"La communication cryptée n'est pas une option, mais un devoir.

Un entretien avec Matthias Baenz, avocat fiscaliste, sur la sécurité, la responsabilité et la confiance des clients.

Tax lawyer Matthias Baenz uses Tuta Mail – and believes anyone taking email security seriously should do the same.

La communication cryptée a tendance à être négligée par de nombreuses entreprises. Pourtant, cela peut avoir de graves conséquences. Nous nous sommes entretenus avec Matthias Baenz, avocat et utilisateur de longue date de Tuta, spécialisé dans le droit fiscal, pour savoir où se situe le risque, pourquoi de nombreux avocats n'offrent toujours pas le chiffrement et pourquoi lui et son cabinet d'avocats font les choses différemment. Matthias Baenz explique également pourquoi l'adoption, à petite échelle, d'outils de communication cryptés peut aider les cabinets juridiques à améliorer la protection des données et des clients à long terme.


Question : M. Baenz, comme nous l’avons déjà dit, avant de vous présenter, vous et votre cabinet d’avocats, j’aimerais beaucoup savoir : Pourquoi les communications cryptées sont-elles si importantes pour les avocats ?

Réponse : La communication cryptée pour les avocats n’est pas vraiment quelque chose qui ne concerne que les avocats - elle devrait concerner tout le monde. Mais pour les avocats, il y a aussi la dimension du droit professionnel. Cette dimension garantit que les avocats opèrent dans le cadre d’un ensemble spécial de règles et ont certains devoirs de considération qui ne s’appliquent pas à la sphère privée.

Cela signifie qu’en tant qu’avocat, je dispose simplement d’un ensemble de règles qui me dictent certaines choses, alors qu’en tant qu’utilisateur privé, je peux peut-être me poser la question suivante : “Est-ce que cela me concerne ? Est-ce que cela me concerne ? Est-ce que cela m’intéresse ? Est-ce que je trouve cela mauvais ? En tant qu’avocat, en revanche, je dois toujours tenir compte non seulement de mon propre droit professionnel, mais aussi et surtout des intérêts de mon client.

Il existe des lignes directrices claires qui disent : Je ne dois pas nuire aux intérêts de mon client. Ces règles ont d’ailleurs toujours existé. Mais avec la question de la protection des données, de nouveaux risques sont apparus, notamment le risque d’interférence. Tous les avocats doivent prendre ce risque au sérieux. Tous les avocats ont le devoir particulier de veiller à ce que le client ne soit pas exposé à des fuites de données, à un accès involontaire ou à la publication de données.

Cela ne peut être garanti que par une communication authentique et cryptée telle que Tuta Mail. Cependant, de nombreux avocats ne sont même pas conscients que c’est le cas et qu’il faut le prendre au sérieux. Les précautions techniques habituelles dans le trafic de courrier électronique, telles que TLS, ne permettent tout simplement pas d’atteindre cet objectif.

Je pense que la plupart des avocats ne savent même pas ce que signifie SSL ou TLS. Les fournisseurs de courrier électronique rassurent généralement les utilisateurs en indiquant que la connexion est cryptée. Cette information est souvent affichée de la manière suivante : “Connexion cryptée”. Mais beaucoup de gens ne savent pas que cela ne s’applique qu’à la connexion avec leur propre serveur de messagerie. Le reste de la connexion n’est pas crypté.

Cela signifie que les données peuvent être interceptées et modifiées. Ce fait n’est tout simplement pas connu et n’est pas suffisamment pris au sérieux. Les gens disent souvent : “Qu’est-ce qu’il y a de mal à cela ?” Ou encore : “Qui est censé s’en préoccuper ?”, ce qui fait que la menace réelle n’est même pas perçue. À mon avis, la communication cryptée n’est pas une option, mais un devoir, en particulier pour les avocats.

Turn ON Privacy in one click.

Question : Oui, je pense que le thème “être changé” est également très important parce que la plupart des gens ne l’ont pas à l’esprit. Les médias allemands ont récemment rapporté qu’une facture envoyée par courriel par une entreprise avait été manipulée. Quelle est l’ampleur du risque et quelle est la responsabilité des entreprises lorsque des courriels, en particulier des factures, sont envoyés sans être chiffrés ? Les entreprises doivent-elles s’appuyer sur des courriels cryptés?

Réponse : Le risque est énorme - et dans ce cas, le client a dû l’apprendre à ses dépens. Mais bien sûr, cela s’applique toujours dans les deux sens. Peut-être devrions-nous d’abord expliquer brièvement quel était le problème dans ce cas précis.

Le compte de courrier électronique de l’entreprise avait été piraté - c’est du moins ce que le tribunal a supposé. Prenons cela comme base. Quelqu’un était donc intervenu - le pirate. Le compte du destinataire, c’est-à-dire le compte de paiement, a été modifié pour tous les courriels relatifs à des factures. Tout le reste était identique. Les courriels étaient identiques, seul le numéro de compte avait changé. Or, personne ne s’en est aperçu, ni l’entreprise, ni le client.

Le tribunal a alors établi deux choses. Premièrement, le client s’est-il acquitté de sa dette en effectuant ce paiement sur le compte indiqué dans la facture ? Non, a déclaré le tribunal, il ne s’est pas acquitté de sa dette. En d’autres termes, la dette restait impayée. C’était le premier coup dur pour le client : il ne s’était pas acquitté de sa dette malgré le paiement de 11 000 euros.

Le tribunal ne pouvait pas vraiment en décider autrement. Si l’argent n’arrive pas à destination, c’est qu’il n’a pas été payé.

La question de savoir si l’entreprise aurait dû faire quelque chose pour empêcher le piratage - par exemple en cryptant les courriels - n’était initialement pas pertinente dans ce contexte. Elle n’est devenue pertinente que lorsque la question s’est posée de savoir si l’entreprise était responsable des dommages ? Les dommages ne correspondent-ils pas exactement au montant que le client a transféré pour rien ?

Le tribunal a répondu par l’affirmative : C’est possible, mais pas le montant total.

Le fait que le tribunal ait ensuite dit Les deux parties contractantes se sont engagées dans une forme de communication risquée. Le principe s’applique donc : quiconque s’engage volontairement dans quelque chose de risqué doit également en assumer le risque en tant que citoyen responsable. Dans des circonstances où les connaissances et l’expertise sont inégalement réparties, par exemple entre des entreprises géantes et des consommateurs, la situation peut être différente.

Dans le cas présent, cependant, il s’agissait d’une entreprise établie d’un côté et d’un client établi de l’autre. Le tribunal n’a donc pas pu prouver l’existence d’une grande différence de connaissances et a déclaré : ” En principe, les deux supportent le risque”.

Toutefois, l’entreprise s’est finalement vu “attribuer” un peu plus de responsabilités, car le tribunal a déclaré : “Vous avez manqué à une autre obligation, à savoir l’obligation de sécuriser votre propre système informatique en vertu du règlement général sur la protection des données”.

Just do it. Start small, like me. Set up a Tuta account and use it for sensitive communication.Offer it to your clients. Let it grow slowly without changing everything right away. Don't be afraid of technology. Just do it. Start small, like me. Set up a Tuta account and use it for sensitive communication.Offer it to your clients. Let it grow slowly without changing everything right away. Don't be afraid of technology.

Lorsqu’on lui demande quel conseil Baenz donnerait à d’autres cabinets d’avocats qui hésitent à passer à des plateformes de communication cryptées, il suggère de commencer modestement, par exemple avec un compte Tuta Mail.

Question : C’est très intéressant. Cela signifie-t-il que le client aurait dû exiger une communication cryptée ?

Réponse : S’il veut jouer la carte de la sécurité, oui, exactement. On peut le dire ainsi. Le tribunal a dit : “Vous avez tous les deux participé à cette communication vulnérable, vous êtes donc tous les deux à blâmer.

Question : C’est très intéressant : C’est très intéressant. Afin de prévenir les problèmes que vous avez décrits - c’est-à-dire ce que les avocats doivent protéger, ce qu’ils sont obligés de faire - vous et votre cabinet d’avocats proposez différentes options de communication cryptée, et pas seulement Tuta Mail. Pourquoi est-il si important pour vous que le client puisse choisir différents canaux de communication ?

Réponse : Il y a deux aspects différents à cela. D’une part, je veux donner le choix au client. Ce n’est pas une obligation qui m’est imposée, mais de mon point de vue, il ne serait tout simplement pas juste que je m’en tienne à un seul système et que je rejette tout le reste. Après tout, je ne sais pas quelles variantes le client utilise peut-être déjà. Et je ne veux pas créer une barrière supplémentaire, je veux rendre les choses aussi simples que possible.

C’est pourquoi nous proposons différentes options. Si vous voulez travailler avec PGP, allez-y. Si vous voulez travailler avec Tuta Mail, faites-le. Si vous avez autre chose, faites-le différemment.

Deuxièmement, si je place ma communication dans différents outils, je crée moins de vecteurs d’attaque potentiels en un seul endroit. Il s’agit d’une sorte de stratégie de division qui me permet de ne pas dépendre complètement d’un seul fournisseur et d’être vulnérable aux attaques. Je ne veux pas gérer 100 % de ma communication avec un seul système, car cela comporte naturellement un risque.

Question : Comment vos clients réagissent-ils à cela ?

Réponse : C’est en fait le nœud du problème. La plupart des clients n’ont même pas de système de cryptage en place, et encore moins d’idées ou de préférences. Lorsqu’ils se rapprochent de l’idée que c’est réellement important pour leur dossier, ils adoptent généralement le système que je leur propose. Et c’est Tuta Mail depuis dix ans. Pour les clients, il est important que le système fonctionne. Ils ne veulent pas essayer ou comparer différentes choses. Ils veulent simplement que ça marche.

J’ai été très heureux lorsque Tutanota est entré en scène, il y a un peu plus de dix ans, parce que c’était un système très facile à mettre en œuvre. Même avec des clients qui n’étaient pas friands de gadgets techniques, j’ai réussi à les convaincre d’utiliser des communications cryptées de manière permanente. Auparavant, c’était beaucoup plus difficile, surtout avec PGP. Je devais expliquer : “Vous devez installer ceci et cela, générer un certificat…”, ce qui représentait trop d’efforts pour les clients.

Une fois que les clients ont franchi la barrière, c’est devenu facile pour eux. Pour commencer à utiliser la communication cryptée, ils n’ont même pas besoin de créer leur propre compte chez Tuta, ce qui était et reste particulièrement agréable. De cette façon, ils peuvent continuer à utiliser leur programme de courrier électronique habituel et communiquer avec moi en toute sécurité via le lien de Tutanota, ou Tuta aujourd’hui. Grâce au mot de passe partagé, ils ont accès à toutes les communications antérieures à tout moment via un navigateur internet. Ils n’ont donc pas besoin de décrypter chaque message individuellement, ils peuvent consulter toutes les communications antérieures via un seul lien. C’est une excellente chose pour les clients.

La seule difficulté réside dans le fait qu’en cas d’interruption prolongée de la communication, je dois parfois leur communiquer à nouveau leur mot de passe. Pour faciliter les choses, je le leur donne généralement, non pas par courrier électronique bien sûr, mais par un autre canal sécurisé. L’aspect pratique de Tuta est que je peux stocker en toute sécurité le mot de passe du client dans Tuta Contacts et le consulter simplement lorsqu’il est demandé. De cette façon, je peux le redonner au client même après six mois ou plus.

Question : Je suis très heureux de l’apprendre. Tutanota a été lancé il y a onze ans - vous êtes donc un pionnier. Je suis presque surpris que nous ne nous soyons pas déjà croisés. (rires) Vous souvenez-vous encore de la transition à l’époque ? L’introduction de Tutanota a-t-elle posé des problèmes à votre cabinet d’avocats ?

Turn ON Privacy in one click.

Réponse : Bien sûr, il y en a encore aujourd’hui, pour être honnête. Malheureusement, je n’ai pas réussi à convertir l’ensemble de notre cabinet à Tutanota, devenu Tuta Mail. C’est la fameuse persistance. Si nous avions basculé complètement, nous aurions soudain eu de nouvelles adresses électroniques, ce qui est absolument inacceptable pour de nombreux clients. Il ne s’agit pas d’un ou deux clients, mais de centaines. Cela donne des frissons aux gens.

Mais quand je leur montre : Vous pouvez continuer à utiliser votre propre domaine si vous le souhaitez, votre adresse électronique reste visuellement la même - ce n’est pas un problème avec Tuta Mail - il faut alors tout mettre en place et tout transférer. Cela nécessite une coordination avec le fournisseur, certaines adaptations et un effort unique. Vient ensuite la réflexion commerciale : Qu’est-ce que j’y gagne ? Quelle est l’ampleur réelle du risque ? Le jeu en vaut-il la chandelle ?

C’est pourquoi nous sommes en fin de compte coincés avec un modèle à deux systèmes. J’ai persuadé certains partenaires de mettre en place un accès à Tuta ou de me demander de le faire pour eux, ou au moins d’accepter des courriels Tuta cryptés de ma part dans leur boîte aux lettres normale, de les ouvrir via un lien et un navigateur et de répondre également de manière cryptée. Nous utilisons ce système spécifiquement pour les sujets particulièrement sensibles, pour les mandats conjoints ou si nous voulons utiliser le principe du double contrôle. La plupart des collègues continuent d’utiliser leur système habituel pour la communication quotidienne. Je n’ai pas encore réussi à changer cela.

Malgré les bizarreries connues, les gens préfèrent s’en tenir à ce à quoi ils sont habitués. Il s’agit d’une analyse classique des risques et des avantages. J’utilise donc moi-même une double approche : Tuta Mail pour les questions sensibles, c’est-à-dire pratiquement toute ma communication avec les clients, et Outlook pour le reste. En fin de compte, il s’agit aussi du cryptage sécurisé des courriels sur le serveur de messagerie, qui dans mon cas est Tuta.

Question : C’est une solution intelligente. Comment évaluez-vous la stratégie de Microsoft qui consiste à tout transférer dans le nuage et les problèmes de protection des données qui en découlent, notamment en ce qui concerne l’accès éventuel des États-Unis aux données ? C’est un risque considérable pour un cabinet d’avocats. Le nuage américain - même si les données sont stockées sur des serveurs allemands - est-il vraiment à proscrire pour les cabinets d’avocats ?

Réponse : Absolument. C’est pourquoi j’espère que nous parviendrons encore à migrer complètement dans les prochaines années. Une fois que vous êtes passé à Tuta, tout fonctionne comme avant. Grâce à l’application et au client de bureau, vous pouvez utiliser Tuta Mail partout. Contrairement à Outlook, où vous devez travailler via IMAP en fonction du client, tout est beaucoup plus simple.

Lisez la comparaison détaillée de Tuta Mail vs Outlook.

Question : A vous maintenant : Pouvez-vous vous présenter brièvement ainsi que votre cabinet d’avocats ? Quelle est votre spécialité ?

Réponse : Avec plaisir : Avec plaisir. Nous sommes un cabinet d’avocats de taille moyenne avec des bureaux à Hambourg, Berlin, Potsdam, Schwerin, Rostock et à l’étranger. Nous nous concentrons sur le conseil aux entreprises de taille moyenne, mais aussi aux particuliers, principalement en matière de droit commercial et de droit fiscal. Nous sommes à la fois avocats, conseillers fiscaux et auditeurs.

Ici, à Schwerin, nous avons un département fiscal qui s’occupe de toutes les questions fiscales de nos clients, de la comptabilité aux déclarations fiscales et aux états financiers annuels. Je suis moi-même avocat spécialisé en droit fiscal et je m’occupe intensivement des questions de droit fiscal depuis de nombreuses années, en particulier dans les cas critiques : contrôles fiscaux difficiles, divulgations volontaires, procédures pénales pour fraude fiscale présumée. C’est là que j’interviens.

J’apporte également mon soutien à la rédaction de contrats, en particulier lorsque l’accent est mis sur l’optimisation fiscale. Ce n’est pas quelque chose qu’un conseiller fiscal traditionnel peut faire seul ; il faut un avocat spécialisé pour la mise en œuvre. Je suis donc souvent le lien entre les questions fiscales et leur mise en œuvre juridique - par exemple dans le cas de structures de droit des sociétés, de testaments, de contrats de mariage ou d’autres questions sensibles similaires.

Question : Il s’agit de données très sensibles. Je comprends que vous vous soyez réjoui de l’arrivée de Tutanota sur le marché.

Réponse : Oui, absolument : Oui, absolument. Pour moi, c’était une justification intérieure pour m’occuper intensivement de la technologie. Cela prend du temps - en plus du travail professionnel, des clients, de la jurisprudence, de la législation. Mais en tant qu’avocat fiscaliste en particulier, où nous traitons souvent des données très sensibles, dont certaines relèvent du droit pénal, c’était important pour moi. Je veux que ma communication soit aussi sûre qu’une conversation confidentielle dans une pièce sécurisée.

Turn ON Privacy in one click.

Question : C’est une excellente attitude, que nous aimerions voir plus souvent. Étonnamment, la tendance va actuellement dans la bonne direction. Si l’on considère les scandales tels que la manipulation de factures par le biais de courriels piratés que nous avons mentionnés, quel rôle pensez-vous que la communication sécurisée jouera à l’avenir ?

Réponse : Elle deviendra de plus en plus importante. Je suis préoccupé par deux évolutions : premièrement, la tendance, aux États-Unis, du président à s’arroger un domaine qui n’est pas soumis à un contrôle judiciaire. Cette tendance est difficilement compréhensible pour notre compréhension du droit en Allemagne, mais elle y est prise au sérieux. La protection juridique n’existe donc pratiquement plus dans ces domaines.

Bien entendu, cela concerne également les entreprises soumises à la législation américaine, au mot-clé Patriot Act et à la souveraineté numérique. Même si les serveurs sont situés en Europe : si une entreprise américaine est invitée à remettre des données aux autorités américaines, elle doit le faire. Les promesses du type “Nous ne le ferons pas” ne valent rien en cas d’urgence. Cela s’applique également à Microsoft.

D’autre part, des efforts politiques sont déployés en Europe pour affaiblir le cryptage au moyen de portes dérobées. C’est le cas, par exemple, du contrôle du chat: Ils veulent permettre un bon cryptage, mais créer un accès pour les autorités chargées de l’enquête. Pour moi, en tant qu’avocat, c’est un non-sens. Il n’y a pas de porte dérobée réservée aux gentils. Une fois que vous avez l’accès, vous ouvrez finalement la porte à d’autres.

Question : Revenons à la souveraineté numérique en Europe. Où en serons-nous dans cinq ans ? Les autorités utiliseront-elles encore Microsoft ?

Réponse : J’espère que non, ou du moins pas sous sa forme actuelle. Il y a des approches, par exemple au Schleswig-Holstein, mais je crains que nous n’en soyons pas là dans cinq ans. Peut-être dans dix ans. L’un des problèmes majeurs est le conseil informatique fourni par les autorités. Elles s’en tiennent souvent à leurs normes parce que cela fonctionne. Les problèmes ou les inquiétudes sont alors souvent étouffés.

C’est le cas du dossier électronique du patient. Il est fondamentalement bon, mais mal mis en œuvre. Au lieu de toujours tout refaire à partir de zéro, les autorités pourraient utiliser des approches open source et s’en inspirer, comme Nextcloud ou Tuta Mail, l’Allemagne comptant de nombreuses entreprises de qualité. Au lieu de cela, la roue est constamment réinventée et chacun cuisine sa propre soupe. Cela coûte du temps et de l’argent et n’aboutit à rien.

Question : Enfin, quel conseil donneriez-vous aux cabinets d’avocats ? Quels conseils donneriez-vous aux cabinets d’avocats qui ne savent pas encore s’ils doivent passer à la communication cryptée ?

Réponse : Faites-le. Commencez modestement, comme moi. Créez un compte Tuta et utilisez-le pour les communications sensibles. Offrez-le à vos clients. Laissez-le se développer lentement sans tout changer tout de suite. N’ayez pas peur de la technologie, c’est le conseil que je vous donne.

C’est le conseil que je donnerais : Alors, foncez. C’est toujours mon conseil. Faites de petits pas vers une meilleure protection des données et une meilleure sécurité, car il n’y a malheureusement pas d’interrupteur magique qu’il suffirait d’actionner une seule fois. Mais les petits pas peuvent mener loin. M. Baenz, merci beaucoup pour cet entretien ; j’aimerais en reparler bientôt !

Réponse : Merci beaucoup, ce fut un plaisir.

Illustration of a phone with Tuta logo on its screen, next to the phone is an enlarged shield with a check mark in it symbolizing the high level of security due to Tuta's encryption.