Par nathalie.kerdrebez le 08/05/11

Lors de l'assemblée générale des 11 et 12 février 2011, il a été présenté un rapport intitulé « Point d'information sur le déploiement du RPVA ».

Il a été notamment exposé l'exigence déontologique de mettre en place une politique globale de sécurité informatique des cabinets.

Pour ne pas trahir la pensée du rapporteur, je le cite :

« En suivant les recommandations du rapport HATTAB, la commission Intranet et Nouvelles technologies s'est employée à l'élaboration d'un référentiel de sécurité avec le concours, après appel d'offres, d'un cabinet spécialisé.

En relation avec la commission Règles et Usages, il sera ensuite proposé à l'assemblée générale d'introduire dans le règlement intérieur national de véritables normes de sécurité.

Il appartient bien à l'avocat de veiller à mettre en oeuvre les moyens raisonnables pour faire respecter la confidentialité des échanges et le secret absolu des confidences qu'il reçoit dans l'exercice de sa profession. »

Le rapport HATTAB nous a révélé que la société NAVISTA ne justifie d'aucune sécurité de son système et qu'elle ne bénéfice d'aucune certification de l'ANSSI, Agence Nationale de la Sécurité des Systèmes d'Information.

Selon les recommandations du rapport HATTAB, la certification de l'ANSSI est un impératif incontournable pour être prestataire informatique de la profession d'avocats.

Le rapport HATTAB nous a révélé également que le secret professionnel n'est pas garanti en raison de la possibilité pour un membre du personnel de la société NAVISTA de s'introduire dans le réseau informatique d'un cabinet d'avocats par l'intermédiaire du boîtier NAVISTA.

A ce jour, la société NAVISTA n'a toujours pas reçu une certification de l'ANSSI et les risques d'intrusion via le boîtier ne disparaîtront pas tant qu'un boîtier n'appartenant pas à la profession sera connecté sur le réseau d'un cabinet.

A l'exception des confrères parisiens qui ne se sont pas vus imposer le boîtier NAVISTA, un confrère abonné au RPVA est contraint à prendre des risques de violer le secret professionnel et la confidentialité, en raison du choix opéré par le CNB à persister à imposer un système qui ne présente aucune garantie pour le respect de notre déontologie.

Pour pallier la carence de son prestataire informatique, le CNB envisage non pas une rupture du contrat (pour erreur substantielle sur le cocontractant par exemple...), mais d'élaborer un bataillon de normes de sécurité informatique (qui n'empêcheront jamais une intrusion avec une connexion permanente d'un boîtier sur un réseau) afin qu'elles deviennent des obligations déontologiques auxquelles seul un avocat est tenu.

Voilà comment le CNB envisage les nouvelles technologies au service de l'avocat !

Mais les nouvelles technologies ne doivent-elles pas nous rendre la vie plus facile, nous faire gagner du temps, nous permettre d'être plus efficaces...

Comprenne qui pourra !

Par nathalie.kerdrebez le 03/05/11

MOTION COMMUNE AUX BARREAUX

DE SEINE-SAINT-DENIS ET DU VAL D'OISE

LUNDI 21 MARS 2011

Les barreaux de la Seine-Saint-Denis et du Val d'Oise, réunis en conseil de l'ordre commun en date du lundi 21 mars 2011, ont décidé de voter la motion dont les termes suivent :

- Tenant compte de la nécessité pour tout avocat de s'abonner au Réseau Privé Virtuel des Avocats (RPVA) mis en place par le Conseil national des barreaux, via la plateforme e-barreau, pour se connecter au Réseau Privé Virtuel de la Justice (RPVJ) qui assure la liaison électronique avec les juridictions.

- Constatant l'obligation imposée à chaque avocat, par le Conseil national des barreaux de s'équiper d'une clé cryptographique lui permettant de s'identifier et pour chaque cabinet d'un boîtier dénommé "RSA" - Routeur Sécurisé Avocat - développé par la société commerciale Navista, pour se connecter à la plateforme e-barreau pour un coût mensuel au ler janvier 2011 de 26 euros,

- Constatant la dérogation dont bénéficient les avocats du barreau de Paris, qui leur permet de se connecter avec la seule clé, sans nécessité du boîtier RSA, et SANS coût direct pour le cabinet,

- Constatant l'expérience menée par le barreau de Marseille ayant conduit à l'expertise de l'Union nationale des Carpas puis de Monsieur Nathan HATTAB, expert près les cours d'appel de Paris et de Versailles,

- Vu le rapport de Monsieur Nathan HATTAB, mettant en exergue les carences du système imposé par le Conseil national des barreaux et notamment l'absence de certification de la société Navista par l'Agence Nationale de Sécurité des Systèmes d'Information,

- Constatant l'absence de suites données par le Conseil national des barreaux aux interrogations légitimes d'une partie de la profession sur la nécessité d'un système unique pour l'ensemble des avocats.

- Vu les inquiétudes légitimes des avocats face au risque de violation du secret professionnel et de la confidentialité des données.

- Vu l'absence récurrente de réponse du Conseil national des barreaux au sujet des contrats qui le lient avec Navista,

- Vu les difficultés auxquelles se heurtent quotidiennement les confrères équipés du boîtier RSA pour se connecter et l'insuffisance de l'assistance technique du Conseil national des barreaux, qui renvoie régulièrement les confrères vers leur propre informaticien, vers les services informatiques des juridictions, voire des services de la chancellerie,

- Vu la différence de traitement injustifiée entre les avocats inscrits au barreau de Paris et les autres.

DEMANDENT :

- Au Conseil national des barreaux - organe représentatif de la profession - de mettre en place dans les meilleurs délais, un système unique pour l'ensemble des avocats, géré par l'Union nationale des carpas,

A défaut les ordres soussignés se verront contraints de cesser la collecte des cotisations du Conseil national des barreaux.

Par nathalie.kerdrebez le 09/04/11

Le 13 décembre 2010, la société NAVISTA se plaignit auprès du Conseil National de l'article PETITION CONTRE NAVISTA en ces termes :

« Cet article s'accompagne en outre, d'une image susceptible de jeter le trouble dans l'esprit de l'internaute normal se trouvant diriger vers ce blog. »

Le 16 décembre 2010, un courriel signé par « l'équipe de la blogosphère www.avocats.fr » informa notre confrère audacieux de la disparition de son article et du logo.

J'ai l'impression que depuis l'apparition de la société NAVISTA dans la vie du Barreau, nous avons plongé dans la 4ème dimension.

Le logo dont je vous parle est magique à mes yeux, il suffit de cliquer dessus pour découvrir une lettre pétition de confrères du Val d'Oise expliquant les raisons pour lesquelles il est dans l'intérêt du Barreau de dire « Adieu NAVISTA ».

Que cela déplaise à la société NAVISTA, c'est une évidence vu le marché vertigineusement faramineux à conquérir.

Je remarque cependant une incohérence dans la défense de ses intérêts, la société NAVISTA n'a pas demandé au site www.petitionenligne.fr de supprimer la lettre pétition.

Est-ce un oubli par omission ou par prudence ?

Que le Conseil National donne l'ordre de supprimer article et logo, c'est une surprise qui me fait tomber à la renverse.

Que celui qui prend la décision de la censure signe « l'équipe de la blogosphère www.avocats.fr », c'est l'arbitraire qui envahit doucement, sûrement, nos actes et nos pensées.

Je n'ai plus envie de sourire, même en relisant les petits mots dénués de sens, « l'internaute normal ».

Je n'ai qu'une envie, hurler « Qui est le Conseil National ? Qui représente-t-il ? Qui défend-il ? »

Mais les petits mots curieux se noient dans le silence et la censure continue à chasser les pensées rebelles, avec la complicité d'un moteur de recherche qui frappe d'invisibilité les articles dont le titre nomme quatre lettres majuscules.

Je ferme les yeux, espérant que tout ceci ne soit qu'un horrible rêve.

J'ouvre les yeux, perdu !

C'est la vie du Barreau qui nous est offerte par le Conseil National.

Sommes-nous obligés d'accepter le cadeau empoisonné ?

Par nathalie.kerdrebez le 08/04/11

Il est venu le temps de confronter la pensée censurée de notre confrère à celle de Messieurs HATTAB et AYMAR qui ont cosigné le rapport d'audit du 9 juin 2010.

Trois questions sont posées à nos experts :

NAVISTA trop cher ?

Depuis avril 2010, un nouvel accord a permis de réduire le montant payé par CNB.COM à NAVISTA. La redevance mensuelle du boitier RSA est ainsi passée de 45 à 35 euros HT et passera à 30 euros HT à partir de janvier 2011.

La différence entre le montant payé à NAVISTA et celui payé par le cabinet d'avocats est pris en charge par le CNB. Page 28 du rapport

Le déploiement du RPVA soulève de nombreuses questions...

Face à ses questions, nos deux experts n'ont pas trouvé de réflexion globale, ni d'analyse détaillée du plan organisationnel, mais une réponse construite autour de l'adoption de moyens techniques.

Ce manque est d'autant plus frappant que le projet engage la profession jusqu'en 2014 dans un financement évalué à près de 10,7 M euros HT. Page 41 du rapport

Dans ces conditions de double emploi, de valeur ajoutée sécuritaire conditionnée à des mises à niveau des cabinets hors du périmètre du projet RPVA et d'absence de maîtrise contractuelle, la justification économique du réseau virtuel à base de boitiers RSA dans tous les cabinets semble problématique à Messieurs HATTAB et AYMAR. Page 46 du rapport

Insuffisance de NAVISTA ?

Le protocole NTS de NAVISTA a fait l'objet d'une déclaration mais n'a pas encore été soumis à la certification. Tant que cette certification par l'ANSSI n'a pas été obtenue, son intégrité doit être abordée avec précaution. Page 15 du rapport

Le dispositif Firewall-VPN mis en oeuvre par NAVISTA est limité s'il n'est pas complété par l'intervention d'un prestataire informatique.

Le firewall NAVISTA n'a pas encore reçu de certification émanant d'une autorité indépendante. Page 21 du rapport

NAVISTA a certes la capacité de s'introduire dans les cabinets d'avocats mais elle peut être encadrée si le cabinet adapte ses dispositions pour la sécurité (isolation du boitier NAVISTA, restriction des droits des utilisateurs anonymes sur le réseau et les dossiers partagés, etc.). Page 26 du rapport

A ce jour NAVISTA n'a présenté aucun élément de certification, tant sur le protocole que sur l'intégration des composants informatiques ou l'organisation de gestion des boitiers qu'elle met en place. Page 48 du rapport

Opacité de NAVISTA ?

Dans l'ensemble NAVISTA apparaît comme un partenaire proactif du CNB. Il est intéressé au succès de son offre auprès des avocats et met en oeuvre un effort global.

En revanche il est préoccupant que l'ensemble de ce bon fonctionnement ne soit encadré par un contrat précis entre le CNB et NAVISTA et ne repose que sur l'intérêt commun perçu par les deux parties.

Nos experts relèvent au passage que la sélection de NAVISTA n'a pas résulté d'un appel d'offre. Page 40 du rapport

En fait, il suffit de lire un petit rapport de 66 pages pour prendre conscience qu'un matin de décembre la blogosphère avocats.fr a supprimé, à la demande d'un prestataire de service, un article rédigé par un confrère qui avait osé partager son analyse pertinente et juste sur un système trop cher, insuffisant et opaque.

Mais qui est la blogosphère avocats.fr ?

Par nathalie.kerdrebez le 05/04/11

Mon désarroi parti, je me plonge dans la plainte et découvre les mots qui blessent nos victimes.

Je les lis avec attention:

« NAVISTA trop grand, trop cher, insuffisant et opaque

Telle est la conclusion que l'on doit tirer du rapport HATTAB qui a enfin été publié vendredi 11 juin 2010 et diffusé à tous les avocats via le site du CNB.

C'est ici que le CNB reprend la critique principale du rapport HATTAB à l'égard du protocole NAVISTA (il est insuffisant) sans tirer les conséquences et instille une dose d'hystérie sécuritaire qui correspond bien à l'air du temps

Une offre chère :

C'est parce que le CNB veut nous imposer le RPVA la « Rolls » de la sécurité (alors que notamment les gros cabinets d'avocats en ont déjà et que les parisiens n'en veulent pas) que l' « offre » du CNB est si chère. Cette « offre » est disproportionnée à nos besoins en termes de sécurité (nous le verrons en détail plus bas) et cette disproportion rend le « RPVA » version CNB beaucoup trop onéreux. A cela s'ajoute le fait que le coût qui devrait être reparti entre tous les avocats de France, n'est supporté que par la moitié d'entre eux.

Une offre disproportionnée qui provoque des insuffisances en terme de sécurité

Une offre de services opaque ».

Aussitôt une question vigilante surgit : ces allégations sont-elles erronées, mensongères ou véridiques?

La réponse est prématurée.

Il faut confronter la pensée de notre confrère à celle de Monsieur HATTAB, afin de vérifier si son analyse du rapport ne trahit pas les conclusions de l'expert.

Par nathalie.kerdrebez le 03/04/11

Je poursuis les préliminaires en m'intéressant en premier à la plaignante.

Comme tous mes confrères je suis attachée aux droits de la défense et aux droits des victimes.

Dans notre affaire, nous sommes en présence de deux victimes, une personne morale et son dirigeant qui nous avertissent avoir été dénigrés voire insultés.

Il faut donc rechercher les allégations dénigrantes ou insultantes dans les articles censurés.

Donc, j'examine avec beaucoup d'attention la pièce à conviction n° 1 :

NAVISTA trop grand, trop cher, insuffisant et opaque

* Par tercero le 13/06/10

"Telle est la conclusion que l'on doit tirer du rapport HATTAB qui a enfin été publié vendredi 11 juin 2010 et diffusé à tous les avocats via le site du CNB.

Rappelons tout d'abord ce que veut dire "RPVA" : Réseau Privé Virtuel des Avocats. Il s'agit d'un "système" qui permet l'échange de données sécurisées. Actuellement, trois "protocoles" permettent de réaliser ce "système" : le protocole NAVISTA du CNB, qui passe par un VPN (virtual private network), le protocole HTTPSdu Barreau de Paris, et, si j'ai bien compris, le protocole HTTPS + VPN du Barreau de Marseille.

La note de synthèse publiée par le CNB entretient la confusion entre le RPVA et NAVISTA, ce qui revient à assimiler le transport aérien avec Air France (alors que nous pouvons choisir Easyjet, Iberia, ou nous louer un jet privé), ou bien encore les échanges de courriels avec Hotmail (alors que nous pouvons choisir Outlook, Thunderbird, Gmail, Yahoo etc...). Cette démarche est malhonnête et doit être critiquée.

Reprenons le plan de la note de synthèse du CNB, qui a le mérite d'aborder les thèmes qui nous intéressent en termes de sécurité des échanges électroniques en notre qualité d'avocats.

- Nécessité de mise en place d'un protocole de sécurité pour les échanges entre les avocats et les acteurs de la justice : ok, rien à redire.

- L'accord avec la Chancellerie : "Le 4 mai 2005, le Ministère de la Justice a signé avec le Conseil national des barreaux une convention lui donnant mission de mettre sur pied un réseau informatique visant à « l'échange (...) des données utiles à la gestion des procédures civiles et pénales » . Cette convention a été renouvelée en 2007. A ce jour, le Conseil national demeure seul investi par la Chancellerie du déploiement national de cet outil." Il est logique que ce soit le CNB qui soit investi de cette mission, puis qu'il est censé représenter la profession au niveau national. Par contre, l'affirmation selon laquelle "le CNB est le seul organisme investi par la Chancellerie pour le déploiement national de cet outil" doit être précisée. En effet, le Barreau de Paris, avec l'accord du CNB, a déployé son propre protocole pour accèder au système du RPVA qui est fondé sur une architecture exclusivement HTTPS.

- Offres concurrentes : c'est là où l'amalgame entre RPVA et NAVISTA démarre. La note de synthèse du CNB indique : "En dehors du RPVA, aucune offre nationale n'est à ce jour disponible." Rappelons que le RPVA n'est pas une offre, mais un réseau sécurisé d'échange de données électroniques. Effectivement, un seul RPVA existe légalement en France et c'est tout à fait normal. Par contre il existe trois types de protocoles qui permettent actuellement d'avoir accès au RPVA : le protocole NAVISTA, le protocole parisien, et le protocole marseillais.

- Sécurité informatique et profession d'avocat : La note de synthèse rappelle que le niveau de sécurité des échanges électroniques de l'avocat doit être supérieur à celui de l'utilisateur d'internet lambda. Le CNB indique : "Toutefois, ce niveau de sécurité n'est pas suffisant. [...] Le caractère sensible de ses activités fait de lui une cible privilégiée pour des intrusions délibérées et ciblées dans son système, plus élaborées que la malveillance numérique commune."

Ici encore, il est nécessaire de préciser de quelle sécurité on parle. Il y a d'abord la sécurité des échanges entre avocats et entre les avocats et la Justice. C'est-à-dire, l'authentification électronique de la transmission des données entre les avocats et les acteurs de la Justice. C'est l'objet unique du RPVA. Ensuite, il y a la sécurité informatique du stockage des données des avocats et la protection contre le piratage. C'est ici que le CNB reprend la critique principale du rapport HATTAB à l'égard du protocole NAVISTA (il est insuffisant) sans en tirer les conséquences et instille une dose d'hystérie sécuritaire qui correspond bien à l'air du temps, mais qui ne résulte nullement du rapport HATTAB et qui ne repose sur aucune donnée vérifiable. En effet, les attaques électroniques dont un avocat peut être la cible, ne sont pas plus élaborées que la malveillance numérique commune. Nous ne sommes pas le Pentagone tout de même !

Le CNB affirme péremptoirement : "L'audit des trois systèmes rend manifeste que l'offre du Conseil national des barreaux constitue la solution répondant le mieux aux exigences de sécurité". C'est faux ! Voici ce qu'indique le rapport HATTAB (page 41 "Analyse de la situation générale" :

Sur le RPVA :

"Nous retenons que l'engagement de la profession vis-à-vis de la chancellerie est d'organiser une communication et une authentification sécurisée avec les services du greffe.

Ce contrat minimum est assuré par l'utilisation de certificats sur crytoprocesseurs, qui garantissent l'authentification sur les services du greffe et sécurisent la mise en place du canal sécurisé avec la plateforme relais qu'est e-Barreau.

Ce dispositif fait consensus et les trois solutions, dans les grandes lignes satisfaisantes,en assurent la prise en charge".

Sur la sécurité du stockage des données des avocats et de leur transfert :

C'est sur ce point que le CNB est sensé proposer une "offre" plus sécuritaire que les systèmes concurrents. Toutefois, je remarque que les dits "concurrents" n' "offrent" rien car cet aspect (la sécurité du stockage et la protection contre le piratage des transferts) est totalement hors RPVA. Ce n'est absolument pas requis par les accords avec la Chancellerie et n'est donc pas nécessaire pour la communication avec les greffes.

Une offre chère :

C'est parce que le CNB veut nous imposer avec le RPVA la "Rolls" de la sécurité (alors que notamment les gros cabinets d'avocats en ont déjà et que les Parisiens n'en veulent pas) que l'"offre" du CNB est si chère. Cette "offre" est disproportionnée à nos besoins en termes de sécurité (nous le verrons en détail plus bas) et cette disproportion rend le "RPVA" version CNB beaucoup trop onéreux. A cela s'ajoute le fait que le coût qui devrait être reparti entre tous les avocats de France, n'est supporté que par la moitié d'entre eux.

Le rapport HATTAB établi ainsi que suit le coût mensuel des différentes "offres" par avocat (pages 27 et suivantes) :

- CNB Navista : entre 14 euros et 8 euros

Ce calcul se fait sur la base de 2700 cabinets équipés en 2010 et la projection de 7000 cabinets équipés en 2014. Dans le calcul économique du CNB, seuls 22000 avocats sur 48000 sont pris en compte. C'est à dire que pour le CNB, le Barreau de Paris conservera son système.

- HTTPS Paris : 0,38 euros pour 20.000 avocats

- Cisco Marseille : 1,29 euros pour 1.000 avocats

Les chiffres parlent d'eux-mêmes...

Une offre disproportionnée qui provoque des insuffisances en terme de sécurité

Le rapport HATTAB analyse ainsi que suit l'impact sécuritaire du système NAVISTA (page 42) et conclut à son insuffisance, ce que la note de synthèse du CNB essaye de camoufler en tronquant la conclusion de l'audit :

Ce dispositif HTTPS plus Certificat d'authentification [solution parisienne] n'est pas inviolable. Des attaques sont possibles, elles nécessitent des moyens importants (plusieurs jours d'expert). Elles laissent aussi des traces sur les serveurs si les moyens de surveillance adéquats ont été mise en place et son exploités. Ces traces permettent de valider ou d'invalider une éventuelle contestation de l'authentification.

[Je remarque que l'expert indique qu'il faut "plusieurs jours d'expert" pour pouvoir pirater une connexion sécurisée par le système adopté à Paris et que ce piratage laisse des traces que l'on peut remonter. Comme je le disais, nous ne sommes pas le Pentagone et, mis à part les gros cabinets d'avocats avec des dossiers qui peuvent intéresser l'espionnage industriel, je ne vois pas un pirate passer ses journées à essayer de nous extorquer des informations].

L'amélioration mise en place par le CNB consiste à encapsuler le canal HTTPS au sein d'un tunnel VPN. Si le VPN est bien constitué, cette amélioration rend la communication quasiment "inviolable". Elle introduit aussi une séparation des clés : la clé RSA du VPN sert à sécuriser le transport, la clé du certificat sert à sécuriser l'authentification.

Cette amélioration, si elle est en première approche bienvenu, conduit un attaquant, expert, à reporter ses efforts sur des cibles plus faciles que sont le "réseau" du cabinet ou le serveur.

Ainsi vouloir améliorer la sécurité du dispositif Https+Certificat, c'est s'engager dans une course à la sécurité qui va engager tout l'écosystème dans lequel s'inscrit cette liaison.[...]

Sans une coordination globale des différents éléments du dispositif, il nous semble que le dépliement des boitiers RSA ne suffira pas à améliorer la sécurité générale de l'accès et de l'authentification"

Une offre de services opaque

Le CNB poursuit une synthèse tronquée de l'audit de Monsieur HATTAB en affirmant : "Cet audit, resituant le débat technique dans une perspective économique, souligne enfin que l'exigence du RPVA en matière de sécurité répond aux grands enjeux de compétitivité auxquels la profession doit faire face : « La bonne utilisation des outils documentaires peut permettre de gagner en sécurité et en productivité. Elle permettrait à la profession d'avocats de rester compétitive par rapport aux évolutions du paysage juridique français et européen. Des solutions techniques sont envisagées par le Conseil national pour couvrir certaines des préoccupations de la sécurité des données [...]. » (p. 44)"

Toutefois, le CNB se garde de révéler la conclusion :

"Nous ne doutons pas de l'intérêt potentiel de ces services.

Nous n'avons cependant pas eu de description précise de ces télé-services, de leur coût, de leur calendrier, de leur positionnement par rapport aux offres du marché existantes aujourd'hui et à court terme, et de la liberté de choix des cabinets vis-à-vis de ces téléservices. Il nous est donc difficile de nous positionner sur leur intérêt ou leur adéquation au besoin de la profession."

Le CNB affirme enfin que le rapport d'audit indiquerait que NAVISTA serait la solution adéquate pour les petits cabinets : « Dans ce contexte, le boitier NAVISTA présente un intérêt pour les petits cabinets d'avocats qui souhaitent disposer d'un accès distant et sécurisé à leur serveur de fichier. » (p. 21)

Ce que le CNB omet de préciser, c'est qu'il faudrait que ces cabinets soient "experts" en informatique sans l'assistance d'un prestataire externe. Car il faudrait que les cabinets en question gèrent eux-mêmes la sécurité de leur réseau local. Et surtout, le CNB omet de reproduire les conclusions de l'expert HATTAB qui rappelle que la surenchère sécuritaire que propose le CNB via NAVISTA et son boîtier VPN ne créé qu'une fuite en avant qui implique que tous les cabinets investissent des moyens humains et matériels pour améliorer la sécurité informatique de l'ensemble de leurs cabinets et non seulement de l'échange de correspondance par voie informatique :

"Les plus sécuritaires apportés par l'utilisation de tunnels VPN et de pare-feu pour protéger les points d'accès à ce VPN, pour être effectifs, nécessitent que la sécurité de ces VPN et pare-feu soit attestée. Ils impliquent aussi une série de mises à niveau concomitantes, portant sur la sécurité des réseaux locaux, des serveurs, des postes de travail et de l'organisation en général, qui ne soient pas prises en compte par le projet technique de déploiement des boîtiers RSA.

Dans ces conditions de double emploi, de valeur ajoutée sécuritaire conditionnée à des mises à niveau des cabinets hors du périmètre du projet RPVA et d'absence de maîtrise contractuelle, la justification économique du réseau virtuel à base de boîtiers RSA dans tous les cabinets nous semble problématique. (page 46)"

Je ne reviendrais pas sur le fait que le CNB reconnaît lui-même qu'il s'est mis (nous a mis) contractuellement la corde au cou avec NAVISTA jusqu'en 2014 sans aucune sorte de garantie réelle et efficace en cas de défaillance et que les protocoles de sécurité, les composants informatiques intégrés à son offre, et l'architecture informatique des boîtiers développés par NAVISTA ne sont pas certifiés par l'Agence nationale de sécurité informatique...

Par contre, l'expert HATTAB n'a pas manqué de souligner :

"Nous relevons au passage que la sélection de NAVISTA n'a pas résulté d'un appel d'offre.

Le CNB explique cette situation par le contexte historique du RPVA et les difficultés rencontrées avec la première solution retenue et toujours disponible, à base d'un accès Internet haut débit (page 40)"...

Je remarque également qu'en octobre 2009, un nouvel accord a été trouvé avec NAVISTA, pour autoriser le Barreau de Paris à sortir du dispositif (page 38)...

CONCLUSION

Le CNB voudrait faire payer, très cher, aux avocats de province son incurie et son incompétence. Pour pouvoir communiquer avec les Greffes, et notamment relever appel au 1er janvier 2011, nous n'avons besoin que du HTTPS + Certificat d'authentification (solution parisienne du RPVA). Nous n'avons nullement besoin des boîtiers NAVISTA. Nous les imposer est abusif et ne peut être justifié par le souci d'améliorer notre sécurité informatique car ça ne ferait que déplacer la cible des attaques sur nos cabinets et le CNB est loin d'avoir réfléchi et pouvoir nous proposer des solutions intégrales pour protéger nos données des attaques informatiques.

C'est pourquoi il est urgent de dénoncer le contrat avec NAVISTA et déployer rapidement au niveau national la solution retenue par le Barreau de Paris sous l'égide du CNB."

A la vingtième lecture, j'avoue mon désarroi, je n'ai lu aucune allégation dénigrante, aucune allégation insultante.

Et vous, qu'en pensez-vous ?

Par nathalie.kerdrebez le 03/04/11

Le 13 décembre 2010, la société NAVISTA a adressé un courriel au Conseil National en ces termes :

« Madame/Monsieur

Conformément à l'article 5 de vos conditions d'utilisation je me permets de vous communiquer les contenus illicites de plusieurs blogs hébergés sur le site avocats.fr.

Les articles relevés ci-après portent, à la société NAVISTA et à son dirigeant (J.VINEGLA), un préjudice incontestable, son image se trouvant en effet entachée par des allégations dénigrantes voire insultantes aisément accessibles via des moteurs de recherche type GOOGLE.

Je vous prie de bien vouloir faire retirer l'intégralité des articles suivants et des commentaires qui y sont attachés :...

...Merci de m'informer dans les plus brefs délais de la suppression de ces messages d'insulte. Je reste à votre disposition, ainsi que mes avocats et mon associé qui me lissent en copie, pour toute autre information. »

Par courriel du 16 décembre 2010, nos trois confrères concernés par la plainte de la société NAVISTA ont reçu un courriel de l'équipe de la blogosphère leur annonçant que leurs articles litigieux avaient été supprimés, cette mesure ayant été prise conformément à la charte d'utilisation du service qui requiert que les articles du blog ne portent pas atteinte à l'ordre public français, aux droits des tiers, ou à l'image de la profession d'avocat.

Dans notre affaire, la censure a été sollicitée par un plaignant pour mettre fin à un préjudice allégué.

Elle a ensuite été exécutée sans débat contradictoire, sans que nos confrères puissent avoir la possibilité de défendre leur pensée...

Attention, ni jugement hâtif ni jugement précipité !

Par nathalie.kerdrebez le 03/04/11

La liberté d'opinion et d'expression est essentielle pour une personne humaine.

Elle lui permet d'exister en étant soi et non une personne imaginée par autrui.

Elle lui permet de partager sa pensée, de la confronter à celle d'autrui et de la voir évoluer, grandir.

Conscients de sa fragilité, de grands hommes confrontés à un passé inhumain, lui offrirent la plus belle des déclarations :

« Tout individu a droit à la liberté d'opinion et d'expression, ce qui implique le droit de ne pas être inquiété pour ses opinions et celui de chercher, de recevoir et de répandre, sans considérations de frontières, les informations et les idées par quelque moyen d'expression que ce soit. » (art. 19 Déclaration universelle des droits de l'homme)

Mais, il est dans la nature humaine de vouloir parfois être celui qui détient le monopole de la vérité et les opinions divergentes peuvent devenir agaçantes, gênantes, insupportables.

Alors la censure vient au secours de celui qui est démuni d'arguments pour convaincre.

La censure a de multiples facettes qui toutes portent atteintes à la liberté d'expression.

La plus connue est la censure politique ou religieuse, mais celle qui m'intéresse aujourd'hui s'est invitée sur la blogosphère des avocats.

Alors j'ai imaginé son procès, les préliminaires étant bien évidemment la réunion et l'examen des preuves.

Ne croyez pas un seul instant que j'oublie la présomption d'innocence !

Par nathalie.kerdrebez le 02/04/11

Lors de son assemblée générale extraordinaire du 31 janvier 2011, le Barreau du Val d'Oise a rappelé qu'il est favorable à la dématérialisation des procédures par le développement de la communication électronique, digne de l'ère des Nouvelles Technologies, respectueuse de ses droits et de sa déontologie.

Ainsi, il a été décidé de poursuivre l'action menée pour bénéficier d'un système de connexion à la plate-forme e-barreau qui soit nomade, mutualisé, appartenant et géré par la Profession.

I. La réglementation et les pratiques locales

L'année 2010 a été particulièrement marquée par une campagne d'information sur l'urgence à adhérer au RPVA.

L'urgence étant une notion par nature subjective, il est important d'examiner la réglementation relative à la communication électronique en vigueur et les pratiques locales issues des conventions régularisées entre une juridiction et un barreau.

A. La communication électronique en droit

Le Décret du 9/12/2009 n°2009-1524, relatif à la procédure avec représentation obligatoire en matière civile a créé l'article 930-1 CPC qui dispose « à peine d'irrecevabilité relevée d'office, les actes de procédure sont remis à la juridiction par voie électronique».

Les alinéa 5 et 6 dudit article précisent que l'entrée en vigueur des nouvelles dispositions est le 1er janvier 2011 pour les déclarations d'appel et les constitutions d'avoués, et au plus tard le 1er janvier 2013 pour les autres actes.

En fait, l'application de l'article 930-1 CPC a été reportée au 31 mars 2011, sous réserves d'un nouveau report.

En effet, depuis un arrêté du 23/12/2010 relatif à la communication par voie électronique dans les procédures avec représentation obligatoire devant les cours d'appel, une question sérieuse se pose au sujet de la mise en place effective de la communication électronique dans toutes nos juridictions d'appel.

L'article 1er de l'arrêté susvisé laisse perplexe :

« lorsqu'ils sont effectués par voie électronique entre un avoué et les cours d'appel, dans le cadre d'une procédure avec représentation obligatoire, les échanges doivent répondre aux garanties fixées par le présent arrêté.

Les cours d'appel concernées par les dispositions du présent arrêté sont les cours d'Agen, Aix, Amiens, Angers, Montpellier, Orléans, Paris, Pau, Rennes, Toulouse et Versailles. »

Sur une trentaine de cours d'appel, 11 seulement sont concernées actuellement par la dématérialisation des procédures avec représentation obligatoire.

L'article 930-1 CPC qui a vocation à s'appliquer sur l'ensemble du territoire français, entrera-t-il en vigueur au 31/03/2011 ?

En tout état de cause, la date du 31 mars 2011 n'est pas une échéance pour le Barreau dans la mesure où la loi supprimant la profession d'avoué sera effective le 1er janvier 2012. (Conseil Constitutionnel, décision n°2010-624 du 20/01/2011)

La date à ne perdre de vue sous aucun prétexte est bien le 1er janvier 2012, qui sera également le 1er jour du nouvel article 18 de la loi du 31 décembre 1971 donnant expressément compétence aux Ordres d'Avocats pour mettre en oeuvre la communication électronique.

Pour la petite histoire, il s'agirait juste d'une rédaction modernisée de l'article 18 et non d'un transfert de compétence selon l'analyse du CNB dans son rapport d'étape sur la gouvernance des 18 et 19 juin 2010 qui proposait au titre des nouvelles compétences du Conseil National celle de déterminer les choix technologiques de la profession.

B. La communication électronique en fait

Le Barreau du Val d'Oise a signé des conventions avec ses juridictions de première instance et d'appel, qui prévoient les modalités de mise en oeuvre de la communication électronique pour les abonnés au RPVA, sans rendre obligatoire le recours à la dématérialisation des procédures.

Dans les autres Barreaux, il est difficile d'apprécier la situation de fait, les conventions régularisées entre une juridiction et un barreau ne sont pas diffusées.

Une petite anecdote, en décembre 2010, le Barreau du Val d'Oise a été avisé par erreur qu'à compter du 1er mars 2011, il ne sera plus possible de prendre une date de référé auprès du TGI de Nanterre par télécopie, mais uniquement par le RPVA.

La situation devenait kafkaïenne, dans la mesure où les barreaux hors zone de multipostulation n'ont accès par le RPVA qu'à leur TGI et leur Cour d'Appel ; ainsi une postulation de fait aurait été imposée pour les procédures sans postulation obligatoire de droit.

Aussi, cette anecdote permet de ne pas oublier les fondamentaux de la procédure civile ni le regard intransigeant de la Cour de Cassation sur les conventions signées entre un barreau et une juridiction qui dérogeraient aux règles posées par le Code de procédure civile (Cass, 2ème civ, 23 septembre 2010, n°09-14.864)

Un petit rappel, les juridictions administratives ont opté pour une dématérialisation des procédures via le télé-recours, système de connexion par Internet avec utilisation d'un code d'accès.

Enfin, la formation de départage du CPH de Nanterre a mis en place une mise en état via une boîte courriel fonctionnelle : departage.cph-nanterre@justice.fr.

II. La mise en oeuvre de la communication électronique par le CNB

Pour comprendre le présent et construire l'avenir, il faut connaître le passé.

A. Le principe du RPVA

En 2005, après des appels d'offre, le CNB a confié la conception de la plate-forme e-barreau à THALES, les clés d'authentification à CERTEUROPE et le RPVA, dont le principe a été adopté par l'assemblée générale, à France TELECOM.

Les contrats ont été conclu sans surprise entre le CNB et les différents prestataires.

B. L'affaire NAVISTA

Une association CNB.COM composée de trois membres, le président, le trésorier et le secrétaire du CNB a vu ses statuts modifiés le 18 octobre 2006.

L'association CNB.COM a conclu avec une société NAVISTA un contrat le 10 octobre 2007, accordant le monopole du développement du RPVA pour une durée de 5 ans, avec une clause dérogatoire pour le Barreau de Paris (article 3).

Le même jour, le CNB a signé une convention se portant fort des engagements de l'association CNB.COM envers la société NAVISTA.

Petit lexique :

- Le CNB est un établissement d'utilité publique doté de la personnalité morale (article 21-1 Loi 31 déc.1971)

- L'association CNB.COM est une personne morale de droit privé

III. L'effet « papillon » marseillais

En 2009, le Barreau de Marseille s'est intéressé à la communication électronique et a imaginé un système mutualisé et nomade.

A. La défense du nomadisme

Suivant un communiqué commun du 16 novembre 2009, il a été convenu entre le Président du CNB et le Bâtonnier de Marseille « de poursuivre leurs efforts communs pour parvenir très rapidement à une connexion à la plate-forme e-barreau la mieux adaptée aux plans technique et économique qui permettra aux avocats de l'ensemble des Barreaux l'accès le plus confortable et le plus avantageux possible.

Pour répondre au souhait exprimé par le Barreau de Marseille, le Président WICKERS a proposé que Marseille devienne région pilote pour l'expérimentation du nomadisme. »

Courant décembre 2009, le système mutualisé et nomade était opérationnel a été testé avec succès par deux cabinets du Barreau du Val d'Oise qui a décidé de s' y abonner.

Par courriel du 18/01/2010, le CNB a annoncé une baisse du coût d'abonnement, le coût de location du boîtier Navista étant ramené à 25 euros par mois au lieu de 48 euros par mois.

Le Président de la Conférence des Bâtonniers décide en mars 2010 de confier un audit à Monsieur HATTAB, la question étant de savoir s'il est possible pour les Barreaux de province d'utiliser d'autres solutions que celle du CNB.

B. Le rapport HATTAB et ses suites

Dans son rapport du 9 juin 2010, Monsieur HATTAB met en lumière quatre problèmes majeurs :

- le monopole accordé à Navista et l'absence de maîtrise contractuelle par le CNB (pages 8, 25, 39, 40 et 41)

- les carences de certification et de sécurité du système Navista (pages 9, 15, 44, 48 et 62)

- le risque réel d'intrusion de Navista via le boîtier dans le réseau informatique d'un cabinet d'avocat (page 26), posant une difficulté délicate quant au respect du secret professionnel

- l'absence d'un commencement de projet pour les nouveaux services annoncés (pages 21, 22, 23, 39, 44 et 48)

Monsieur HATTAB conclut comme suit :

« La question de la possibilité pour les barreaux de province d'utiliser d'autres solutions que celle du CNB est à l'origine de cet audit.

Nous ne pouvons pas faire de préconisations dans la mesure où les enjeux dépassent largement la question technique.

Sur un plan purement technique et si les objectifs politiques devaient évoluer, il nous semble que les solutions parisiennes et marseillaises ne montrent pas de carences qui les empêcheraient d'être ouvertes plus largement.

La solution marseillaise est plus à voir comme une démonstration de capacité et si elle était étendue doit être reprise à sa charge par le CNB.

Finalement, l'état du système tant sur le plan de la sécurité que sur celui de la conduite du projet RPVA, nous semble justifier que dans le cadre d'une remise à plat, soient développés les aspects sécurité, organisation et lien avec les prestataires informatiques. »

Le 16 juin 2010, le CNB a signé avec la Chancellerie une convention relative à la dématérialisation des procédures devant les juridictions civiles prévoyant pour la première fois l'obligation pour les Barreaux de province d'utiliser le système Navista pour se raccorder à e-barreau et le statut dérogatoire accordé au Barreau de Paris.

Cette convention fut signée avant que le CNB ne se prononcé sur les suites à donner au rapport HATTAB lors de son assemblée générale des 18 et 19 juin 2010.

Des actions sont en cours devant l'Autorité de la Concurrence, le Conseil d'Etat et la Commission Européenne.

IV. La position actuelle du CNB

Depuis le rapport HATTAB, le CNB a annoncé la déclinaison de celui-ci qui demeure très mystérieuse à ce jour.

A. L'information timide sur les aspects techniques

Lors de son assemblée générale des 11 et 12 février 2011, un rapport d'information sur le RPVA a été présenté :

- Etat du déploiement : au 1er février 2011, 5.414 cabinets raccordés, 10.682 clés délivrées, 17.000 avocats connectés à e-barreau.

- Nouveaux services : communication électronique avec les juridictions civiles, les tribunaux de commerce et les juridictions administratives travail collaboratif, acte d'avocat, définition du référentiel de sécurité informatique (une exigence déontologique)

- La maîtrise contractuelle de la solution VPN

Il est regrettable que le CNB n'est pas crû devoir répondre aux problèmes techniques et juridiques posés par Monsieur HATTAB depuis plus de six mois.

B. L'information pudique sur les aspects financiers

Par courriel du 9 décembre 2010, le CNB a annoncé une forte progression du RPVA justifiant une nouvelle baisse tarifaire, le coût du boîtier Navista a été ramené à 19 euros par mois au lieu de 25 € par mois.

Cette baisse tarifaire est apparente, mais est-elle transparente ?

Le 18 janvier 2010, le coût du boîtier Navista avait été ramené à 25 euros par mois.

Cette diminution a été suivie d'une augmentation de 1 € par mois par avocat des cotisations du CNB lors de l'assemblée générale des 5 et 6 février 2010.

Outre cette augmentation, il a été rappelé à l'assemblée que la diminution effective du coût du boîtier Navista facturé à l'association CNB.COM interviendra en trois temps :

- 40 euros au 1er janvier 2010

- 35 euros au 1er avril 2010

- 30 euros au 1er octobre 2010

Aujourd'hui, le CNB reste taisant sur le coût du boîtier Navista facturé à l'association CNB.COM.

En l'absence d'éléments nouveaux évoqués à son assemblée générale, il semblerait que le boîtier soit facturé 30 euros par mois depuis le 1er octobre 2010.

La question est de savoir qui paie la différence de facturation.

Lors de l'assemblée générale des 11 et 12 février 2011, le budget du CNB et de l'association CNB.COM a été présenté, mais la question précédente demeure sans réponse.

Le CNB verse à l'association CNB.COM les sommes suivantes :

- 2.365.322 euros soit 55 euros par avocat au titre de la communication institutionnelle

- 1.312.280 euros pour le développement de la plate-forme e-barreau

- 83.612 euros pour les actions lobbying

Au budget de CNB.COM apparaissent également les postes suivants :

- Agence de communication : 1.672.241 euros

- TV Droit : 593.652 euros

- Provisions pour dépréciation des cotisations communication : 70.960 euros

Une petite omission sur les postes suivants :

- 5.414 boîtier à 19 euros par mois : 1.234.392 euros

- 17.000 clés à 7 euros par mois : 1.428.000 euros

Soit 2.662.392 euros assujetti à la TVA, qui n'apparaissent pas dans le budget de CNB.COM.

Conclusion

Lors de son assemblée générale de février 2011, le CNB a eu l'opportunité de répondre à toutes les questions techniques, juridiques et financières relatives au RPVA.

A l'image des histoires d'amour malheureuses, l'un des protagonistes ne s'est pas présenté au rendez-vous.

Je pense à la confraternité qui était également absente lorsque la censure a frappé le blog de trois de nos confrères le 16 décembre 2010 à la demande de Navista.

Ne soyez pas surpris, aucune conclusion ne sera proposée, juste un espoir que le CNB écrive à l'encre de notre serment la fin de l'histoire.

Rapport sur la communication électronique du 21 mars 2011