Comment les avocats peuvent protéger les documents privilégiés de leurs clients sur iPhone

TL;DR

AppVault est un coffre-fort iPhone local uniquement conçu pour les avocats qui stockent des documents privilégiés de clients sur leur appareil personnel. Il utilise un chiffrement AES‑256‑GCM avec des clés dérivées via PBKDF2‑SHA256 à 600 000 itérations et protégées par le Secure Enclave de l’iPhone. Pas de serveur, pas de compte, pas de télémétrie – rien n’existe dans une chaîne de découverte en dehors de l’appareil lui‑même. Un Coffre Leurre propose un second catalogue de coffre mathématiquement indépendant derrière un motif 5×5 distinct, pertinent dans les scénarios de déchiffrement forcé. L’appareil est livré avec une calculatrice iOS entièrement fonctionnelle comme icône principale, avec un appui long sur la touche égale pour accéder au coffre.

Le problème du secret dans votre iPhone

L’iPhone d’un avocat est une responsabilité. Non pas parce que l’appareil est par défaut peu sécurisé, mais parce que l’album photo est une archive plate, consultable, défilable de tout ce que l’avocat a photographié dans le cadre de son activité. Un contrat signé pris en photo dans un café. Un tableau blanc lors d’un rendez‑vous client. Une capture d’écran d’un SMS contenant une stratégie. La photo d’un document remis lors d’une revue de pièces.

Aucun de ces fichiers n’est protégé par le secret professionnel simplement parce qu’il est chiffré. Ils le sont en raison de la relation et du contexte dans lesquels ils ont été créés. Mais le secret peut être levé – et l’une des façons de le lever est une conservation négligente. Si la partie adverse obtient l’accès à l’appareil et découvre des confidences de client dans l’application Photos sans chiffrement, l’argument selon lequel l’avocat a pris des mesures raisonnables pour les protéger devient difficile à tenir.

L’obligation appartient au client. La défaillance appartient à l’avocat.

Ce que la protection des préparations de procès exige de votre appareil

La protection des préparations de procès – équivalente en droit français à la protection des documents préparés en vue d’un litige – s’applique aux matériaux élaborés en prévision d’un contentieux. Comme le secret professionnel, ce n’est pas une règle technologique : c’est une protection juridique que des pratiques négligentes peuvent éroder.

Cette protection interagit avec les appareils mobiles de manière spécifique. Les avocats photographient régulièrement des documents, pièces et preuves lors de dépositions, visites de sites et réunions clients. Ces photos atterrissent dans le même album photo que les clichés familiaux et les captures de menus de restaurant. Aucune séparation. Aucun contrôle d’accès. Quiconque tient le téléphone et connaît le code d’accès peut tout voir.

Une application de coffre apporte une séparation. Mais tous les coffres ne se valent pas du point de vue de la découverte juridique.

Pourquoi une architecture locale uniquement change le calcul de la découverte

La plupart des applications « sécurisées » de l’App Store se synchronisent avec un serveur cloud. L’utilisateur paie un abonnement, les fichiers sont téléchargés, et l’entreprise les stocke – parfois chiffrés, parfois non, parfois avec des clés que l’entreprise détient. D’un point de vue de la découverte, cela crée une cible supplémentaire. Une assignation servie au fournisseur cloud peut contraindre la production de métadonnées, de journaux d’accès et, dans certains cas, des fichiers eux‑mêmes.

AppVault n’effectue aucun appel réseau par défaut. Pas de serveur. Pas de compte. Aucune infrastructure tierce qui pourrait être assignée, piratée ou visée par une lettre de sécurité nationale. Les fichiers chiffrés n’existent que sur l’appareil.

Ce n’est pas une distinction marginale. C’est la différence entre une chaîne de découverte qui s’arrête à l’iPhone et une chaîne qui s’étend jusqu’au centre de données d’un fournisseur cloud dans une autre juridiction.

Pour les avocats exerçant sous le RGPD, la distinction est encore plus concrète. L’article 48 du règlement interdit les transferts de données personnelles aux autorités de pays tiers sauf conditions spécifiques. Un coffre qui ne quitte jamais l’appareil ne déclenche jamais la question du transfert. La page complète architecture zéro connaissance explique ce que signifie concrètement l’absence de serveur d’AppVault.

Un chiffrement qui résiste à l’examen

AppVault chiffre chaque fichier avec AES‑256‑GCM (mode Galois/Counter), avec un nonce unique de 96 bits par fichier. AES‑256 est spécifié dans NIST FIPS 197 ; le mode GCM est défini dans NIST SP 800‑38D. La clé de chiffrement est dérivée du motif 5×5 de l’utilisateur via PBKDF2‑SHA256 à 600 000 itérations avec un sel de 128 bits par installation – la recommandation OWASP 2026 pour la dérivation de clé basée sur un mot de passe.

Le résultat de PBKDF2 est ensuite protégé par une clé générée à l’intérieur du Secure Enclave de l’iPhone. Cette clé ne quitte jamais la puce. Sans l’iPhone spécifique qui l’a créée, il est infaisable de déprotéger le matériau clé.

Cela importe pour les avocats parce que le chiffrement n’est pas une allégation marketing – c’est une pile spécifique, vérifiable, avec des citations de sources primaires. Si un tribunal demande quelles mesures ont été prises pour protéger les confidences des clients, « nous avons utilisé une application au chiffrement de qualité militaire » n’est pas une réponse. « Nous avons utilisé AES‑256‑GCM avec PBKDF2 à 600 000 itérations et un enveloppement de clé Secure Enclave, et voici les spécifications NIST » est une réponse.

Capture sécurisée lors de la prise en charge client

La prise en charge client est l’un des moments les plus risqués pour l’exposition du secret professionnel. Un nouveau client remet des documents. L’avocat les photographie. Les photos restent dans l’album photo jusqu’à ce que l’avocat pense à les déplacer – ce qui signifie souvent qu’elles y restent indéfiniment.

Le workflow de capture d’AppVault est conçu pour ce moment. Un avocat peut photographier un contrat signé, une pièce d’identité ou une pièce de procédure et la déplacer directement dans le coffre dans la même session. Le fichier est chiffré au repos avec AES‑256‑GCM avant que l’application ne revienne à l’écran d’accueil. L’album photo ne conserve jamais l’original non chiffré.

Pour les collaborateurs et assistants juridiques qui gèrent les prises en charge à l’accueil, le système de verrouillage par motif permet d’accéder au coffre par un geste rapide sur la grille 5×5 – plus rapide que de taper un mot de passe, et sans que le mot de passe soit visible pour une personne à proximité.

Le problème de l’iPad partagé au cabinet

Les petits cabinets et les avocats en solo partagent souvent des iPads entre collègues. Une standardiste utilise le même appareil qu’un assistant juridique. Un associé tend l’iPad à un client pour signer un document. L’application Photos de cet appareil partagé peut contenir des photos de prises en charge, des contrats signés et des captures d’écran liées à plusieurs dossiers.

Sans coffre, le contrôle d’accès sur cet iPad est binaire : soit quelqu’un connaît le code d’accès de l’appareil et peut tout voir, soit non. Il n’y a pas de juste milieu. Une application de coffre avec un motif distinct crée une deuxième couche. Le code d’accès partagé de l’iPad mène à l’écran d’accueil. Le motif du coffre mène aux documents privilégiés. Différents membres du personnel peuvent avoir des accès différents sans partager un seul mot de passe.

Ce n’est pas un problème théorique. Les barreaux ont émis des avis déontologiques sur l’obligation de protéger les confidences des clients sur les appareils partagés. L’obligation ne change pas parce que le cabinet est petit.

Coffre Leurre et déchiffrement forcé

La question du déchiffrement forcé est l’un des domaines les plus incertains du droit. En France, le Code de procédure pénale et la jurisprudence de la Cour de cassation traitent de l’obligation de remettre un code d’accès, mais la situation varie. Dans certaines affaires, la Cour a jugé que forcer le déverrouillage peut violer le droit de ne pas s’auto‑incriminer, tandis que d’autres décisions ont imposé la communication du mot de passe sur le fondement de la loi sur le renseignement.

AppVault intègre un Coffre Leurre pour cette incertitude. Un second motif 5×5 ouvre un catalogue de coffre totalement indépendant – mathématiquement distinct du coffre principal, sans matériau clé partagé, sans métadonnées liées, et aucun moyen de prouver l’existence d’un second coffre. Le coffre leurre n’est pas un dossier caché. C’est un catalogue chiffré séparé qui apparaît, de l’extérieur, comme le seul coffre de l’appareil.

Cette fonctionnalité est pertinente dans plusieurs scénarios au‑delà de la défense pénale : les inspections douanières à Roissy, la saisie de l’appareil dans le cadre d’une instruction, les situations où un avocat voyage dans une juridiction avec des exigences de déchiffrement agressives. Le coffre leurre ne résout pas la question juridique – aucune application ne le peut – mais il modifie le paysage factuel de manière à offrir des options à l’avocat.

Ce contre quoi AppVault ne protège pas

L’honnêteté sur les limites est un principe de conception, pas un oubli. AppVault ne protège pas contre :

• Un avocat qui écrit le motif sur un post‑it collé à son iPhone. Le coffre n’est aussi solide que la sécurité opérationnelle qui l’entoure.
• Un déverrouillage biométrique forcé dans une juridiction qui le permet. Si un tribunal ordonne à l’avocat de poser son doigt sur le capteur Touch ID, le coffre s’ouvre. Le Coffre Leurre atténue cela seulement si l’avocat a configuré un motif leurre.
• L’extraction physique par un outil médico‑légal exploitant une vulnérabilité connue. Si l’iPhone lui‑même est vulnérable à une attaque bootrom (comme checkm8 sur les puces A5‑A11), les données chiffrées du coffre peuvent être extraites et attaquées hors ligne. Le chiffrement d’AppVault rend ces attaques coûteuses, mais pas impossibles face à un adversaire doté de moyens suffisants.
• Les habitudes de sauvegarde personnelles de l’avocat. Si l’avocat sauvegarde son iPhone sur un ordinateur par une sauvegarde iTunes non chiffrée, le blob chiffré du coffre se trouve dans cette sauvegarde – mais tout le reste aussi. La sauvegarde iCloud optionnelle d’AppVault utilise une clé par appareil distincte pour qu’Apple ne reçoive que du texte chiffré, mais cette protection ne s’étend pas aux sauvegardes locales non chiffrées.

La page complète modèle de menace détaille ce contre quoi AppVault se défend et ce qu’il ne défend pas.

En quoi AppVault diffère des coffres synchronisés dans le cloud

Les applications de coffre les plus installées dans la catégorie sont des produits cloud‑first : les données ou les métadonnées des fichiers résident sur les serveurs du fournisseur, l’inscription est obligatoire, et certaines embarquent des SDK d’analyse qui transmettent des données d’utilisation hors de l’appareil. D’un point de vue du secret professionnel et de la découverte, chacun de ces systèmes est un point distinct de procédure juridique. Les pages comparatives dédiées AppVault contre Keepsafe et AppVault contre Vaultaire détaillent les différences architecturales spécifiques pour chaque concurrent nommé.

L’architecture d’AppVault est l’opposé. Pas de compte. Pas de serveurs. Pas de SDK. Aucun appel réseau. Les fichiers chiffrés existent sur l’iPhone et nulle part ailleurs, sauf si l’utilisateur les exporte explicitement.

Pour les avocats qui évaluent des applications de coffre, la question n’est pas « quelle application a la meilleure interface ». La question est : si ce fournisseur reçoit une assignation demain, que doit‑il produire ? Avec AppVault, la réponse est rien – car il n’y a aucune infrastructure du fournisseur contenant les données des clients.

Les pages AppVault contre Keepsafe et AppVault contre Vaultaire détaillent ces différences architecturales.

Lanceur Calculatrice : discrétion pratique

AppVault est livré avec une calculatrice iOS entièrement fonctionnelle comme icône principale. La calculatrice fonctionne – elle effectue des opérations, respecte l’ordre des opérations et se comporte exactement comme l’application Calculatrice intégrée d’iOS. Un appui long sur la touche égale ouvre le coffre chiffré.

Ce n’est pas un déguisement. C’est une icône alternative pleinement fonctionnelle qui respecte la directive Apple 4.3. La calculatrice ne prétend pas être autre chose que ce qu’elle est. C’est une calculatrice qui offre aussi un accès à un coffre par un geste intentionnel.

Pour les avocats, la valeur pratique est la discrétion dans les situations anodines. Un téléphone prêté. Un écran partagé pendant une réunion. Un appareil donné à quelqu’un pour prendre une photo de groupe. L’icône de calculatrice n’indique pas qu’un coffre existe. La page Lanceur Calculatrice couvre l’implémentation.

Configuration et récupération

AppVault génère une phrase de récupération écrite facultative lors de la configuration initiale. C’est le seul mécanisme de récupération. Pas de réinitialisation de mot de passe. Aucun canal d’assistance permettant de déverrouiller le coffre. Si le motif est oublié et la phrase de récupération perdue, le coffre reste définitivement scellé.

C’est une fonctionnalité pour les avocats, pas une limitation. Un coffre qui peut être réinitialisé par le fournisseur est un coffre qui peut être réinitialisé par une ordonnance judiciaire visant le fournisseur. Un coffre sans mécanisme de récupération extérieur au contrôle de l’utilisateur est un coffre qui garde son contenu scellé, quoi qu’il arrive à l’entreprise.

La recommandation est simple : notez la phrase de récupération, conservez‑la dans un endroit physique distinct (un coffre, un tiroir fermé à clé, le système de gestion documentaire du cabinet) et traitez‑la avec autant de soin que tout autre document privilégié.

L’essentiel pour les professionnels du droit

Le secret professionnel de l’avocat n’est pas un problème technologique, mais la technologie peut le rendre plus difficile à protéger. Un album photo plat sans contrôle d’accès, sans chiffrement, sans séparation entre fichiers personnels et professionnels est une levée de secret en puissance.

AppVault ne résout pas le problème du secret professionnel. Seuls le jugement juridique, la pratique éthique et une sécurité opérationnelle raisonnable le résolvent. Ce qu’AppVault fait, c’est supprimer le mode de défaillance le plus courant : des documents privilégiés stockés sans chiffrement sur un appareil que quiconque connaissant le code d’accès peut parcourir.

Chiffrement AES‑256‑GCM. PBKDF2 à 600 000 itérations. Protégé par Secure Enclave. Aucun serveur. Aucun compte. Aucune télémétrie. Un Coffre Leurre pour les situations de saisie. Un Lanceur Calculatrice pour la discrétion. Un verrouillage par motif qui s’ouvre en deux secondes et que personne à proximité ne peut observer.

Les fichiers restent sur l’iPhone. Les clés restent sur l’iPhone. Rien d’autre n’existe.