09 mai 2018

RGPD : une FAQ pour comprendre l'essentiel en quelques minutes

Actualités législatives

En complément des outils déjà mis à votre disposition, le Conseil national des barreaux a développé une foire aux questions pour vous éclairer sur le nouveau règlement général de protection des données (RGPD).

1. Les avocats sont-ils soumis aux dispositions du RGPD ?

Oui. Le RGPD ne s’applique pas spécifiquement aux avocats mais à toute personne qui est amenée à traiter des données personnelles ce qui inclut les avocats. La protection des données « sensibles » dont l’avocat a connaissance est inhérente au lien de confiance unissant l’avocat à son client et au respect de ses obligations déontologiques, plus particulièrement celles du secret professionnel.

2. Quelles sont les principales mesures imposées par le RGPD ?

  • Intégrer les concepts de protection des données dès la conception de nouveaux produits ou services et par défaut. Lorsque l’avocat fait évoluer ses pratiques, il doit s’interroger ab initio sur l’impact de l’évolution sur les données qu’il traite. Cela implique notamment l’intégration de dispositifs techniques de protection des données à caractère personnel et de mesures organisationnelles permettant de limiter les risques d’atteinte aux droits et libertés des individus ;
  • Se conformer au principe d’accountability qui impose aux cabinets de se préconstituer la preuve de leur conformité ;
  • Notifier à la CNIL toute violation de données à caractère personnel ;
  • Désigner, lorsque les conditions sont remplies, un Délégué à la protection des données ou Data Protection Officer (DPO).

3. La désignation d’un DPO est-elle obligatoire pour un cabinet d’avocats ?

Non, mais elle est recommandée. Aux termes de l’article 37 du RGPD, les responsables de traitement et les sous-traitants devront obligatoirement désigner un délégué :

  • S’ils appartiennent au secteur public ;
  • Si leurs activités de base (principales) les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ;
  • Si leurs activités de base (principales) les amènent à traiter (toujours à grande échelle) des catégories particulières de données, dites « sensibles », et des données relatives à des condamnations pénales et à des infractions.

En dehors de ces cas, la désignation d’un délégué à la protection des données sera bien sûr possible, et même recommandée.

4. Comment effectuer une cartographie des traitements de données personnelles ?

Le RGPD met à la charge du responsable des traitement la mise en place d’une cartographie des données personnelles traitées par le cabinet. Cette cartographie permet d’avoir une vue d’ensemble des traitements de données à caractère personnel opérés au sein du cabinet d’avocats.

La CNIL préconise donc de se poser les questions suivantes : Qui ? Quoi ? Pourquoi, Jusqu’à quand ? Comment ?

Qui ?

Cette question permet d’identifier les différents acteurs à savoir le responsable de traitement mais également les sous-traitants et les destinataires des données.

Quoi ?

Il s’agit ici de savoir quelles sont les données à caractère personnel que le cabinet collecte, et de manière plus générale traite. En outre, il appartient à l’avocat d’identifier la présence de catégories particulières de données à caractère personnel (les données de santé, les données concernant la vie sexuelle, les données relatives aux condamnations pénales et aux infractions, etc.).

Pourquoi ?

Par cette question, l’avocat détermine la finalité du traitement de données à caractère personnel qu’il opère, c’est-à-dire l’objectif (par exemple : gestion clients, gestion des ressources humaines, gestion de la sollicitation personnalisée, etc.).

Où ?

A ce stade, il s’agit de déterminer le lieu où sont stockées les données à caractère personnel (un serveur spécifique, en local, en partage ? Les dossiers sont-ils stockés dans une salle accessible à tout le cabinet d’avocat ? etc.). Cette question doit également permettre à l’avocat d’identifier les éventuels transferts de données vers des pays hors UE (un dossier international, un avocat postulant à l’étranger, etc.).

Quand ?

Le cabinet d’avocat a-t-il mis en place une politique de conservation, d’archivage et de suppression des données ? Le cabinet d’avocat a-t-il prévu une purge des données qu’il collecte ?

Comment ?

Le cabinet d’avocat doit identifier les mesures de sécurité physique et logique mises en place pour garantir la protection des données à caractère personnel qu’il collecte.

5. Les cabinets d’avocats doivent-ils établir une analyse d’impact préalable ?

En vertu de l’article 35 du RGPD, lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, notamment le traitement à grande échelle de catégories particulières de données, le responsable du traitement doit effectuer, avant toute mise en œuvre, une analyse d’impact. Le considérant 91 du RGPD précise que le traitement de données à caractère personnel de clients par un avocat exerçant à titre individuel ne devrait pas être considéré comme constituant un traitement à grande échelle.

Néanmoins, quand bien même il ne traiterait pas des données à « grande échelle », un cabinet d’avocats, quel que soit sa taille, pourrait avoir à réaliser des analyses d’impact si les traitements mis en œuvre répondent à certaines caractéristiques.

En effet, dès lors qu’il répondra à plus de deux des neuf critères déterminés par la CNIL et par le G29 (évaluation/scoring, décision automatique avec effet légal ou similaire ; surveillance systématique ; collecte de données sensibles ; collecte de données à caractère personnel à large échelle ; croisement de données ; personnes vulnérables ; usage innovant ; exclusion du bénéfice d’un droit / contrat), le traitement sera, par principe, soumis à analyse d’impact.

6. A quelles données à caractère personnel traitées par un cabinet d’avocats le RGPD s’applique-t-il ?

La protection des données personnelles s’applique à toutes les données qui permettent d’identifier directement ou indirectement une personne physique.

Toutes les données personnelles sont concernées, qu’il s’agisse de celles qui sont collectées dans la gestion des ressources humaines du cabinet ou celles qu’un utilisateur du site internet du cabinet renseignent lors de sa navigation.

7. Les données personnelles collectées par l’avocat dans le cadre de dossiers papiers sont-elles concernées par le RGPD ?

Oui. Aucune différence n’est faite, sauf cas particuliers, entre les supports papier ou les supports électroniques sur lesquels se trouvent les données à caractère personnel.

Le RGPD concerne notamment les documents papier, édités, ainsi que les documents constituant un fichier et les documents électroniques de toutes natures, tels que les disques durs, les bandes, les CD, les DVD ou les clés USB, les méls, les documents sous tous formats, les images, les sons, textes et vidéos, ou encore les messages sur les chats ou les réseaux sociaux.

8. Quelles informations sont dues aux clients et prospects de l’avocat ?

Conformément aux exigences de l’article 13 du RGPD, les clients et prospects du cabinet d’avocats doivent être informés :

  • De l’identité et des coordonnées du responsable de traitement (le cabinet) ;
  • Des coordonnées du délégué à la protection des données lorsqu’il y en a un ;
  • De l’objectif poursuivi (gestion et suivi des dossiers de ses clients) ;
  • De la base juridique du traitement (exécution contractuelle ou précontractuelle à la demande du client) ;
  • De l’intérêt légitime s’il s’agit de la base légale du traitement ;
  • Des destinataires des données (des sous-traitants, des huissiers, etc.) ;
  • Des flux transfrontières ;
  • De la durée de conservation ;
  • Des droits dont ils disposent ;
  • Des conditions d’exercice de ces droits ;
  • Du droit de retirer son consentement s’il s’agit de la base légale du traitement ;
  • Du droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • Des informations sur le caractère réglementaire ou contractuel du traitement lorsqu’il s’agit de la base légale du traitement.

Ces informations peuvent figurer au sein de la convention d’honoraires. Ces informations peuvent également faire l’objet d’une communication par courriel ou à l’occasion de la transmission d’une note d’honoraires, notamment pour régulariser la situation auprès des clients qui n’ont pas été correctement informés.

9. Quid des informations fournies par un client à son avocat sur la partie adverse (collecte indirecte) ?

L’article 14 du RGPD énumère les informations à communiquer lorsque les données à caractère personnel ne sont pas directement collectées auprès de la personne concernée. C’est le cas notamment lorsque dans le cadre d’un dossier, le client transmet des informations sur la partie adverse à l’avocat. Ces informations contiennent des données à caractère personnel de la partie adverse qui seront dès lors indirectement collectées par l’avocat.

L’article 14 du RGPD prévoit donc que la personne doit être informée des éléments prévus à l’article 13 du RGPD mais également les catégories de données à caractère personnel concernées et la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public.

Une telle information poserait difficulté à l’avocat puisque le respect de cette obligation impliquerait d’informer la partie adverse de la constitution du dossier par l’avocat et donc de mettre en péril les intérêts de son client. C’est pourquoi, le RGPD prévoit à l’article 14 alinéa 5, d) une exception à l’information des personnes dont les données à caractère personnel sont indirectement collectées, dès lors que lesdites données doivent rester confidentielles en vertu d’une obligation de secret professionnel réglementée.

10. Quelles précautions doit prendre un cabinet d’avocat en cas de sous-traitance de traitements de données à caractère personnel ?

En pratique, le sous-traitant est la personne qui traite des données à caractère personnel pour le compte du cabinet d’avocats comme par exemple un comptable, un éditeur de logiciel, un hébergeur, etc.

L’article 28, al. 3, du RGPD maintient l’obligation de souscrire un contrat liant le sous-traitant au responsable du traitement, tout en précisant ses contours et en fixant des exigences strictes et plus importantes.

Les clauses contractuelles liant sous-traitants et responsables de traitement vont donc devoir être beaucoup plus précises tant sur les modalités de traitement que sur la gestion de leurs relations et l’échange d’informations entre eux.

En vertu de l’article 28, al.1, du RGPD, le responsable de traitement a l’obligation de ne recourir qu’à « des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée ».

11. Combien de temps l’avocat peut-il conserver les données de ses clients ?

L’avocat responsable de traitement doit définir une politique de durée de conservation des données au sein de son cabinet. Les données à caractère personnel ne peuvent être conservées que le temps nécessaire à l’accomplissement de l’objectif poursuivi lors de leur collecte.

Généralement, les données relatives aux clients peuvent être conservées le temps de la relation contractuelle entre l’avocat et son client. Au-delà, les données devraient être archivées pour la période où la responsabilité de l’avocat pourrait être mise en cause avant suppression définitive des données.

12. Combien de temps les données personnelles dans le cadre d’un traitement RH peuvent-elles être conservées ?

L’avocat responsable de traitement doit définir une politique de durée de conservation des données au sein de son cabinet. Les données à caractère personnel ne peuvent être conservées que le temps nécessaire à l’accomplissement de l’objectif poursuivi lors de leur collecte.

Généralement, les données relatives aux collaborateurs ou au personnel sont conservées le temps de leur présence dans le cabinet d’avocats augmenté des durées de prescriptions légales.

13. Comment appliquer le RGPD dans le cadre des obligations relatives à la lutte contre le blanchiment et le financement du terrorisme ?

La règlementation qui encadre la lutte contre le blanchiment et le financement du terrorisme, met à la charge des avocats un certain nombre d’obligations, dont certaines consistent en des opérations de traitement de données à caractère personnel au sens du RGPD.

Leur traitement réalisé sur ce fondement, qui est imposé par la loi, obéit en grande partie à un régime particulier et spécifique dont les obligations sont définies aux articles L. 561-5 et suivants du code monétaire et financier.

Les traitements en question identifiant des personnes susceptibles de participer à des infractions graves étant en effet particulièrement sensibles, l’obligation de sécurité des données ainsi collectées, mise à la charge des responsables de traitement par le RGPD, doit ici s’exprimer pleinement.

14. Quelles sont les mentions qui doivent obligatoirement être présentes sur le site Internet de l’avocat ?

  • Les mentions d’informations issues des articles 13 et 14 du RGPD doivent figurer sur le site Internet de l’avocat ;
  • Les mentions légales en vertu de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ;
  • Les mentions obligatoires en vertu des articles 10.2 et 10.3 du RIN (Fiche n°4 du vade-mecum de la communication des avocats disponible sur le site Internet du CNB) ;
  • Les mentions d’informations relatives aux cookies.

15. Quelles mesures de sécurité numériques dois-je mettre en place ?

Il est notamment conseillé de :

  • Authentifier les utilisateurs : mettre en place un mot de passe de minimum 8 caractères contenant une majuscule, une minuscule, un chiffre et un caractère spécial ; ne pas le partager ; ne pas le noter en clair sur une feuille ; éviter de le préenregistrer ; le changer régulièrement
  • Gérer les habilitations et sensibiliser les utilisateurs : déterminer les personnes qui sont habilitées à accéder aux données à caractère personnel ; supprimer les permissions d’accès obsolètes ; rédiger une charte informatique et l’annexer au règlement intérieur lorsqu’il en existe un.
  • Sécuriser l’informatique mobile : prévoir des moyens de chiffrement pour les ordinateurs portables et les unités de stockage amovibles (clés USB, CD, DVD...), éviter d’y stocker des données à caractère personnel sensibles des clients.
  • Sauvegarder et prévoir la continuité d’activité : mettre en place des sauvegardes régulières, stocker les supports de sauvegarde dans un endroit sûr, etc.

16. Dois-je tenir un registre de traitement ?

En contrepartie de la suppression des formalités déclaratives, le RGPD prévoit l’instauration d’un registre des activités de traitement qui doit être tenu par le responsable de traitement. Cette obligation ne s’impose pas aux entreprises comptant moins de 250 salariés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque au regard des droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur des données sensibles, ou sur des données se rapportant à des condamnations et des infractions pénales.

Il semble donc qu’un grand nombre de cabinets d’avocats, dès lors que leurs traitements portent sur des données relatives à des catégories particulières de données ou des données se rapportant à des condamnations et des infractions pénales, seront soumis à l’obligation de mettre en place un registre des activités de traitement.

En tout état de cause, même pour ceux qui n’y seraient pas obligés, la tenue d’un registre contribue au respect du principe d’accountability (consistant à documenter la conformité pour pouvoir la prouver) et, à ce titre, est vivement conseillée.

17. Quelles informations doit comporter le registre de traitement ?

Le registre doit, conformément à l’article 30 du RGPD, comporter les informations suivantes :

  • Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
  • Les finalités du traitement ;
  • Une description des catégories de données traitées, ainsi que les catégories de personnes concernées par le traitement ;
  • Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
  • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou vers une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale, et les documents attestant de l’existence de garanties appropriées ;
  • Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ;
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.

Crédit photo: ©tostphoto - stock.adobe.com

Haut de page