Paul Vidonne, Directeur du LERTI, a diffusé dans le petit milieu de l’expertise judiciaire informatique un pavé dans la mare document qu’il m’a gentiment autorisé à publier ici (document pdf à télécharger ici).

Extrait :

Le petit monde de l’informatique légale est en ébullition à la suite de la décision du service des achats de la Direction des services judiciaires de la Chancellerie de mettre en œuvre le Rapport sur les frais de justice d’avril 2015 élaboré sous l’égide du Contrôle Général Économique et Financier (Ministère des Finances) et de l’Inspection Générale des Services Judiciaires (Ministère de la Justice).

Conçu dans l’optique de réduire les frais de Justice, ce rapport examine les secteurs des expertises informatiques, toxicologiques, de la traduction et de l’interprétariat dans le domaine pénal. La dépense représentée par cet ensemble est chiffrée à 95 millions d’euros, dont 5 tout au plus pour l’informatique.

L’informatique légale est traitée pages 15 et 16. L’objectif annoncé est celui de la mise en place de marchés publics, mais la réalisation de cet objectif se heurte immédiatement à des réserves qui tiennent à la méconnaissance de ce secteur d’activité, à l’atomisation de l’offre et à l’incertitude des gains à attendre. Dès lors, la recommandation pour ce domaine d’activité (n°4, page 16) est celle d’étudier la mise en place d’un tarif qui serait intégré au Code de procédure pénale.

Cette recommandation, qui apparaît comme une solution de repli, semble aujourd’hui abandonnée par la Direction des services judiciaires au profit du retour à l’objectif initial de la mise en place de marchés publics.

On ne peut que souscrire à cet abandon : le tarif réglementé est la pire des solutions dans ce domaine d’expertises complexes, où aucun profil-type d’expertise ne peut être réellement défini. Le tarif réglementé n’offre aucune garantie de qualité pour un prix administré donné et constitue dès lors un effet d’aubaine pour certains tandis qu’il pénalise lourdement ceux qui s’attachent à rendre des rapports de qualité ou qui sont confrontés à des expertises difficiles. Le tarif prend ainsi le risque de faire disparaître les pôles d’excellence.

Il faut donc comparer les deux seules solutions qui subsistent : celle du maintien de la situation actuelle, – éventuellement améliorée – et celle des marchés publics.

Cette analyse sera conduite à l’aide des concepts que nous offre la science économique : la situation actuelle se caractérise comme un marché de concurrence imparfaite tandis que la solution des marchés publics apparaît comme un monopsone étatique conduisant à une offre exsangue.

La suite est à lire dans le document que je vous recommande (rappel : téléchargeable ici).

Déclaration de partialité :

Paul Vidonne est professeur à l’Université Pierre Mendès France de Grenoble, où il a été nommé il y a plus de 30 ans. Parallèlement à son activité à l’université, il ouvre un cabinet d’expert en informatique. Il travaillera longtemps pour les milieux juridiques et judiciaires, et en particulier les barreaux d’avocats dont il a été le consultant de vingt-et-un d’entre eux, avant de diversifier son activité auprès des entreprises. Son cabinet se consacre à l’expertise informatique et l’établissement de la preuve informatique. Dans la ligné d’un Edmond Locard, il crée en 2004 le LERTI avec quatre autres experts judiciaires en informatique et un ancien gendarme de l’IRCGN (INL), tous convaincus que l’investigation informatique légale ou privée demandait aujourd’hui des moyens que seuls de véritables laboratoires pouvaient réunir.

Je n’ai aucun lien de travail avec Paul Vidonne, ni avec le LERTI, à part le fait que j’ai beaucoup d’admiration pour leurs compétences et leurs travaux. Cela influence nécessairement la suite de ce billet 😉

Paul Vidonne, dans son article, brosse un tableau que je trouve particulièrement juste de la situation de l’expertise judiciaire informatique française.

Extrait :

L’offre d’expertises judiciaires en informatique légale repose sur cinq ou six laboratoires, – dont trois publics – auxquels s’ajoutent quatre ou cinq dizaines d’experts privés inscrits sur les listes des cours d’appel. C’est peu et beaucoup à la fois.

Cette offre est totalement hétérogène.

Les laboratoires publics de la Gendarmerie et de la Police disposent d’équipements du plus haut niveau international, d’ingénieurs de grande compétence, de crédits relativement abondants et sont astreints à des missions de formation et de recherche qui ne leur laissent qu’un temps mesuré pour les expertises pénales. À eux tous, ils n’emploient que quelques dizaines de personnes seulement.

Les laboratoires privés sont des sociétés de type commercial qui emploient chacune moins d’une dizaine d’ingénieurs salariés ou d’experts sous contrat, disposent d’un équipement inférieur à celui des laboratoires publics – et, au demeurant, assez inégal entre eux – se consacrent en partie seulement ou en grande partie à l’expertise pénale. Ils travaillent pour des juridictions réparties dans tout l’espace national, y compris l’outre-mer. Le nombre d’expertise effectuée n’est pas rendu public, mais on peut l’estimer autour d’un ordre de grandeur d’une à deux centaines par année.

Les experts privés individuels sont dans des situations extrêmement variables, avec comme caractéristique commune d’effectuer leurs expertises en supplément d’une autre activité, comme le leur impose la loi : ils sont salariés ou cadres d’entreprises, fonctionnaires de l’enseignement ou de la recherche, retraités de la police de la gendarmerie ou de l’armée, professions libérales, auto entrepreneurs… Leur niveau de formation est très variable, leurs équipements modestes, voire quasi inexistants, leurs licences, peu nombreuses, ne sont pas toujours mises à jour, compte tenu de leur coût élevé rapporté au faible nombre d’expertises qu’ils réalisent. Pour la plupart, ils n’ont pas passé les qualifications attachées à ces licences. Certains travaillent dans les locaux ou avec les matériels de leurs employeurs. Tous n’adhèrent pas à une compagnie d’experts et certains ne sont pas assurés. Ce sont les experts dits « locaux » ou « de proximité » qui ne travaillent guère que pour leur cour d’appel. Sauf de rares exceptions, ils n’effectuent que quelques expertises par année, et, pour beaucoup, une ou deux seulement. Ceci n’empêche pas certains d’entre eux de réaliser des travaux de grande qualité.

Les prix pratiqués reflètent cette hétérogénéité. Les laboratoires publics ne sont évidemment pas gratuits. Nous ne savons pas s’il existe une comptabilité analytique qui permettrait de connaître le coût de leurs travaux, mais nous pouvons aisément conjecturer que ces prix sont largement plus élevés que ceux des laboratoires privés. L’illusion de gratuité n’affecte en effet que ceux qui méconnaissent l’existence de refacturations interministérielles ou l’existence d’un budget global de la Nation.

Les prix des laboratoires privés sont relativement homogènes et pour cause : salaires et charges sociales sont les mêmes pour toutes les entreprises.

Les prix pratiqués par des experts privés individuels sont à l’image de leur diversité, allant du simple au triple. Ils sont en général inférieurs à ceux des laboratoires privés. Un expert s’est même rendu célèbre en 2016 en annonçant qu’il effectuerait désormais ses expertises gratuitement. Effectivement, sa situation particulière le lui permet.

Vous l’aurez compris, je pense être cet expert dont parle Paul Vidonne en fin d’extrait, car il semble faire référence à ce billet où j’annonçais la gratuité de mes interventions au titre des demandes pénales (0 demande à aujourd’hui ;-).

Le découpage est très clair, et je me retrouve très bien dans la catégorie « expert local », sous catégorie « cadre d’entreprise », équipement modeste, licences opensources, travaillant chez moi, non inscrit à une compagnie d’experts de justice, assuré (très cher) à titre individuel sous le statut auto entrepreneur.

Je suis donc un artisan de l’expertise judiciaire informatique.

Et comme tous les artisans, il me faut rester lucide sur mes capacités. Je ne peux pas rivaliser avec les moyens techniques des grosses structures (étatiques ou privées). J’ai souvent parlé sur ce blog d’anecdotes d’expertise où je privilégie un élément technique particulier, alors que la majorité des expertises que je mène relève plus d’un avis sur l’état de l’art dans tel ou tel sous domaine de l’informatique. Je l’ai souvent répété, je ne suis pas un spécialiste (ni en sécurité informatique, ni en développement web, ni en programmation) mais un généraliste de l’informatique. Pour autant, à chaque mission, on me demande mon avis sur un point très précis, qui peut relever de n’importe quel sous domaine de l’informatique. Suis-je légitime pour donner cet avis ? Franchement, je pense que oui, dès lors que je travaille suffisamment la question avec les spécialistes.

Mais l’artisanat est en voie de disparition : trop cher, trop fragile, trop lent, trop petit. Ainsi va notre monde, où je suis le premier à préférer faire mes courses sur internet.

C’est en faisant ce constat, que j’ai refusé toutes les missions qui m’étaient proposées sur la téléphonie mobile, qui demande des compétences et des moyens logiciels et matériels dont je ne dispose pas et qui ne me sont pas demandés par mon employeur. Je reste donc sur le créneau informatique, informatique qui s’est répandue dans toutes les couches de la société, mais où des structures d’informatique légale plus grosses se sont implantées, et où les OPJ et les huissiers se sont formés.

Mes compétences techniques sont de moins en moins demandées.

Je vais constater (avec sérénité) la disparition de l’expertise technique locale artisanale et évoluer vers une expertise ressemblant plus à du conseil critique auprès des avocats et des magistrats. C’est un choix que j’ai fait il y a quelques années.

L’article de Paul Vidonne me montre que cette évolution est inéluctable et qu’il va falloir que je me remette encore plus en cause. N’est-ce pas le cas pour tout le monde ?

Et un jour je jetterai l’éponge.

Au début du mois de décembre, j’ai été contacté par le journaliste Louis Adam qui m’a proposé de répondre à quelques questions sur mes activités d’expert judiciaire. L’interview est parue en ligne sur ZDNet.fr (avec un titre choc 😉, et je retranscris ici avec l’aimable autorisation de Louis Adam, mes réponses intégrales.

Bonjour M. Adam,

Tout d’abord, il faut que j’insiste sur une chose : je suis un tout petit expert de province, et je ne représente en aucune façon à moi tout seul l’activité des experts judiciaires. J’ai simplement usé de ma liberté de pouvoir prendre la parole (écrite) en ouvrant un blog, ce qui m’a mis à dos un grand nombre de personnes dans ce petit monde clos. Je ne représente rien d’autre que moi-même, et les réponses que je vais essayer de faire à vos questions n’ont pas la prétention d’être pertinentes (je n’ai pas accès aux statistiques des compagnies d’experts, ni à celles de l’administration judiciaire). Pour pouvoir garder ma liberté de parole (et d’action), je ne suis plus maintenant adhérent à aucune compagnie d’experts.

Questions:

En quoi consiste concrètement votre rôle d’expert judiciaire ? Quels type d’opérations êtes vous amenés à réaliser pour les magistrats ?

Pour pouvoir juger, les magistrats ont parfois besoin de demander l’avis d’une personne sur un point technique qu’ils ne maîtrisent pas. Pour éviter de contacter n’importe qui, une sélection de personnes est faite parmi des candidatures volontaires. Les personnes retenues sont inscrites sur un annuaire géré au niveau des cours d’appel (et de la cour de cassation). Les personnes inscrites sur cet annuaire ont le droit d’utiliser le titre d’ « expert judiciaire près la cour d’appel de XXX ». Concrètement, je suis contacté par écrit par un magistrat qui me demande de faire un certain nombre de choses et de répondre à un certain nombre de questions. Il s’agit des missions qu’il me confie. Si je les accepte, j’ai un certain délai pour y répondre dans un document appelé « rapport d’expert ». Selon les différents types de dossiers, les procédures sont différentes: au pénal, je travaillerai par exemple pour un juge d’instruction, ou pour un officier de police judiciaire sous l’autorité d’un procureur. En matière civile et commerciale, la procédure est contradictoire, et je dois convoquer une réunion avec toutes les parties pour étudier devant elles toutes les pièces, mener toutes mes investigations, répondre à toutes leurs questions, pour finir par déposer mon rapport au juge, avec copie aux parties.

Je suis inscrit sur la liste des experts judiciaires de ma cour d’appel depuis 1999. J’ai eu à traiter des dossiers de recherches d’images et de films pédopornographiques, des litiges entre entreprises, ou entre un particulier et une entreprise, de la contrefaçon de logiciels, des litiges aux prud’hommes, etc.

Dans quels types d’affaires êtes vous confrontés à des entreprises ?

Tout type de dossiers dans lesquels l’informatique peut intervenir de près ou de loin.

Cela va d’un problème de pertes de données suite à un dysfonctionnement de serveur et de sauvegardes (cf le billet « le dernier maillon« ), en passant par le classique problème de (ré)informatisation ratée où l’on retrouvera le triptyque « entreprise/société de service/éditeur » comme par exemple dans la série de huit billets « Une histoire simple et banale« .

Quelle est l’attitude des entreprises face à vous ? Est-ce que vous êtes vu comme l’inspecteur des travaux finis ? Est-ce que les informaticiens des entreprises vous voient comme un ennemi, un allié, ou cela varie selon les affaires?

L’attitude des personnes est très dépendante du dossier, des participants et de l’avis que je vais prendre pendant le déroulé de l’expertise. J’ai pour habitude de commencer toutes mes expertises contradictoires en expliquant à toutes les parties mon rôle, et en lisant devant elles les questions qui me sont posées et l’interdiction que j’ai de sortir de ce rôle. Je ne suis ni un ennemi, ni un allié, ni une partie prenante dans le problème, ni même dans sa solution. Je suis l’expert désigné par le juge qui va décider des suites judiciaires à donner au litige en cours. Je me fais expliquer le(s) problème(s) en détail jusqu’à ce que je puisse répondre à l’ensemble des questions qui me sont posées. Cela peut prendre plusieurs réunions (en général d’une journée). La tension monte quand je commence à donner mon avis, et cela déclenche parfois des comportements agressifs. Je dois alors rester dans mon rôle et ne pas céder aux provocations qui peuvent m’être faites. Je suis un informaticien généraliste (comme un médecin généraliste) et donc je n’ai pas honte de me faire expliquer en détail une partie très spécialisée de l’informatique si elle intervient dans le sujet de l’expertise qui m’est demandé. Certains informaticiens spécialistes (en sécurité, en informatique bancaire, en développement basé sur une méthode particulière, etc.) peuvent me voir alors comme n’étant pas à leur hauteur, ce qui est le cas (puisque je ne suis pas spécialiste dans leur domaine).

Dans un cas de litige entre un prestataire et un client, qu’est ce qui va compter le plus dans votre interprétation des faits : le contrat, les bonnes pratiques, ou tout un ensemble de facteurs ?

Le contrat est un document juridique. C’est donc le terrain des experts en droit que sont les avocats. Je vais m’y intéresser mais je ne suis pas sur mon terrain d’expertise. Je suis plus concerné par les méthodes de gestion de projet mises en place, par les bonnes pratiques et par l’état de l’art (ce sont les questions du magistrats qui me guident sur ces terrains, ce qui est normal). Le prestataire a-t-il mis en place la possibilité technique d’un retour arrière en cas de problème, des sauvegardes de l’état initial, etc. ? Ce qui va compter le plus pour moi, ce sont les questions du magistrat…

Est-ce que vous avez déjà été confrontés à des entreprises faisant preuve de mauvaise volonté à votre égard ?

Oui, mais sans que je puisse trouver de règles universelles expliquant cela. C’est souvent une question de comportement humain: tel gérant va considérer que je ne suis pas assez de son avis et s’emporter, telle entreprise va snober la réunion, tel avocat va envoyer 50 pages de questions quelques heures avant la fin du délai imparti…

Et des bons élèves ?

Oui, avec le même constat, car il s’agit de rapports humains. Certaines personnes comprennent l’intérêt qu’elles ont à contribuer efficacement au travail de l’expert, même si là aussi il faut se méfier des bonnes intentions…

Comment est-ce que vous parvenez à garder une certaine neutralité dans ce cadre ? En se tenant strictement aux missions qui vous sont confiés ?

Lors de l’inscription sur la liste des experts judiciaires, nous prêtons le serment suivant : « Je jure d’apporter mon concours à la Justice, d’accomplir ma mission, de faire mon rapport, et de donner mon avis en mon honneur et en ma conscience ». C’est à mes yeux un point important qui doit guider tout mon travail. Je dois donner mon avis « en mon honneur et en ma conscience ». Je dois répondre exclusivement aux questions qui me sont posées. Je dois faire abstraction des animosités qui ont pu me viser ou me blesser pendant l’expertise. Je dois adopter une vision scientifique de mes missions, un raisonnement argumenté. Je dois savoir écrire « je ne sais pas », même si cela peut me valoir de ne plus être désigné par ce magistrat. J’applique pour cela une technique de management connue basée sur 5 points, qui s’appellent les 5 accords toltèques :

– que votre parole soit impeccable

– quoiqu’il arrive, n’en faites pas une affaire personnelle

– ne faites pas de suppositions

– faites toujours de votre mieux

– soyez sceptique, mais apprenez à écouter

J’en parle dans ce billet intitulé « l’expert judiciaire et les accords toltèques« .

J’imagine que vos interventions nécessitent une connaissance de l’état de l’art sur le sujet auquel vous êtes confronté, comment est-ce que vous vous maintenez à jour sur l’évolution des bonnes pratiques informatiques ?

Être expert judiciaire n’est pas une profession, c’est une activité annexe à une profession. Pour ma part, je suis directeur informatique et technique dans une école privée d’ingénieurs, ce qui me demande d’être en veille permanente sur toutes les techniques qui font parties de mon activité : matériels, logiciels, méthodes de travail, bonnes pratiques, échanges sur l’état de l’art, formation continue, etc. Je participe à (et j’anime) des réseaux professionnels d’échanges sur les bonnes pratiques. Je participe également à des conférences où j’apprends beaucoup de choses. L’activité d’expert judiciaire demande néanmoins de se former à certains domaines : comptabilité d’une activité d’autoentrepreneur, déclarations fiscales, assurances en responsabilité civile, compréhension du fonctionnement de l’administration judiciaire (procédures, logiciels CHORUS) et bien sur à la maîtrise des procédures et du droit concernant les expertises. Pour cela, il faut suivre des formations régulièrement, formations qui sont indiquées dans le dossier de renouvellement de la demande d’inscription sur la liste des experts judiciaires (tous les cinq ans). J’ai la chance d’être marié à une avocate qui peut me former, répondre à mes questions et m’orienter dans l’univers complexe du Droit.

Aujourd’hui, vous êtes fréquemment amenés à intervenir dans le cadre de litiges dans le cadre des prud’hommes ?

Tout dépend de ce que vous entendez par « fréquemment ». Mais oui, j’interviens dans ce type de dossiers, de trois manières différentes : soit à la demande d’un magistrat prud’homal, soit comme expert privé de l’entreprise, soit comme expert privé du (ou des) salarié(s).

Quels sont les principales affaires que vous êtes amenés à traiter dans ce cadre ?

Il s’agit souvent de répondre à la question de savoir si le salarié est parti avec des données appartenant à l’entreprise (fichiers clients, formules de calculs, plans, etc.) pour les exploiter chez un concurrent. J’ai aussi beaucoup d’affaires où l’équipement informatique a servi à autres choses que son objectif initial (pédopornographie, vols de données, contrefaçons, piratages…). Et parfois, c’est surprenant comme dans le billet « Le plein de pr0n » ou dans celui intitulé « Watching you« . Parfois, c’est moins drôle comme dans « L’interrogatoire« .

Est-ce que vous constatez une recrudescence du recours à l’expert judiciaire dans le cadre de litiges entre direction et employés ?

La justice française dispose de moyens financiers très limités, parmi les plus bas d’Europe. L’expertise judiciaire coûtant cher, je constate qu’elle est de moins en moins demandée. Par contre, je suis de plus en plus sollicité pour réaliser des expertises privées, c’est-à-dire des expertises pour l’une des parties. Ma spécialité : faire une analyse critique du rapport d’expertise informatique d’un confrère pour y déceler les éventuelles anomalies et permettre à l’avocat de rédiger des dires (des questions à expert) efficaces. Mes clients sont essentiellement des avocats qui recherchent pour leur client un expert indépendant des compagnies d’experts judiciaires. Lorsqu’une entreprise fait directement appel à mes services, je lui propose de travailler conjointement avec son avocat, de manière à être plus efficace. De ce point de vue, oui, je constate une recrudescence du recours à l’expert judiciaire mais dans le cadre de missions privées.

Bien à vous,

Zythom

Maître Eolas m’a fait l’honneur de me choisir comme expert informatique afin de mener une expertise privée dans l’affaire qui l’oppose à l’association IPJ. Il y a entre Maître Eolas et moi nuls liens d’amitié comme entre Montaigne et La Boétie, mais
un solide respect, teinté de ma part d’une admiration sincère pour son
intelligence et sa vivacité d’esprit. Ce respect justifie que l’on puisse mener ensemble un travail de façon professionnelle, et ne m’a pas empêché de rédiger un rapport objectif et scientifique sur les questions qui m’ont été posées (ce qui a d’ailleurs été relevé par les parties du procès). Bien sur, ce travail étant demandé par une seule des parties (c’est le principe d’une expertise privée), il a fait l’objet de critiques et de suspicions de la partie adverse, ce qui a été débattu publiquement lors des différents procès (1ère instance puis appel).

J’ai assisté à la dernière étape (en date) du procès Eolas vs IPJ qui a eu lieu hier, à la Cour d’Appel de Versailles, assis simplement sur les bancs du public. Je voulais montrer concrètement à Maître Eolas mon soutien dans l’épreuve qui lui était infligée, indépendamment du travail que j’avais eu à faire pour lui. Comme je l’indiquais sur Twitter, c’est quand ils sont dans la merde, enfin dans le besoin, qu’il faut soutenir les gens qu’on apprécie.

Pour autant, je ne souhaite pas utiliser ce blog à chaud sur des affaires en cours auxquelles je participe, je m’en suis déjà expliqué et tout le monde comprendra. Vous ne trouverez donc ici aucune analyse, ni prise de position, ni avis personnel.

Je signale simplement à mes lecteurs un compte-rendu succinct d’audience réalisé par Rémi Flamant sur le site « épris de justice » (que tout curieux du fonctionnement de la justice devrait mettre dans son agrégateur de flux RSS 😉 : https://www.epris-de-justice.info/est-ce-que-lon-peut-imaginer-que-maitre-eolas-setait-torche-avec-une-association/

J’encourage également tous mes lecteurs à pousser la porte des tribunaux pour assister régulièrement aux audiences, et pas seulement à celles qui font la une des journaux. C’est passionnant.

J’invite aussi tous les experts qui me lisent à assister aux procès où leurs rapports sont débattus (quand ils ne sont pas cités comme témoin). C’est très instructif (et stressant). Le travail des avocats est extraordinaire, tant ceux qui attaquent votre travail, que ceux qui le mettent en avant.

Dans ma prochaine vie, je veux être avocat.