AccueilSecteursAvocatsSecret professionnel
Cabinets d’avocats

Secret professionnel et cyberattaque : obligations et responsabilités

Le secret professionnel de l’avocat est absolu — y compris face aux cybermenaces. Une attaque qui entraîne la divulgation de données couvertes peut engager la responsabilité déontologique, civile et pénale du cabinet. Ce que la loi vous impose.

Lecture : 9 min Mis à jour 2026

Le secret professionnel : une obligation absolue à l’ère numérique

Le secret professionnel de l’avocat est protégé par l’article 66-5 de la loi du 31 décembre 1971 et par le Règlement Intérieur National. Il couvre tout ce que l’avocat apprend dans l’exercice de ses fonctions — sans limitation de durée, sans exception.

Ce caractère absolu crée une responsabilité numérique spécifique. Si une cyberattaque entraîne la divulgation d’informations couvertes par le secret professionnel, même involontairement, l’avocat peut se trouver en situation de violation de ses obligations déontologiques.

⚖️ La position du CNB

Le Conseil National des Barreaux a clairement indiqué que l’obligation de secret professionnel implique une obligation de moyens en matière de sécurité numérique. Un cabinet qui ne prend pas les précautions élémentaires pour protéger ses données numériques s’expose à une mise en cause déontologique en cas d’incident — même si l’attaque est externe.

Les trois niveaux de responsabilité

1. Responsabilité déontologique

Une violation du secret professionnel résultant d’une négligence avérée en matière de sécurité numérique peut faire l’objet d’une procédure disciplinaire devant le Conseil de l’Ordre. Les sanctions peuvent aller de l’avertissement à la radiation. La jurisprudence ordinale commence à intégrer les questions de cybersécurité.

2. Responsabilité civile

Le client dont les informations confidentielles ont été divulguées suite à une cyberattaque peut engager la responsabilité civile du cabinet. Si une négligence est établie — absence de chiffrement des communications, mots de passe faibles, systèmes non mis à jour — le cabinet peut être condamné à indemniser le préjudice subi par le client.

3. Responsabilité pénale

L’article 226-13 du Code pénal sanctionne la violation du secret professionnel d’un an d’emprisonnement et 15 000 € d’amende. Si la divulgation résulte d’une faute caractérisée, la responsabilité pénale peut être engagée même en cas d’attaque externe.

Note importante

Cet article a une vocation pédagogique et ne remplace pas un conseil juridique. En cas de cyberattaque ou de violation de données, consultez immédiatement un avocat spécialisé en droit du numérique et contactez votre Ordre.

Le RGPD : un second régime de responsabilité

En plus des obligations déontologiques, les cabinets d’avocats sont soumis au RGPD pour toutes les données personnelles qu’ils traitent — données de leurs clients personnes physiques, données des parties adverses, données de leurs collaborateurs.

En cas de violation de données personnelles, la notification à la CNIL doit intervenir dans les 72 heures. Si la violation présente un risque élevé pour les droits et libertés des personnes concernées, ces personnes doivent être informées individuellement.

Notre guide sur les risques cyber pour les cabinets d’avocats détaille les scénarios les plus fréquents.

Que faire immédiatement en cas d’attaque

1

Isoler et contacter l’assureur

Déconnecter les systèmes compromis. Appeler la ligne d’urgence de votre assureur cyber si vous en avez un — il mandate les experts.

2

Évaluer le périmètre de la violation

Quels dossiers sont concernés ? Y a-t-il exfiltration de données ou seulement chiffrement ? La réponse conditionne l’ensemble des obligations qui suivent.

3

Contacter l’Ordre et un confrère spécialisé

Informer votre Bâtonnier est fortement recommandé. L’Ordre peut orienter vers des ressources adaptées et documenter votre démarche proactive.

4

Notifier la CNIL dans les 72h si nécessaire

Via notifications.cnil.fr. En cas de doute sur l’obligation, notifier par précaution est toujours préférable à ne pas notifier.

5

Informer les clients affectés

Communication délicate à gérer avec soin. L’assureur cyber prend généralement en charge l’accompagnement de cette communication.

Les mesures préventives recommandées par le CNB

  • Chiffrement des communications sensibles — utilisation de messageries sécurisées pour les échanges confidentiels avec les clients
  • Double authentification sur tous les accès RPVA, e-barreau et messagerie professionnelle
  • Sauvegardes chiffrées hors réseau quotidiennes testées régulièrement
  • Politique de gestion des accès — droits minimaux par collaborateur, révocation immédiate lors des départs
  • Formation annuelle au phishing pour l’ensemble des collaborateurs et du personnel administratif
  • Assurance cyber avec RC vis-à-vis des clients — voir notre guide assurance cyber pour avocats
🔬 Secret professionnel sans limite de durée et risque quantique

Le secret professionnel de l’avocat n’expire pas. Des communications chiffrées interceptées aujourd’hui pourront être déchiffrées dans 10 ans par les ordinateurs quantiques. Pour les dossiers à forts enjeux à long terme, la stratégie Harvest Now, Decrypt Later est une menace active dès aujourd’hui.

Connaissez-vous les risques cyber de votre cabinet ?

Double extorsion, phishing ciblé, fraude CARPA — état des lieux complet des menaces pour les cabinets d’avocats.

Voir les risques →