui peut séduire de prime abord.

Mais comment former les esprits de demain pour qu’ils soient toujours capables d’avoir du recul, mais aussi plusieurs longueurs d’avance sur l’IA pour valider, relire, corriger les texte produits ? Un peu à la manière d’un pilote de ligne qui va désormais passer le plus clair de son temps à surveiller si l’avion a le bon comportement dans chacune des phases de vol plutôt que de le manœuvrer directement, l’avocat va devoir être attentif à ce que l’IA ne produise pas des contenus erronés. Ça va être le vrai challenge de l’éducation.

« Ne pas utiliser l'IA serait une aberration pour les professions juridiques »

Par ailleurs, nous allons prochainement former par vagues des confrères. Nous avons créé une formation de quelques heures très immersives en plusieurs temps. Le premier sera un temps d’acculturation de l’IA, avec la découverte des outils d’IA généralistes tels Chat GPT, GenIA-l, Jarvis, puis un temps d’utilisation dans le cadre d’un atelier où les avocats, avec des tablettes, feront des prompts pour leur permettre de rentrer dans l’outil.

On ne peut pas prédire quel impact l’IA aura sur la profession, mais ce que je vois aujourd’hui, c’est qu’elle aide à tous les niveaux, aussi bien le stagiaire que le junior, le manager, l’associé, sans pour autant automatiquement entrainer des suppressions ou réorganisations de poste. Mais on sait que ce ces dernières vont arriver quand les outils seront plus matures. La question se posera lorsque l’outil fera des conclusions sans halluciner, sans inventer des cas de jurisprudence.

JSS : Aux Etats-Unis, l'avocat américain Richard Bednar a été sanctionné au début du mois par la Cour d'appel de l'Utah pour avoir écrit un mémoire à l'aide de ChatGPT, qui comprenait justement des jurisprudences inventées. Comment expliquer que le logiciel ait pris une telle liberté ? Quels autres outils requièrent de la vigilance ?

M-P. P : Quand l’IA ne sait pas, elle hallucine, elle reste rarement sans réponse. Ce n’est pas un système de moteur de recherche classique qui va chercher une information à droite ou à gauche et en faire une synthèse. Elle sait synthétiser des documents qui lui sont soumis, mais autrement elle va générer et construire une réponse à partir d’un mot, d’un prompt initial.

Dans le cadre de cours que je donne, j’ai constaté qu’au moins trois personnes avaient répondu aux questions avec ChatGPT, car dans les réponses, il y avait une création de textes de loi, de jurisprudence, avec des vrais numéros de pourvoi, sauf qu’ils ne correspondaient pas au sujet, de même que la date. ChatGPT avait tout simplement créé.

En tout état de cause, je ne suis pas sûre qu’il n’y ait pas d’outils qui ne méritent pas une vigilance, car même lorsqu’on utilise un éditeur aussi compétent et de bonne qualité soit-il, on doit utiliser les outils de la même manière avec un esprit critique. Mais encore une fois, ces outils nous aident, nous orientent.

JSS : Quels sont les prochains travaux que la commission entend engager ou qui le sont déjà ?

Une des prochaines étapes, qui est un travail encore en cours avec la Commission déontologie au sein du barreau, c’est celle d’intégrer les outils numériques dans nos démarches de vérifications lors des visites domiciliaires . Autrement dit, lorsqu’un confrère s’installe, le barreau va visiter les locaux du confrère mais également son environnement numérique.

Très concrètement, on regarde si le confrère à une armoire fermée à clé qui permet de préserver le secret professionnel, de ne pas voir les dossiers de ses clients, et on va faire la même chose avec le numérique. On va leur demander s’ils ont un système suffisamment sécurisé pour que les dossiers clients soient suffisamment préservés des intrusions. C’est quelque chose qui n’existe pas et sur lequel on voudrait vraiment travailler.

Nous menons par ailleurs des travaux d’approche des éditeurs pour savoir dans quelle mesure l’on peut trouver des partenariats avec eux. Une étape à venir aussi sera d’essayer de générer des ambassadeurs sur ces sujets avec la formation évoquée tout à l’heure, afin que des avocats formés puissent déployer et porter cette bonne parole, les bons réflexes.

La sensibilisation sur le fait qu’envoyer les RIB par mail est dangereux, et encore plus sur une adresse Gmail, Yahoo ou autre, est également un axe de travail un peu plus en interne. Il consiste à mettre en place des systèmes de protection des RIB pour la Carpa, proposer une protection financière pour les confrères. Nous avons un taux de sinistralité très bas au regard d’autres barreaux, on et veut que cela continue.

Mais notre but à l’instant T, c’est de mener à bien tous nos sujets actuels sur la protection et la sensibilisation. Il y a encore trop de confrères avec des adresses et des drives non sécurisés.

P. A : Et ce que ne dit pas la bâtonnière, c’est qu’aucun sujet n’est resté dans l’impasse aujourd’hui grâce à elle et à sa volonté d’avoir des réponses.

M-P. P : En effet je ne voulais pas rester sur des « il faut faire ». Non, faisons !

Propos recueillis par Allison Vaslin