Sécurité informatique : la legaltech française devrait être en position de force

"Quel est le niveau de sécurité de ma solution ? C’est une bonne question. Je me renseigne auprès de nos développeurs et vous recontacte." Peu de chance qu’une telle réponse suffise pour convaincre. C’est pourtant celle qui a été faite à Thierry Vidal lors d’une démonstration. "C’était il y a cinq ans, précise le directeur juridique de Naval Group, espérons que les choses aient changé." Cela vaudrait mieux, la sécurité informatique étant la préoccupation numéro un des utilisateurs de logiciels et autres potentiels acheteurs. 

Néanmoins, le contraste est saisissant entre un tel besoin et le niveau de protection des données offert par les solutions liant technologie et droit. La legaltech française, aussi dense qu’elle puisse être (voir la legaltechreview), est encore très jeune, donc majoritairement dépourvue de moyens suffisants pour garantir un haut niveau de sécurité informatique. Nombreuses sont les start-up du droit qui se sont lancées avec une bonne idée, un développeur freelance, un professionnel du droit et les fonds propres de ce dernier. Mais ce contexte, insuffisant, ne permet pas d’assurer aux futurs utilisateurs que le serveur est inviolable, le cloud impénétrable, le cryptage des données garanti, leur localisation située en Europe ou, mieux encore, en France et, qu’en cas de faille, toute une procédure de gestion de crise a été prévue. 

Les éditeurs américains éliminés d’office 

C’est pourtant ce qui cimente la relation entre celui qui produit une solution informatique et son client. C’est même le premier critère de sélection des produits disponibles sur le marché, les juristes étant attentifs à la sécurisation des données – souvent sensibles – de leur entreprise et au respect des réglementations au premier chef desquelles figure le RGPD pour les données personnelles. Dès lors, plusieurs cas de figure se présentent. 

Dans le premier cas de figure, le futur utilisateur dispose d’une direction des systèmes informatiques qui accepte de s’assurer elle-même, en amont de toute implantation, que le produit sélectionné correspond aux besoins de la direction juridique et respecte bien les standards imposés par l’entreprise. C’est ce qu’a fait Hachette avant que Gino ne déploie sa solution de gestion du cycle de vie des contrats il y a quelques mois, confie Denis Mignan, le directeur juridique de la division Illustrés. Et Philip Morris : "Nous avions prévu d’implanter une solution d’automatisation des process juridiques sauf que, après plusieurs allers-retours avec notre DSI, le prestataire avec lequel nous devions travailler nous a confié que notre niveau d’exigence était trop élevé et qu’il n’arriverait pas à s’y conformer", se souvient la legal counsel Aude Vandenbroucque qui s’est impliquée dans l’intégration de plusieurs solutions numériques au sein de la direction juridique de l’industriel.  

Ce cas de figure est fréquent dans la mesure où l’entreprise ou le cabinet d’avocats doit confier une partie de ses données à une société externe afin de numériser la gestion de ses contrats, d’assurer le suivi de ses contentieux, de procéder à la signature de ses documents, à la gestion de ses factures, de ses archives… "Le cloud est un frein pour nous parce qu’une partie de nos données sont classées secret défense", explique une directrice juridique du secteur des énergies. Un état de fait qui peut aussi être favorable à la legaltech française :  "La sécurisation de nos systèmes informatiques reste une priorité. De ce point de vue les solutions françaises, ou au moins européennes, sont privilégiées. La notion de cloud souverain pourrait néanmoins faire évoluer ce point de vue.", révèle Thierry Vidal chez Naval Group. Il faut s'en réjouir. 

Dans les plus petites structures (cabinets d’avocats ou directions juridiques, ou lorsque la DSI n’est pas impliquée dans l’intégration d’une nouvelle solution), et c’est le deuxième cas de figure, c’est la méfiance qui domine. Surtout chez les avocats pour lesquels aucun risque de fuite ne peut être envisagé, quitte à continuer à travailler à l’ancienne.  

Privilégier les outils français 

Du côté des acteurs de la legaltech, les stratégies diffèrent. Pour certains, il faut recourir aux mêmes entreprises de services informatiques que les clients, OVH par exemple. Pour d’autres, l’essentiel est de sélectionner les meilleurs, quelle que soit la localisation de leurs serveurs : selon Mathieu Davy d’Avotech, "il n’est pas question de faire confiance à un acteur français sous prétexte qu’il est français." Pour d’autres encore, il faut préférentiellement privilégier les outils européens (et français si c’est possible) : "Pour nous, stocker les données en Europe est une évidence. Nos serveurs sont en France." confirme par exemple Marie Potel-Saville chez Amurabi.  

En somme, le monde de la legatech est très divers : "Les offres sont tellement nombreuses que chaque client va y trouver son compte", résume Denis Musson, l’ancien directeur juridique d’Imerys. Mais il ne doit pas être déraisonnable : "Certaines DSI de grands groupes établissent des standards renforcés qui ne sont pas nécessairement applicables à nos solutions ", explique Philippe Laurence qui travaille avec de nombreux legaltechers à travers le groupe legaltech de France Digital dont il est un des représentants. Avant de considérer que "la legaltech est la tech la plus avancée dans la mise en conformité au RGPD. Si les clients se limitent à imposer une localisation des données en Europe, chez des hébergeurs européens, ils se tirent une balle dans le pied." Autrement dit, les juristes sont peut-être trop peu technophiles pour juger des garanties offertes par les prestataires de leurs prestataires. Quoi qu’il en soit, les desiderata des clients ne doivent pas freiner l’agilité et l’innovation des start-up, et le niveau de sécurisation des données grandira à mesure que les géants européens du logiciel intégreront de nouvelles solutions dans leurs produits.  

Pascale D'Amore