Perte ou vol d’ordinateur : l’incident est banal au cabinet, ses conséquences ne le sont pas. Un portable oublié dans un train, volé dans une voiture, perdu entre deux audiences, et ce sont des dossiers clients entiers qui partent avec. La vraie question n’est pas « comment éviter le vol », c’est « comment faire pour que le voleur n’accède à rien ».
Cet article traite de l’ordinateur, portable comme fixe. La perte ou le vol d’un smartphone ou d’une tablette obéit à des réflexes voisins mais distincts, que nous traiterons à part.
Pourquoi un ordinateur volé est un risque majeur pour un cabinet d’avocats
Sur le disque d’un poste de travail d’avocat, il y a rarement de simples fichiers bureautiques. Il y a des dossiers clients, des stratégies contentieuses, des pièces de procédure, des informations patrimoniales, parfois des données de santé ou des éléments d’un casier judiciaire. Un appareil qui sort du cabinet emporte tout cela avec lui.
Le secret professionnel de l’avocat ne s’arrête pas au dossier papier. Il couvre l’ensemble des supports, y compris numériques. Un ordinateur volé dont le disque n’est pas protégé, c’est une porte ouverte sur des informations couvertes par ce secret.
Et la responsabilité du dirigeant reste engagée, même sans faute de sa part. Le vol est subi, mais l’absence de mesures de protection, elle, vous est opposable. C’est précisément sur ce point que se joue la différence entre un incident maîtrisé et une crise.
Avant l’incident : 4 protections qui rendent un vol inoffensif
La bonne nouvelle : un ordinateur volé peut devenir un objet sans valeur pour le voleur. Quatre mesures, mises en place avant l’incident, suffisent à neutraliser le risque.
Chiffrer le disque
Le chiffrement transforme le contenu du disque en données illisibles sans le mot de passe. Concrètement, le voleur qui démonte le disque ou tente de démarrer la machine ne voit qu’une suite de caractères incompréhensibles.
L’outil est déjà intégré au système : BitLocker sous Windows Pro, FileVault sur Mac. Encore faut-il l’activer et conserver la clé de récupération en lieu sûr. Sans le mot de passe, le disque est inexploitable. C’est la première barrière, et la plus efficace.
Mot de passe fort et verrouillage automatique de session
Un mot de passe de 12 caractères minimum, unique, protège la session ouverte. Couplé à un verrouillage automatique après quelques minutes d’inactivité, il empêche un accès immédiat si l’appareil est dérobé alors qu’il est allumé. Un poste qui se verrouille tout seul ne reste jamais grand ouvert sur un bureau de gare.
Authentification multifacteur (MFA) sur la messagerie et le logiciel métier
L’authentification multifacteur (MFA, pour Multi-Factor Authentication) ajoute une seconde preuve d’identité au mot de passe : un code envoyé sur votre téléphone, une application d’authentification, une clé physique. Résultat : un mot de passe volé ne suffit plus à entrer.
C’est essentiel pour vos comptes en ligne. Même si un voleur parvenait à lire un identifiant stocké sur le poste, il se heurterait au second facteur pour accéder à votre messagerie ou à votre logiciel métier.
Effacement à distance (remote wipe)
L’effacement à distance, ou remote wipe, permet d’effacer le contenu d’un appareil à distance dès qu’il est signalé perdu ou volé. Vous déclenchez l’ordre depuis une console, et le poste se verrouille puis efface ses données à sa prochaine connexion.
Cette fonction suppose deux choses : que l’appareil ait été enrôlé dans un outil de gestion avant le vol, et qu’une solution d’infogérance gérée pilote ce parc. C’est précisément le rôle d’un prestataire qui administre vos postes.
Après le vol : la checklist des premières heures
L’incident vient de se produire. Voici la marche à suivre, dans l’ordre. Chaque heure compte.
- Verrouiller et déclencher l’effacement à distance de l’appareil, si la solution est en place.
- Changer les mots de passe de tous les comptes liés : messagerie, logiciel métier, cloud, espaces de stockage.
- Révoquer les sessions actives sur ces comptes, pour déconnecter l’appareil volé même s’il reste allumé.
- Porter plainte auprès des services de police ou de gendarmerie : le dépôt de plainte est utile pour l’assurance et pour documenter l’incident.
- Évaluer la notification à la CNIL (voir la section suivante) selon que les données étaient chiffrées ou non.
- Restaurer les dossiers depuis la sauvegarde sur un nouveau poste, pour reprendre votre activité sans perte.
Une procédure écrite, connue à l’avance, fait toute la différence entre une réaction ordonnée et une panique qui aggrave la situation.
Perte ou vol d’ordinateur et RGPD : devez-vous notifier la CNIL ?
Le vol d’un appareil contenant des données personnelles constitue, au sens du RGPD (Règlement Général sur la Protection des Données, Règlement UE 2016/679), une violation de données. Les articles 33 et 34 prévoient une notification à la CNIL (Commission Nationale de l’Informatique et des Libertés) dans un délai de 72 heures lorsque cette violation présente un risque pour les personnes concernées.
Le chiffrement change la donne. Si le disque volé était chiffré, les données restent illisibles : le risque pour les personnes est fortement réduit, et la notification n’est pas toujours requise. À l’inverse, un disque non chiffré expose directement les dossiers, et l’obligation de notifier s’applique.
Dans tous les cas, documentez l’incident : date, appareil concerné, nature des données, mesures prises. Cette traçabilité est elle-même une exigence du RGPD, et elle vous protège en cas de contrôle.
Informatique livrée à elle-même vs NeoOne pour Avocats
| Critère | Poste livré à lui-même | Avec NeoOne pour Avocats |
|---|---|---|
| Disque | Non chiffré, lisible par n’importe qui | Chiffré (BitLocker / FileVault), illisible sans le mot de passe |
| Comptes en ligne | Mot de passe seul | MFA partout : un mot de passe volé ne donne pas l’accès |
| Appareil volé | Aucun recours | Verrouillage et effacement à distance déclenchés au signalement |
| Données | Perdues si le seul exemplaire était sur le poste | Restaurées depuis la sauvegarde externalisée en quelques heures |
| RGPD | Vol = violation à notifier, dossier non documenté | Chiffrement = risque réduit, mesures tracées pour la CNIL |
| Réaction | Panique, pas de procédure | Checklist et astreinte NBS, marche à suivre claire |
NeoOne pour Avocats réunit ces protections dans une offre pensée pour les cabinets : chiffrement des postes, messagerie sécurisée avec MFA, sauvegarde externalisée et gestion à distance du parc. Un poste perdu devient alors un simple problème de matériel à remplacer, pas une fuite de dossiers.
Questions fréquentes
Mon ordinateur portable professionnel a été volé : dois-je prévenir la CNIL ?
Si l’appareil contenait des données personnelles non chiffrées, le vol constitue une violation de données à notifier à la CNIL sous 72 heures. Si le disque était chiffré, le risque pour les personnes est fortement réduit et la notification n’est pas toujours requise. Dans tous les cas, documentez l’incident.
Le chiffrement du disque suffit-il à protéger mes dossiers ?
Il protège ce qui est stocké sur l’appareil : sans le mot de passe, le disque est illisible. Il faut le compléter par la double authentification (MFA) sur vos comptes en ligne (messagerie, cloud, logiciel métier), car un voleur pourrait sinon tenter de s’y connecter.
Peut-on effacer à distance un ordinateur volé ?
Oui, avec une solution d’infogérance qui gère vos postes : on déclenche un effacement à distance (remote wipe) et un verrouillage dès le signalement. Encore faut-il que l’appareil ait été enrôlé dans cet outil avant le vol.
J’ai perdu mon ordinateur, comment récupérer mes dossiers ?
Si vos données sont sauvegardées de façon externalisée, vous les restaurez sur un nouveau poste en quelques heures. Sans sauvegarde, les fichiers présents uniquement sur l’appareil volé sont perdus. C’est pourquoi vol et sauvegarde se traitent ensemble.
Protégez les dossiers de votre cabinet
Perte ou vol d’ordinateur : le risque existe toujours. Ce qui dépend de vous, c’est ce que le voleur en fait. Avec un disque chiffré, des comptes protégés par MFA et une sauvegarde externalisée, l’incident se règle en remplaçant un appareil, pas en gérant une fuite de données.
NBS accompagne les cabinets d’avocats avec NeoOne pour Avocats, une offre conçue pour le secret professionnel et le RGPD. L’audit initial est gratuit et sans engagement.
Sources citées dans cet article
- CNIL, « Sécurité : sauvegarder, chiffrer et minimiser » : cnil.fr
- CNIL, « Notifier une violation de données personnelles » (délai 72 h, articles 33-34 RGPD) : cnil.fr
- CNIL, « Professionnels du droit et de la justice » : cnil.fr
- ANSSI, Guide d’hygiène informatique (chiffrement des supports et postes nomades) : cyber.gouv.fr
- RGPD, Règlement (UE) 2016/679, articles 32, 33, 34