Un problème que presque personne ne voit
Un avocat reçoit un document sensible de son client. Un médecin discute d'un diagnostic avec un collègue. Un psychologue coordonne un traitement avec un psychiatre. Un conseiller fiscal envoie les données d'une déclaration. Tous le font par messagerie. Et presque aucun ne s'est demandé où finissent ces messages.
La réponse, dans la plupart des cas, est : sur un serveur qu'ils ne contrôlent pas, dans un pays dont ils ne connaissent pas la législation, géré par une entreprise dont le modèle économique est précisément d'accumuler des données. Le message peut être chiffré en transit, mais une fois arrivé au serveur, c'est une copie stockée sur l'infrastructure d'un tiers.
Ce que dit la loi
Le RGPD européen est clair : quiconque traite des données personnelles de tiers est responsable de les protéger avec des mesures techniques adéquates. La bonne volonté ne suffit pas. Il ne suffit pas que l'application dise qu'elle chiffre. Si les données de votre client sont sur un serveur qui ne respecte pas la réglementation européenne, vous en êtes responsable.
Et ce n'est pas seulement le RGPD. Le secret professionnel — réglementé pour les avocats, médecins, psychologues, auditeurs et bien d'autres — exige que la communication avec le client soit confidentielle. Pas confidentielle « dans la mesure du possible ». Véritablement confidentielle. Si le canal que vous utilisez ne peut pas le garantir techniquement, vous assumez un risque que vous ne devriez pas assumer.
De quoi un professionnel a-t-il besoin ?
Ce dont un professionnel qui gère des informations sensibles a besoin est étonnamment simple. Un canal où les messages vont directement de son appareil à celui du destinataire, sans passer par aucun serveur intermédiaire. Où aucune copie ne reste dans un cloud. Où il n'est pas nécessaire de donner un numéro de téléphone personnel. Et où l'infrastructure respecte intégralement la réglementation européenne.
Il n'a pas besoin d'une application complexe. Ni de formation. Ni de changer sa façon de travailler. Il a besoin d'exactement ce qu'il utilise déjà — la messagerie instantanée — mais avec la garantie technique que l'information ne quitte pas les appareils des deux personnes qui participent à la conversation.
La différence entre chiffrer et ne pas stocker
Chiffrer un message et le stocker sur un serveur, c'est comme mettre un document dans un coffre-fort et le laisser chez un inconnu. Le coffre-fort est bon, oui. Mais le document est toujours chez quelqu'un d'autre. Et ce quelqu'un peut recevoir une ordonnance judiciaire, peut subir une cyberattaque, ou peut simplement changer ses conditions de service.
L'alternative est que le document ne quitte jamais votre bureau. Qu'il aille directement de votre table à celle de votre client, sans passer par aucun intermédiaire. C'est ce que fait la communication directe entre appareils : elle élimine l'intermédiaire. Non pas parce que l'intermédiaire est mauvais. Mais parce que l'intermédiaire est inutile. Et l'inutile, en sécurité, est toujours un risque.
Une question de responsabilité
En fin de compte, la question que tout professionnel devrait se poser est : si demain une conversation avec mon client fuite, puis-je prouver que j'ai utilisé un canal techniquement sécurisé ? Puis-je prouver que les données n'ont jamais quitté nos appareils ? Puis-je prouver que je n'ai pas dépendu de la bonne volonté d'une entreprise d'un autre continent ?
L'outil que vous choisissez pour communiquer avec vos clients en dit long sur la façon dont vous valorisez leur confiance. Et il existe des outils conçus exactement pour cela : pour que la confiance ne dépende pas de promesses, mais de l'architecture.