(Demande d’autorisation n° 1646933)
La Commission nationale de l’informatique et des libertés,
Saisie par l’Ordre des avocats de Paris d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel dénommé @voclé ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 25-I-5° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Après avoir entendu Mme Claire DAVAL, commissaire, en son rapport, et Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La Commission a été saisie par l’Ordre des avocats de Paris (ci-après « l’Ordre ») d’une demande d’autorisation relative au traitement @voclé, sur le fondement de l’article 25-I-5° de la loi du 6 janvier 1978 modifiée.
Actuellement, les avocats, authentifiés grâce à leur clé « e-barreau » ou à une identification par mot de passe, ont accès à de multiples services en ligne (e-services) pour l’exercice de leur profession, afin par exemple de communiquer avec les juridictions (e-barreau), d’effectuer les formalités relatives aux cotisations (e-Cotisations), d’acheter du matériel (Praeferentia), etc. Chacun de ces e-services dispose de son annuaire d'avocat afin de s’assurer de l’identité de la personne souhaitant s’y connecter. Cette multiplication des services en ligne à destination des avocats a ainsi conduit à une prolifération des annuaires de la profession d'avocat, dont le contrôle de la mise à jour et de la sécurité sont dans ces conditions difficiles à assurer.
Dans ce contexte, le traitement envisagé vise à proposer un système d’information global à disposition des avocats ou collaborateurs des cabinets d’avocats, à travers une plate-forme web, afin de permettre un accès sécurisé à des services en ligne référencés.
Ainsi, le traitement projeté servira de passerelle commune pour l’accès aux nombreux services en ligne mis à disposition des avocats. Grâce à diverses interconnexions de traitements à finalités distinctes, il permettra une mise à jour coordonnée des données contenues par ces différents services.
Sur les finalités assignées au traitement
Il est donc assigné trois finalités distinctes au traitement projeté.
La première finalité assignée au traitement est l'authentification (SSO) et la gestion de connexion (SLO) unique aux différents services proposés par l’Ordre ou par des partenaires. Actuellement, chaque service en ligne dispose de son propre annuaire de la profession d’avocats et de ses propres mécanismes d’authentification et de connexion. L’annuaire de la profession d’avocat pour un service donné est utilisé comme référence des coordonnées des avocats et également pour la composition et pour l’organisation des structures d’avocats comprenant les administratifs et collaborateurs non-avocats. Cette première finalité consiste dès lors à proposer un système d’authentification unique et sécurisée à l’ensemble de ces services et de permettre la mise à jour coordonnée des informations qu’ils contiennent. Cette unification simplifie ainsi l’utilisation de différents services par l’avocat à travers un accès centralisé et garantit une meilleure fiabilité des sources d’information.
La seconde finalité assignée au traitement est l’accès à différents services indépendants par un identifiant unique à travers l’accès centralisé permis par @voclé (fédération d’identité). Il permet ainsi une connexion et une déconnexion unique aux services en lignes. Le service d’authentification unique communique avec l’ensemble des autres services par un lien de cercle de confiance, garantissant l’intégrité et la confidentialité des communications et des données.
Enfin, les clés d’authentification e-barreau dont disposent les avocats, et qui leur permettent notamment d’accéder à e-barreau, ne permettent actuellement aucune possibilité de délégation, entrainant des problèmes d’organisation. Aussi, le traitement projeté permettra de gérer les délégations aux services en ligne référencés. Les cabinets d’avocats pourront désormais accorder une délégation aux personnes de leur choix pour entreprendre les démarches nécessaires à leur pratique professionnelle. Cette délégation pourra intervenir au profit des secrétaires et des personnels administratifs, des collaborateurs ou de toute personne de leur choix. Ce dispositif permettra ainsi aux personnes habilitées d’intervenir dans des dossiers et d’avoir accès aux e-services sans être limité par le prêt de la clé personnelle.
Chaque avocat aura la possibilité de désigner l’ensemble des délégataires sur les e-services qui leur sont accessibles, à charge pour lui d’interrompre chacune de ses délégations. Par ailleurs, ces délégataires se verront attribuer un moyen d’authentification (certificat logiciel) pour représenter l’avocat dans les différentes démarches pour lesquelles il aura reçu délégation.
A cet égard, il convient de relever que chaque e-services contient un indicateur de niveau d’habilitation autorisée, permettant tout d’abord de savoir si la délégation est autorisée, et le cas échéant, si cette délégation peut s’effectuer vers un personnel administratif. Ainsi, par exemple, des délégations concernant e-barreau pourront être accordées entre avocats mais pas entre avocats et personnels administratifs. E-barreau ne sera par ailleurs pas le seul service dont l’accès ne peut être délégué à des personnels administratifs.
La Commission considère que les finalités ainsi prévues sont déterminées, explicites et légitimes, conformément à l’article 6-2° de la loi du 6 janvier 1978 modifiée.
Sur les données collectées
Les personnes concernées par le traitement sont les avocats (associé, collaborateur, avocat individuel) ainsi que les personnels administratifs. Les données sont collectées de manière directe auprès des personnes concernées, ainsi que par l’intermédiaire de l’annuaire des Ordres d’avocats (nom, prénom, courriel, téléphone portable, situation professionnelle).
Concernant les avocats, les données collectées sont donc relatives aux éléments d’identification (barreau d’appartenance, identifiant au sein de l’ordre des avocats d’origine, identifiant de l’avocat au sein de la CNBF), à leur état (civilité, nom, particule, prénoms), et aux coordonnées et pratiques professionnelles (mobile, courriel, honorariat, mode d’exercice, salarié).
S’agissant plus particulièrement de l’identifiant CNBF (Caisse nationale des barreaux français), la Commission relève que cet identifiant est collecté auprès des annuaires des Ordres des avocats. Il constitue le seul identifiant commun entre tous les Ordres d’avocats et permet ainsi de s’assurer qu’un avocat n’est pas inscrit dans plusieurs barreaux. Il est également utilisé par la plate-forme e-barreau du Conseil National des Barreaux (CNB) et les outils WINCI (tribunaux de grande instances et cours d’appel) du ministère de la justice utilisés par les greffes.
Chaque avocat ayant accès à l’outil e-barreau peut créér de nouveaux profils via l’outil e)Délégation. Les données collectées des personnels administratifs sont similaires à celles des avocats (nom, prénom, courriel, téléphone portable, situation professionnelle). Un tiers administratif est donc obligatoirement certifié par un avocat.
La Commission considère que ces données sont adéquates, pertinentes et non excessives au regard des finalités assignées au traitement @voclé, conformément à l’article 6-3° de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données
La durée prévue de conservation des données est de douze mois. La Commission prend acte qu’il s’agit d’aligner cette durée de conservation sur celle de la plate-forme e-barreau du Conseil National des Barreaux et considère dès lors que cette durée de conservation est proportionnée aux finalités assignées au traitement envisagé, conformément à l’article 6-5° de la loi du 6 janvier 1978 modifiée.
Sur les destinataires des données
Les personnes qui accéderont au traitement seront les avocats ainsi que les personnels administratifs.
Les avocats disposent de leur clé @voclé pour s’authentifier sur la plate-forme de service, notamment aux services fortement sécurisés (e-barreau, e-carpa, T2CCloud) ; pour les non avocats, l’accès à ces services interviendra par l’utilisation d’un certificat logiciel. En outre, pour certains services moins sécurisés, comme par exemple Praeferentia, l’accès au site privé de l’ordre des avocats ou l’accès au site privé de l’EFB, il est envisagé de conserver l’authentification par login et mot de passe.
La Commission relève que les mesures de sécurité engagées dans les différents services sont proportionnelles aux types de données accédées. Ainsi, les services courants sont accédés par identifiant et mot de passe répondant aux exigences de la Commission. Les services de fédération d’identité, de délégation d’identité et les services nécessitant un haut niveau de sécurité sont accessibles par certificat sur clé USB pour les avocats ou directement sur le poste de l’usager.
Les autres destinataires seront l’ensemble des fournisseurs de services, c’est-à-dire ceux qui fournissent des services en ligne à destination de tout ou partie de la population gérée par @voclé. Il s’agit par exemple de l’Ordre des avocats de Paris, de Vazziva, qui met à la dispositions des avocats le e-service Praeferantia, du Conseil National des Barreaux (CNB), de l’Ecole de Formation professionnelle des Barreaux de la Cour d'Appel de Paris (EFB), du Conseil d’Etat.
Sur les droits des personnes
Le droit d’information prévu à l’article 32 de la loi du 6 janvier 1978 modifiée sera assuré, notamment via des mentions sur le site, des affichages et les formations e-barreau.
Les droits d’accès et de rectification s’exerceront, en application des dispositions des articles 39 et 40 de la loi du 6 janvier 1978 modifiée, directement auprès de l’Ordre.
Sur l’architecture, les mesures de sécurité et de traçabilité
Les traitements proposés ont fait l’objet d’une étude d’analyse des risques de sécurité respectant la méthode EBIOS 2010 par un organisme indépendant reconnu.
L’architecture mise en œuvre offre plusieurs types de services :

• Des services fortement sécurisés accessibles pour les avocats par les clés @voclés et pour les autres personnes habilitées par l’utilisation d’un certificat logiciel (fourni par la société Certeurope, offre CertiPKI);
• D’autres services dont l’accès s’effectue grâce à une authentification classique par login et mot de passe.

L’authentification des utilisateurs et des administrateurs respecte les recommandations de la Commission en la matière. La Commission rappelle que les permissions d’accès doivent être supprimées pour tout utilisateur n’étant plus habilité.
S’agissant de la traçabilité, une journalisation détaillée est prévue pour toutes les actions effectuées au sein d’@voclé. Les données de connexion (identifiants et horodatage, pages consultées) sont collectées de manière directe et par un proxy de connexion. Ces traces sont conservées pour une durée qui varie en fonction des services proposés et des obligations juridiques associées. Ces données ne sont pas transmises et sont conservées à usage interne, en vue de vérifications en cas de litige.
Une méthode de chiffrement des données est mise en place. La maintenance est effectuée par le prestataire n’ayant pas accès à la clé de déchiffrement des données. L’accès aux fichiers nécessite une authentification forte de l’opérateur de l’Ordre des Avocats.
Dans ces conditions, la Commission autorise l’Ordre des avocats de Paris à mettre en œuvre le traitement de données à caractère personnel dénommé @voclé.
La Présidente
Isabelle FALQUE-PIERROTIN