La lettre juridique n°399 du 17 juin 2010 : Avocats/Gestion de cabinet

[Focus] RPVA : un audit mais toujours une controverse

Lecture: 8 min

N4236BPL

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Focus] RPVA : un audit mais toujours une controverse. Lire en ligne : https://www.lexbase.fr/article-juridique/3210955-focus-rpva-un-audit-mais-toujours-une-controverse
Copier

par Anne Lebescond, Journaliste juridique

le 07 Octobre 2010

Les 9 et 10 juin 2010, Nathan Hattab, Consultant en système d'information et expert informatique près la cour d'appel de Paris, a présenté son audit sur le Réseau privé virtuel avocat (RPVA) à la Conférence des Bâtonniers et au Conseil national des barreaux (CNB). La mission qui lui a été confiée par Alain Pouchelon, Président de la Conférence, était délicate : d'une part, elle était motivée par les oppositions de Paris et de Marseille à intégrer pleinement le dispositif voulu par le CNB et, d'autre part, l'analyse du réseau impliquait que l'expert se penche sur la question du monopole du service "proposé" par le CNB ou plus précisément de sa justification. Prudent, Nathan Hattab s'est contenté de botter en touche : "La question de la possibilité pour les barreaux de province d'utiliser d'autres solutions que celle du CNB, est à l'origine de cet audit. Nous ne pouvons pas faire de préconisations, dans la mesure où les enjeux dépassent largement la question technique". Pour autant, sa démarche est indéniablement objective et le rapport ne manque pas de souligner certaines carences du RPVA, ni de conclure sous l'angle purement technique : "si les objectifs politiques devaient évoluer, il nous semble que les solutions parisiennes et marseillaises ne montrent pas de carences qui les empêcheraient d'être ouvertes plus largement. La solution marseillaise est plus à voir comme une 'démonstration' de capacité et si elle était étendue, doit être reprise à sa charge par le CNB".

En d'autres termes, les solutions alternatives au RPVA proposées par Paris et Marseille répondent aux différentes exigences, notamment, en termes de sécurité et de confidentialité, posées par l'accord signé entre la Chancellerie et le CNB le 4 mai 2005, renouvelé le 28 septembre 2007 et le 16 juin 2010. Au CNB d'en tirer les conséquences ?

Le rôle moteur du CNB quant au RPVA

Le 4 mai 2005, le CNB et le ministère de la Justice ont convenu de la création d'un réseau permettant de simplifier les procédures, en facilitant la communication des avocats avec les juridictions. C'est au CNB qu'est revenue la tâche de mettre en oeuvre cette infrastructure : il a organisé un point d'accès unique aux greffes des tribunaux de grande instance et des cours d'appel de France et a pris les mesures garantissant la fiabilité de l'identification des avocats parties à la communication électronique, l'intégrité des documents adressés, la sécurité et la confidentialité des échanges, ainsi que l'établissement avec certitude de la date d'envoi et celle de réception des éléments échangés.

Mais, l'institution est visionnaire et souhaite adjoindre à ce service voulu par le ministère de la Justice certaines autres fonctionnalités relatives au télétravail notamment. Ainsi, son assemblée générale des 10 et 11 décembre 2004 a décidé de doter les avocats d'un véritable intranet, de façon à pouvoir répondre collectivement à l'ensemble des besoins (connus ou susceptibles de se révéler) liés à l'exercice de la profession. Cet internet professionnel et sécurisé consisterait à réunir le réseau RPVA et l'extranet cnb.fr sous les mêmes certificats.

Le tandem constitué par le CNB et Navista

Le CNB a choisi de collaborer avec un prestataire technique, la société Navista (déjà présente chez les notaires et les administrations pénitentiaires) dont on "relèv[e] au passage que la sélection n'a pas résulté d'un appel d'offre". Ils ont signé en 2007 un contrat fondé sur le modèle économique suivant :

- la location mensuelle des boîtiers RSA par Navista au CNB ;

- le support et la maintenance des boîtiers déployés chez les avocats ; et

- l'attribution à Navista de la garantie du monopole des accès à e-barreau assortie de la garantie d'une quantité minimum de boîtiers.

Les deux partenaires envisagent le RPVA comme le canal de communication sécurisé des avocats avec leurs confrères et leurs partenaires. Les points clefs du dispositif sont :

- "une liaison sécurisée entre le cabinet d'avocats et les greffes des juridictions ;

- l'utilisation d'une messagerie sécurisée pour les échanges des avocats avec les tiers ;

- la sécurisation du réseau local du cabinet et des travailleurs nomades ;

- l'ouverture de services numériques sécurisés tels que la visio-conférence, la télé-sauvegarde, le filtre de contenu..." (soit un espace de travail dit "collaboratif").

Aujourd'hui, le nombre de boîtiers recensés en avril 2010 est de 2 722 et Navista compte installer 4 000 boîtiers d'ici le 31 décembre 2010. Elle vise un parc de l'ordre de 7 000 boîtiers à terme.

"Dans l'ensemble, Navista apparaît comme un partenaire proactif du CNB ; il est intéressé au succès de son offre auprès des avocats et met en oeuvre un effort global".

Nathan Hattab regrette, cependant, que "l'ensemble de ce bon fonctionnement ne soit pas encadré par un contrat précis entre le CNB et Navista et ne repose que sur l'intérêt commun perçu par les deux parties". Notamment, les conditions de reprise du contrat en cas de défaillance de Navista ne sont pas précisées.

Le coût

Ce service a un coût, qui se répartit en coûts d'installation initiale, de location et de maintenance. En moyenne, il s'élève à 35 euros par mois par avocat et passera à 30 euros dès janvier 2011.

Mais, les 7 euros pour la clé et l'adresse mail restent dus. Et en complément de ces prix, le cabinet doit aussi régler un forfait de prise en charge par Navista de 39 euros, dans l'accompagnement du cabinet ou de son prestataire, pour le paramétrage du RSA au sein du réseau local. La société propose, enfin, une prise en charge de l'installation pour 169 euros, ce qui correspond à ce qu'un prestataire informatique facturerait pour intégrer le RSA dans le réseau local du cabinet.

"Il faut ainsi ajouter de l'ordre de 200 euros par installation du RSA dans les cabinets".

Les réactions "parisiennes" et "marseillaises"

Le barreau de Paris, premier barreau de France avec 40 % des avocats en France qui y sont inscrits et 80 % du chiffre d'affaires total, a lancé le coup d'envoi.

En 2003, il avait mis en place un accès aux serveurs du TGI de Paris, appelé e-greffe et reposant sur l'utilisation d'un certificat sur clé USB intégrant un cryptoprocesseur. Or, les principales fonctionnalités de ce service ont été reprises par le service e-barreau du CNB, qui s'est substitué à l'e-greffe. L'Ordre a, donc, négocié un accord avec le CNB et Navista fin 2009, pour connecter sa plateforme dédiée aux avocats parisiens au serveur e-barreau. Les avocats parisiens peuvent se connecter grâce à leur seul certificat sur clé USB et n'ont pas besoin de s'équiper du boîtier Navista.

Le dispositif proposé par Paris est gratuit (aucune redevance pour accéder à e-barreau, aucun coût d'installation, ni coût de maintenance), mais pour une sécurité et des services plus limités. Le barreau de Paris n'estime, en effet, pas nécessaire que l'ensemble des avocats appartienne à un même réseau privé virtuel.

Le barreau de Marseille, qui représente le 3ème barreau de France avec 5 % des avocats, eu égard au coût du RPVA, a opté pour une solution astucieuse : il a connecté sa plateforme CISCO au RPVA en passant par un boîtier RSA Navista mutualisé. Mais, Navista a décidé, en avril 2010, d'arrêter le fonctionnement de la solution du barreau de Marseille, en bloquant les adresses IP utilisées par Marseille.

"Dimensionnée pour 1 000 avocats dotés de la clé e-barreau, la solution revient à 1,29 euros HT par avocat et par mois".

Sur la "solution Marseillaise", le rapport conclut qu'il s'agit d'une "façon astucieuse de permettre l'accès au RPVA dans des conditions de sécurité acceptables et sans avoir à passer par le déploiement des boitiers RSA dans les cabinets marseillais".

Outre les différences de coûts importantes, d'autres critiques sont formulées à l'encontre du RPVA. Sur le plan de la sécurité, la convention de 2005 n'imposerait que le HTTPS et le certificat, ce que l'on retrouve dans les solutions parisiennes et marseillaises.

Selon le barreau de Marseille, la sécurisation du réseau local apportée par le RSA serait "superflue, sinon redondante avec les dispositifs déjà en place au sein de quelques groupements. Quant à l'ouverture de services sécurisés, le marché propose des solutions sécurisées sur des architectures plus légères que celle de CNB Navista". Cette position est partagée par Paris, qui rappelle que "le marché est très dynamique et propose déjà des télé-services avec un niveau de sécurité suffisant pour les avocats".

Et, de conclure, "la définition d'une offre dédiée aux avocats par le CNB n'aura pour effet que de créer des monopoles, donc de réduire le rapport qualité/prix offert à l'utilisateur ; si ces services peuvent avoir un intérêt parce qu'ils facilitent leur appropriation pour l'avocat, ils ne doivent pas être imposés".

Les conclusions

Du point de vue de la sécurité, l'audit de Nathan Hattab confirme que l'utilisation des clés Navista, si elles sont bien gérées, renforce effectivement la sécurité, puisqu'elle impose au pirate de tromper un système qui est bien indépendant. Toutefois, ce boîtier "peut contribuer à cette sécurité au même titre que toute la gamme des services de sécurité offerts par le marché".

Concernant les échanges électroniques, le CNB estime que "l'obligation des avocats de protéger la confidentialité des dossiers confiés par leurs clients devrait les conduire à disposer de flux chiffrés avec les serveurs de mails et des mails stockés sur des serveurs sécurisés, soit en interne, soit chez un prestataire de confiance" ; conditions que rempli justement le serveur "avocat-conseil.fr", bien que cette adresse courriel ne soit pas imposée.

Paris argue que 80 % des échanges de mails des avocats sont faits avec les clients et les confrères, et ne sont pas couverts par la messagerie "avocat-conseil.fr" et que les solutions gratuites comme Gmail et les Google Apps offrent des niveaux de sécurité suffisants. L'audit révèle, quant à lui, que "la sécurisation des courriers électroniques de la profession par l'adresse (prénom).(nom)@avocat-conseil.fr est confrontée à de nombreux obstacles", dont un majeur : la sécurisation des courriers électroniques nécessite que l'ensemble des correspondants soit pris en charge par le dispositif de communication. Or, le serveur avocat-conseil.fr, auquel l'on peut accéder par le RPVA, ne prend en charge qu'une partie des correspondants.

De façon plus générale, l'audit relève que "les avocats peuvent [en outre] déjà disposer d'une sécurité équivalente à avocat-conseil.fr". Mais ces services "ne sont pas tous hébergés en Europe et peuvent soulever des difficultés relevant de l'intelligence économique et de la protection des données personnelles". Enfin, "les plates-formes collaboratives offrent la possibilité de créer des espaces d'échanges pour des équipes de projet".

Nathan Hattab concède, néanmoins, que le RPVA représente un réel avantage pour les petites structures d'exercice (soit 70 % des déploiements), qui souhaitent disposer d'un accès distant et sécurisé à leur serveur de fichier. L'impact sera moindre pour les moyennes et grosses structures qui doivent, de toutes façons, recourir aux prestataires informatiques.

La valeur ajoutée de l'offre du CNB réside, en fait, dans les télé-services adaptés aux exigences de la profession, que souhaite proposer le CNB, via des partenariats. Il s'agit, notamment, du coffre-fort électronique, de la télé-sauvegarde, du contrôle des accès internet et du contenu et de l'espace collaborative. Pour Paris, ces télé-services ne font pas partie de la convention que la profession a passée avec la Chancellerie. En outre, "l'accès à distance sécurisé est déjà mis en oeuvre par les gros cabinets (80 % du CA de la profession) et se fait très bien avec des solutions simples sur étagère". Nathan Hattab confirme que les infogérants offrent déjà ce type de services.

Mais indéniablement, en comparaison, l'offre du CNB présente l'avantage de la simplification, puisqu'il s'agit d'un "package combinant la plateforme technique, une organisation de support et la caution de la profession". Cette simplification et le haut degré de sécurité des échanges justifient la différence de coût.

Il restera encore à régler un détail : la certification du dispositif, qui n'a jusqu'à présent fait l'objet que d'une déclaration. Le CNB a indiqué en faire sa propriété.

© Reproduction interdite, sauf autorisation écrite préalable

newsid:394236

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note


Utilisation des cookies sur Lexbase

Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.

En savoir plus

Parcours utilisateur

Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.

Réseaux sociaux

Nous intégrons à Lexbase.fr du contenu créé par Lexbase et diffusé via la plateforme de streaming Youtube. Ces intégrations impliquent des cookies de navigation lorsque l’utilisateur souhaite accéder à la vidéo. En les acceptant, les vidéos éditoriales de Lexbase vous seront accessibles.

Données analytiques

Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.