Solidaritet med Ukraine. Tjenesten tilbydes gratis til ukrainske virksomheder, så længe krigen varer. Anmod om gratis adgang
Verticale réglementée · Avocats

Coffre-fort mots de passe avocat et secret professionnel.
Une garantie technique, pas une promesse commerciale.

Le secret professionnel de l'avocat est inaliénable : il engage la responsabilité déontologique et pénale du cabinet. Aegirex fournit un coffre-fort B2B souverain où l'éditeur ne peut techniquement pas lire les secrets stockés. Chiffrement OpenPGP.js v6 côté client, audit chain HMAC-SHA-256 opposable, hébergement France et code AGPLv3 auditable. Conforme à l'esprit du guide cybersécurité publié par le Conseil National des Barreaux en octobre 2023.

Créer mon coffre · gratuit à vie Échanger sur votre cabinet
Article 66-5 loi 71-1130 Article 226-13 Code pénal Guide CNB cybersécurité 2023 Hébergement France RGPD natif
01 / Cadre légal applicable

Aucun outil ne peut s'inscrire durablement dans la pratique d'un cabinet d'avocats sans s'aligner sur les textes qui fondent la profession. Le coffre-fort de secrets en fait partie : il touche directement aux identifiants permettant d'accéder aux dossiers clients, aux registres officiels et aux plateformes judiciaires.

Texte fondateur

Article 66-5 de la loi n° 71-1130

« En toutes matières, que ce soit dans le domaine du conseil ou dans celui de la défense, les consultations adressées par un avocat à son client ou destinées à celui-ci, les correspondances échangées entre le client et son avocat, entre l'avocat et ses confrères, les notes d'entretien et, plus généralement, toutes les pièces du dossier sont couvertes par le secret professionnel. » Le secret est général, absolu et illimité dans le temps. Il s'impose à l'avocat, à son cabinet et, par extension, aux outils qu'il choisit.

Sanction pénale

Article 226-13 Code pénal

« La révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d'amende. » Le manquement à la protection du secret est donc une infraction pénale, pas une simple faute déontologique. Un outil qui exposerait techniquement les pièces d'un dossier engagerait, par ricochet, la responsabilité de l'avocat qui l'a choisi.

Doctrine ordinale

Guide cybersécurité du CNB · octobre 2023

Le Conseil National des Barreaux a publié en octobre 2023 un guide pratique de cybersécurité pour les cabinets d'avocats. Parmi les mesures recommandées : politique de mots de passe forte, authentification à double facteur, et recours à un gestionnaire de mots de passe dédié pour cesser les pratiques à risque (post-it, tableurs partagés, navigateurs). Le guide insiste sur la nécessité d'une solution dont l'éditeur ne peut pas accéder aux secrets en clair.

RGPD et hébergement : la confidentialité comme principe

Au-delà du secret professionnel, le cabinet est responsable du traitement des données personnelles de ses clients au sens du règlement (UE) 2016/679 (RGPD). Les articles 5, 25 et 32 imposent une sécurité appropriée, une minimisation des accès et une protection by design. La conjonction du secret professionnel (loi 71-1130) et du RGPD rend particulièrement inopportun le recours à un éditeur soumis à une juridiction extraterritoriale : l'article 48 du RGPD prohibe la transmission de données vers un État tiers en réponse à une décision administrative ou judiciaire non couverte par un accord international.

02 / Les risques concrets

Quatre scénarios qui engagent la responsabilité du cabinet.

Les incidents de sécurité touchant les cabinets d'avocats sont rarement médiatisés mais bien documentés par les compagnies d'assurance professionnelles et la CNIL. Quatre scénarios sont récurrents et tous ont une racine commune : la mauvaise gestion des identifiants d'accès aux dossiers et aux plateformes.

Scénario 1

Exfiltration des données client

Un poste compromis chez un collaborateur (phishing, rançongiciel) permet l'extraction du fichier mots de passe partagé sur le réseau du cabinet. Les identifiants de la GED, du service de signature électronique et des registres officiels filent vers un acteur tiers. La compromission est invisible plusieurs semaines. Conséquences : violation du secret professionnel, notification CNIL sous 72 heures, alerte au bâtonnier, responsabilité civile professionnelle activée.

Scénario 2

Requête judiciaire d'un État tiers

Un éditeur de gestionnaire de mots de passe soumis au Cloud Act américain reçoit une National Security Letter visant un dossier transfrontalier sensible (arbitrage international, M&A) traité par le cabinet. L'éditeur, technique en clair côté serveur, peut être contraint de livrer les secrets. Le cabinet n'en est pas informé. Le secret professionnel est violé à son insu, en dehors de toute décision d'un juge français.

Scénario 3

Breach SaaS et fuite massive

Une violation de données chez un éditeur de gestionnaire grand public expose les coffres chiffrés et les métadonnées. Quand l'éditeur ne pratique pas un zero-knowledge strict ou que la dérivation de clé est faible, des attaquants disposant de moyens offensifs significatifs peuvent reconstituer une partie des secrets en mois ou années. La traçabilité opposable de qui a accédé à quoi devient critique.

Scénario 4

Rançongiciel et perte de continuité

Un rançongiciel chiffre les fichiers du cabinet. Le coffre de mots de passe « maison » (tableur partagé, KeePass local non sauvegardé hors site) est perdu avec le reste. Le cabinet ne peut plus se reconnecter aux portails ordinaux ni aux plateformes judiciaires pendant plusieurs jours. Conséquences : dossiers en souffrance, audiences manquées, responsabilité professionnelle engagée.

03 / La réponse Aegirex

Six briques techniques tenant devant le juge.

Plutôt qu'une promesse commerciale, six garanties techniques vérifiables : chacune peut être contrôlée par votre prestataire IT, votre RSSI ou un auditeur PASSI mandaté avant tout déploiement.

Zero-knowledge OpenPGP.js v6

Chiffrement côté client avec dérivation Argon2id (RFC 9106) du mot de passe maître. Les clés privées ne quittent jamais le navigateur de l'avocat. Une réquisition adressée à Aegirex ne pourrait livrer que des données chiffrées strictement illisibles.

Audit chain HMAC-SHA-256

Chaque accès, partage, révocation est scellé et chaîné cryptographiquement. Une falsification rétroactive de l'historique est détectable par une commande CLI publique de contrôle de la chaîne d'audit. Convention de preuve activable pour un contrôle ordinal.

Hébergement France · bunker Paris

Trois zones de disponibilité en région parisienne, opérateur français, juridiction française exclusive. Aucun sous-traitant soumis au Cloud Act dans le chemin de données. DPA standardisé inclus dès le plan Business.

Code AGPLv3 intégralement auditable

Le code source complet est publié sur GitHub, y compris les fonctionnalités payantes. Un whitepaper cryptographique détaille AES-256-GCM, Argon2id et HMAC-SHA-256. Auto-hébergement possible à coût licence nul.

Multi-organisation à compte-pivot

Un même utilisateur peut appartenir à plusieurs organisations sans mélanger les secrets : une organisation par associé, par département (IP, M&A, contentieux), ou par client sensible. Cloisonnement strict, facturation portée par l'organisation.

RBAC 6 rôles et partage chiffré E2E

Six rôles natifs (owner, admin, manager, member, viewer, guest). Le partage d'un secret avec un confrère ou un correspondant étranger se fait par re-chiffrement vers sa clé OpenPGP, sans passage par e-mail en clair.

04 / Conformité métier

Pensé pour la déontologie de l'avocat.

Au-delà de la sécurité technique, le coffre doit s'inscrire dans la pratique réelle du cabinet : contrôles ordinaux, accès aux plateformes judiciaires, partage avec un confrère, mobilité du collaborateur. Quatre axes de conformité dédiés à la profession.

Article 66-5 garanti techniquement

Le secret professionnel n'est pas affirmé contractuellement, il est impossible à enfreindre par construction. L'éditeur ne possède aucune clé permettant de lire les secrets : la garantie est cryptographique, opposable au juge comme au bâtonnier.

Aligné guide CNB cybersécurité 2023

Mots de passe forts, 2FA inclus, partage chiffré, gestion centralisée des entrées et sorties, journalisation des accès : chaque recommandation du guide ordinal trouve une réponse native dans Aegirex, sans options payantes additionnelles.

e-Barreau, Telerecours, Portalis

Stockage et partage chiffré des identifiants des plateformes officielles (e-Barreau, Telerecours, Comci, Portalis), des registres (BODACC, INPI, RCS, registres ordinaux) et des services de signature électronique. Aegirex ne touche pas au canal RPVA lui-même.

Export d'audit signé pour contrôle ordinal

En cas de contrôle ordinal ou de procédure disciplinaire, l'export d'audit chain signé fait foi de qui a accédé à quel secret, à quelle date et depuis quelle adresse IP. La vérification est indépendante et reproductible.

05 / Cas d'usage concret

Un cabinet de 8 collaborateurs.

Profil : cabinet parisien spécialisé droit des affaires, deux associés, quatre collaborateurs salariés, deux secrétaires. Cent cinquante dossiers ouverts, dont une vingtaine en M&A à confidentialité renforcée.

Avant Aegirex

  • Tableur Excel chiffré sur le serveur de fichiers du cabinet, partagé en clair sur le réseau interne
  • Mot de passe maître transmis verbalement aux nouveaux collaborateurs
  • Pas de traçabilité des accès aux identifiants des plateformes officielles
  • Lors du départ d'un collaborateur, rotation manuelle partielle (les associés oublient des entrées)
  • Identifiants e-Barreau et Telerecours dupliqués dans plusieurs fichiers
  • Aucune réponse satisfaisante à la question « qui a accédé à quel dossier » en cas de contrôle

Avec Aegirex (plan Team à 4 €/siège/mois)

  • Coût annuel total : 384 €/an pour 8 sièges, sans engagement de durée
  • Une organisation par associé, partage ciblé avec ses propres collaborateurs uniquement
  • Dossiers M&A à confidentialité renforcée dans une organisation dédiée à accès restreint (rôle viewer pour les secrétaires, rôle member pour les collaborateurs)
  • Audit chain HMAC consultable à tout moment : qui, quoi, quand, depuis où
  • Révocation immédiate d'un collaborateur en un clic, journalisée et opposable
  • Identifiants e-Barreau, Telerecours et registres officiels stockés et partagés en chiffré bout en bout
  • SSO SAML 2.0 vers l'annuaire interne du cabinet (Microsoft, Google, ou IdP de votre choix), inclus dès le tier gratuit

Profil type. Pour un cabinet de cette taille, le déploiement Cloud : inscription, configuration SSO et import des premiers coffres en moins d'une heure. La courbe d'apprentissage des collaborateurs est de l'ordre de deux à trois jours. L'auto-hébergement AGPLv3 reste toujours possible si la sensibilité interne penche pour une infrastructure dédiée au cabinet ou hébergée chez un partenaire français qualifié.

06 / Aller plus loin

Approfondir les fondations techniques.

Quatre pages connexes pour vérifier point par point les affirmations de cette landing avant tout déploiement.

Verticales métiers

Vue d'ensemble des cinq secteurs prioritaires : ESN sécurité, avocats, santé, défense, OIV.

Sécurité & cryptographie

Whitepaper public : OpenPGP.js v6, Argon2id, AES-256-GCM, HMAC-SHA-256. Algorithmes documentés, choix justifiés.

Confiance & transparence

Engagements vérifiables, posture en cas de réquisition, calendrier des certifications visées.

Audit chain HMAC-SHA-256

Le détail technique de la chaîne d'audit vérifiable, opposable au bâtonnier comme au juge.

Coffre-fort secrets France

La page pilier souveraineté : hébergement Paris, juridiction française, alternatives au Cloud Act.
07 / FAQ dédiée avocats

Huit questions de bâtonniers et de DSI de cabinet.

Si votre question manque, écrivez-nous : un échange technique de 30 minutes avec un référent Aegirex suffit généralement à cadrer un POC.

Aegirex est-il compatible avec le RPVA et e-Barreau ?

Oui. Aegirex est un coffre-fort de secrets (mots de passe, certificats, jetons d'accès) et n'interfère pas avec le canal RPVA lui-même, qui repose sur la clé personnelle de l'avocat. En revanche, Aegirex stocke et partage de manière chiffrée les identifiants e-Barreau, Telerecours, Portalis, Comci, et tout autre accès aux plateformes officielles, dans le respect du secret professionnel. Aucune clé privée RPVA n'a vocation à transiter par le coffre : les bonnes pratiques imposent qu'elle reste sur le support cryptographique personnel de l'avocat.

Comment garantir le secret professionnel face à une réquisition judiciaire adressée à Aegirex ?

Le chiffrement OpenPGP.js v6 est exécuté côté client avec dérivation Argon2id du mot de passe maître. Aucune clé privée ne quitte le navigateur de l'avocat. Une réquisition adressée à Aegirex ne pourrait livrer que des données chiffrées, techniquement illisibles par nos équipes. C'est l'application stricte de la définition zero-knowledge, opposable au juge comme au bâtonnier. Notre posture publique en cas de réquisition est documentée sur la page Confiance.

Le Conseil National des Barreaux recommande-t-il les gestionnaires de mots de passe ?

Le guide cybersécurité publié par le Conseil National des Barreaux en octobre 2023 recommande explicitement aux cabinets d'avocats l'usage d'un gestionnaire de mots de passe dédié, en complément d'une politique d'authentification forte (2FA, longueur minimale, rotation contextuelle). Le choix de la solution reste à la charge du cabinet ; le guide insiste sur la nécessité d'une solution dont l'éditeur ne peut pas accéder aux secrets en clair. Aegirex se positionne comme une réponse française, souveraine et auditable à cette recommandation, sans prétendre à un label ordinal qui n'existe pas.

Quel modèle économique pour un petit cabinet de 3 à 8 avocats ?

Le plan Team à 4 €/siège/mois (annuel) couvre la quasi-totalité des cabinets indépendants : RBAC à 6 rôles, partage chiffré bout en bout, audit chain HMAC-SHA-256, SSO SAML 2.0 et 2FA inclus. Pour un cabinet de 5 avocats, le coût annuel s'établit autour de 240 €/an, sans engagement de durée. Le plan Free reste accessible à vie pour l'usage des indépendants et petites équipes (jusqu'à 3 utilisateurs). Au-delà de 50 sièges (cabinets multi-bureaux), le plan Business à 7 €/siège/mois ajoute SCIM 2.0, audit log 1 an et SLA 99,5 %.

L'audit chain est-il opposable lors d'un contrôle ordinal ?

Oui. Chaque accès, partage et révocation est scellé par HMAC-SHA-256 chaînée et horodatée. L'export d'audit, signé, permet de démontrer au bâtonnier ou à un juge d'instruction qui a accédé à quel secret, quand et depuis quelle IP. Une commande CLI publique de contrôle de la chaîne d'audit permet à un expert indépendant de vérifier son intégrité sans avoir à nous faire confiance. La logique sous-jacente est détaillée sur la page Audit chain HMAC-SHA-256.

Que se passe-t-il quand un collaborateur quitte le cabinet ?

La révocation d'un membre déclenche une réémission des clés de groupe pour les coffres concernés et journalise l'événement dans l'audit chain. Le collaborateur perd immédiatement l'accès en clair. Les éventuelles copies locales d'identifiants sont à traiter par votre politique de poste de travail (rotation forcée des mots de passe sensibles recommandée pour les accès très critiques ; fonctionnalité de rotation assistée prévue en V2). La traçabilité de la révocation est immédiatement disponible pour le bâtonnier en cas de contestation ultérieure.

Aegirex permet-il de cloisonner les dossiers par associé ou par client ?

Oui. Le modèle multi-organisation à compte-pivot permet à un même utilisateur d'appartenir à plusieurs organisations Aegirex sans mélanger les secrets : une organisation par associé, par département (IP, M&A, contentieux) ou par client sensible. Le RBAC à 6 rôles affine encore l'attribution des accès au sein de chaque organisation. Un secrétaire peut être viewer sur l'organisation contentieux et member sur la facturation, sans jamais voir les dossiers M&A confidentiels.

Le code source est-il vérifiable par notre prestataire IT ?

Oui. L'intégralité du code Aegirex est publiée sous licence AGPLv3 sur GitHub, y compris les fonctionnalités payantes (RBAC, SCIM, audit chain HMAC). Un whitepaper cryptographique détaille les choix d'algorithmes : OpenPGP.js v6, Argon2id (RFC 9106), AES-256-GCM, HMAC-SHA-256. Votre prestataire IT, votre RSSI ou un auditeur PASSI mandaté peut auditer la totalité du chemin avant tout déploiement, sans NDA. La page Sécurité détaille la posture cryptographique complète.

08 / Démarrer

Le secret professionnel,
garanti techniquement.

Créer le coffre d'un cabinet d'avocats prend moins d'une heure. Pas d'engagement, pas de carte bancaire pour le plan Free, pas de relance commerciale agressive sur le plan Team : juste un échange technique sur la pertinence de la solution pour la pratique réelle de votre cabinet.

Créer mon coffre · gratuit à vie Échanger sur votre cabinet
Secret professionnel garanti par construction (article 66-5 loi 71-1130)
Audit chain HMAC-SHA-256 opposable au bâtonnier comme au juge
Hébergement France, juridiction française, RGPD natif
Aligné guide cybersécurité du Conseil National des Barreaux 2023
Code AGPLv3 auditable, auto-hébergement possible à coût licence nul