Mise en conformité du RGPD pour les avocats

Depuis son entrée en vigueur le 25 mai 2018, le Règlement général sur la protection des données (RGPD) a provoqué un bouleversement pour l’ensemble des acteurs économiques.

Et pour cause, le RGPD s’applique à l’ensemble des acteurs manipulant des données personnelles, sans distinction : entreprises, administration, association etc. Les professions libérales ne sont pas exclues. À ce titre, les avocats sont également soumis à l’ensemble des obligations du RGPD en dépit du secret professionnel qui protège les informations échangées dans leurs relations avec leurs clients.

Au regard de la spécificité du métier d’avocat, il convient de préciser la manière dont s’articulent les règles RGPD avec le secret professionnel.

RGPD : dans quelles conditions les avocats sont concernés ?

Le RGPD s’applique à toutes les structures de cabinet d’avocat

À qui et à quoi s’appliquent les règles du RGPD pour les avocats ? Ou pour parler le vocabulaire des juristes, quel est le champ d’application matériel et territorial du RGPD ?

D’un point de vue matériel, le RGPD (article 2 RGPD) s’applique à toutes les activités professionnelles exercées dans l’Union européenne. Sont donc exclus les traitements de données personnelles opérés dans le cadre d’une activité “strictement personnelle ou domestique”.

Cela signifie que les avocats exerçant à titre individuel sont également soumis au droit de la protection des données personnelles (RGPD et Loi informatique et Libertés) car il s’agit d’une activité professionnelle même exercée à titre individuel.

De plus, le RGPD s’impose aux avocats quelle que soit la forme de la structure : SARL ou en SCP, le RGPD s’applique à leur activité de manière indifférente.

D’un point de vue du champ d’application territoriale (article 3 RGPD) cette fois ci, le RGPD s’applique aux traitements de données personnelles qui sont opérés sur le territoire de l’Union européenne, c’est-à-dire par un organisme établi en Europe.

Mais notons que sont également concernés les traitements de données personnelles qui sont opérés en dehors de l’Union européenne mais concernant les données de personnes issues de l’Union européenne.

Dès lors, les cabinets d’avocats à l’étranger sont soumis au RGPD dès lors qu’ils traitent des données personnelles de personnes établies dans un Etat membre de l’Union européenne.

Le RGPD s’applique à toutes les données personnelles collectées par les avocats

Dès lors que les cabinets d’avocats mettent en œuvre des traitements de données à caractère personnel, en particulier dans le cadre de la gestion de leurs clients, toutes ces données sont protégées par la réglementation européenne.

Pour rappel, les données à caractère personnel sont toutes les informations se rapportant à une personne physique identifiée ou identifiable directement (exemple : nom et prénom) ou indirectement (exemple : le numéro de sécurité sociale, une adresse e-mail, l’enregistrement des conversations).

Dès lors, toutes les données qui permettent de remonter à une personne physique, même indirectement, sont des données à caractère personnel (article 4 du RGPD).

La particularité des données traitées par les avocats dans le cadre de leurs fonctions réside dans le fait que les données sont souvent des données sensibles (article 9 RGPD) comme des données relatives à la santé, le casier judiciaire, opinions politiques et religieuses, ou des données relatives aux sanctions pénales et infractions (article 10 RGPD).

Ces données peuvent concerner des personnes considérées comme vulnérables au regard du RGPD : mineurs, personnes âgées, patients, etc. Leur divulgation peut donc porter une atteinte particulièrement importante aux droits et libertés des personnes concernées.

Toutes les informations traitées par les avocats pour l’exercice de leur profession dès lors qu’il s’agit de données personnelles, entrent dans le champ d’application du RGPD.

RGPD et avocat : quelles obligations ?

Le RGPD **impose, de manière générale, aux cabinets d’avocats de se soumettre à de nouvelles obligations.

Ces obligations consistent à la fois à intégrer les concepts de Privacy by design, et Privacy by default, mais également des obligations liées à toutes les étapes de mise en conformité au RGPD : registre des traitements de données personnelles, registre des sous-traitants, sécurisation des données, exercice des droits des personnes etc.

Voyons plus en détail ces obligations.

Tenue d’un registre des traitements de données personnelles par les avocats

Le responsable du traitement doit tenir un registre relatif aux traitements de données mis en œuvre sous sa responsabilité (article 30 du RGPD). Cette obligation ne s’impose pas aux entreprises comptant moins de 250 salariés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque au regard des droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur des données sensibles ou sur des données se rapportant à des condamnations et des infractions pénales.

Ainsi, les avocats doivent tenir un registre traitement car d’une part le traitement de données n’est pas occasionnel puisque par définition, l’avocat traite de données personnelles quotidiennement et d’autre part car le traitement porte sur des données sensibles ou se rapportant à des condamnations et infractions pénales.

Dès lors, même un avocat qui travaille en individuel est soumis à l’obligation de tenir un registre de traitement de données personnelles.

💡Pour rappel, un registre de traitement de données personnelles est un document qui réunit l’ensemble des informations liées à vos traitements, c’est-à-dire les opérations qui sont effectuées sur les données personnelles.

Par exemple, s’agissant pour le recrutement des collaborateurs et du personnel, vous devrez détailler la raison pour laquelle vous collecter leurs données personnelles (nom, prénom, adresse, n° de sécurité social, RIB etc.), comment, pour bien de temps, sur la base de fondement juridique, qui à accès à ces données et comment sont elles sécurisées. En d’autres termes il convient de préciser : la finalité, les catégories de personnes concernées, de données concernées, et de destinataires, la durée de conservation, et les mesures de sécurité.

Le principe de minimisation et les avocats

Nouveaux principes issus du RGPD, la collecte des données doit répondre à plusieurs critères : les données doivent être collectées de manière loyale et licite et pour une finalité déterminée, explicite et légitime.

En outre, en vertu du principe de proportionnalité, seules les informations adéquates, pertinentes et nécessaires à la finalité du traitement peuvent faire l’objet d’un traitement de données à caractère personnel. Ce principe de proportionnalité est aussi appelé principe de minimisation des données. Pour faire simple il signifie : pour protéger au mieux, collecter le minimum d’information possible.

Ce principe s’impose normalement indistinctement à tous les acteurs soumis au RGPD.

Or, la pratique quotidienne du métier d’avocat nécessite souvent de collecter des documents supplémentaires, de solliciter l’accès à plus de données afin de récupérer tous les éléments utiles à la bonne instruction du dossier. Dès lors, pour l’exercice de sa profession, l’avocat est tenu de collecter un maximum d’information car il est souvent le mieux placé pour analyser les informations qui seront pertinentes pour la défense des intérêts de ses clients. Il convient alors de relativiser la portée du principe de minimisation des données.

En outre, dans l’hypothèse d’un contrôle, seul l’avocat serait en mesure d’apprécier la pertinente de la collecte de certaines informations pour l’exercice de sa profession. Précisons en plus que le secret professionnel interdit à la CNIL d’avoir accès aux données couvertes par le secret (communications entre un avocat et son client, ainsi que certaines communications entre avocats). Ce qui a pour conséquence de relativiser d’autant plus la portée du principe de minimisation des données.

Mais nous reviendrons sur l’articulation du secret professionnel avec la protection des données personnelles.

Sécurisation des données et avocats

L’avocat, est en outre est astreint à une obligation de sécurité. Il doit ainsi prendre toutes les mesures nécessaires pour en garantir la confidentialité et éviter toute divulgation d’information. Cela implique notamment l’intégration de dispositifs techniques de protection des données à caractère personnel et de mesures organisationnelles (MTO) permettant de limiter les risques d’atteinte aux droits et libertés des individus.

Notamment, il s’agira de :

  • Rédiger et diffuser une charte éthique générale et une charte informatique ;
  • Mettre en place une gestion rigoureuse des accès aux systèmes informatiques
  • Sécuriser les systèmes d’information et d’intranet (chiffrer les données, sécuriser les bureaux, cacher les écrans etc.)
  • Mettre à jour régulièrement les antivirus, changer ses mots de passe.

Droits des personnes et avocats

L’un des piliers de la protection des données personnelles concerne les droits des personnes concernées : droit à l’effacement, droit à la portabilité, droit à l’opposition, droit à l’information, droit à la rectification etc.

Pour le responsable de traitement, ici l’avocat concerné, ces droits se traduisent par l’obligation d’informer les personnes concernées sur l’utilisation qui est faite de leurs données mais également de répondre à leurs demandes (effacement, portabilité, rectification etc.) dans le délai d’un mois en dehors de toute demande complexe.

Toutefois, au regard de la particularité du métier d’avocat, ces droits doivent s’articuler avec les règles de déontologie du métier de l’avocat qui lui impose un certain comportement concernant ce qu’il peut et doit faire des dossiers de ses clients (qui contiennent énormément de données personnelles).

En pratique, l’avocat peut être confronté à deux types de demande d’exercice de droits :

Concernant une demande provenant d’un client.

Même s’il s’agit presque d’un cas d’école, lorsqu’un client décide de changer d’avocat et donc de récupérer son dossier, l’avocat a l’obligation de transmettre l’entièreté du dossier à son confrère sans en garder copie (article 14 du décret relatif à la déontologie de la profession d’avocat). Donc concernant la portabilité des données, celle-ci doit suivre la procédure décrite dans le code de déontologie. Il en va de même pour l’effacement des données qui est régi à une procédure très encadrée. Quoi qu’il en soit, tenir informé son client de tous les éléments de la procédure.

Concernant une demande provenant d’un collaborateur.

Ce dernier cas est celui qui risque de se rencontrer le plus souvent pour un avocat dès lors que les relations entre un avocat et son client sont largement régies par le code de déontologie. À l’inverse ici on retrouve une application plus classique des règles du RGPD. L’avocat doit se conformer à cette demande à l’instar de toutes les entreprises, quel que soit le secteur. Ainsi, il faudra laisser la possibilité à l’ancien collaborateur d’accéder à ses données, de modifier ses données, de s’opposer à la collecte de ses données et surtout, de supprimer ses données, lorsque cela est autorisé.

Analyse d’impact et avocat

Le RGPD prévoit que lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, notamment en cas de traitement de données à grande échelle, le responsable du traitement doit effectuer, avant toute mise en œuvre, une analyse d’impact (article 35 du RGPD).

Néanmoins, le groupe 29 et la CNIL ont établi une liste de critère permettant d’identifier si un PIA était obligatoire ou non. Ainsi, au titre des exceptions dans la mise en place d’un PIA, on peut trouver une exception liée à la profession d’avocat.

En effet, le traitement est mis en œuvre par un avocat ou un notaire dans l’exercice de sa profession ne nécessite pas la mise en place d’un PIA, tout comme les traitements mis en œuvre par les avocats dans le cadre de l’exercice de leur profession à titre individuel.

RGPD et avocat : qui sont les acteurs de la mise en conformité ?

L’avocat en tant que responsable de traitement

L’article 4 du RGPD prévoit que le responsable du traitement des données est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.

Ainsi, les avocats, en tant que responsable de traitement, doivent notamment veiller à ce que :

  • La finalité de chacun des traitements et les éventuelles transmissions d’informations soient clairement définies,
  • Les dispositifs de sécurité informatiques et physiques soient précisément déterminés,
  • Les mesures d’information des personnes concernées soient appliquées.

💡Bon à savoir :

Le Conseil national des barreaux, le barreau de Paris et la Conférence des bâtonniers ont élaboré ensemble un guide "Les avocats et le règlement général sur la protection des données" pour  informer de manière concrète sur les bonnes pratiques à mettre en œuvre tant en qualité de responsable de traitement que de conseil auprès des clients des cabinets.

Les prestataires en tant que sous-traitant des avocats

Comme toute autre profession, les avocats aussi ont recours à des prestataires : comptables, prestataires informatiques, outils informatiques divers, serveurs hébergeant les bases de données etc.

L’article 28 RGPD renforce l’obligation d’encadrer par un contrat la relation entre lesous-traitant et le responsable du traitement. Dans la mesure où un certain nombre de données personnelles sont transférées au sous-traitant pour qu’il exerce sa mission, ce contrat doit prévoir la manière dont le sous-traitant protège et sécurise ces données.

Le contrat liant le cabinet au sous-traitant doit notamment comporter :

  • l’objet ;
  • la durée ;
  • la nature ;
  • la finalité ;
  • le type de données à caractère personnel ;
  • les catégories de personnes concernées ;
  • les droits et obligations du responsable de traitement ;
  • les mesures de sécurité mises en œuvre concernant le traitement de données à caractère personnel qui sera réalisé.

Le responsable de traitement a l’obligation de ne recourir qu’à « des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée » (article 28, al.1 RGPD)

Ainsi, l’avocat, lorsqu’il agit en qualité de responsable du traitement, a donc l’obligation de s’assurer que son sous-traitant (prestataire informatique, comptable…) a mis en place des mesures techniques et organisationnelles adaptées lui permettant de respecter la sécurité et laconfidentialité des données.

Faut-il désigner un délégué à la protection des données (DPO) ?

Le RGPD impose de désigner un délégué à la protection des données (ou DPO) dans certains cas. L’article 37 RGPD prévoit la désignation obligatoire d’un DPO :

  • Dans le secteur public (à l’exception des juridictions),
  • Lorsque l’organisme opère des traitements de données personnelles exigeant un suivi régulier ou systématique à grande échelle des personnes concernées (par exemple une banque ou une assurance).
  • Ou lorsque les organismes traitements des données sensibles (article 9 RGPD) ou relatives à des condamnations pénales et infractions (article 10 RGPD).

Précisions qu'il n’existe pas de seuil chiffré rendant obligatoire la désignation d'un DPO.

Au regard de ces critères, si un avocat n’opère pas de traitements à grande échelle comme le précise le groupe 29 dans ses recommandations, les avocats sont en grande majorité concernés par le traitement de données sensibles ou relatives à des condamnations pénales et infractions.

Pour un certain nombre de cabinets d’avocat, la désignation d’un délégué à la protection des données est alors obligatoire. Bien entendu, la casquette de DPO peut être portée par un avocat lui même.

L’articulation du RGPD avec le secret professionnel

Le RGPD et le secret professionnel ont le même objectif : protéger les données personnelles des personnes concernées. Ces deux notions doivent cohabiter pour œuvre ensemble.

Pour cette raison, la CNIL a eu l’occasion de rappeler que le secret professionnel peut lui être opposé en cas de contrôle. Cela implique une grande quantité de données puisqu’il s’agit de l’ensemble des informations qui ont été communiquées à l’avocat pour l’exercice de sa profession. Que ces informations proviennent de son client, futur client, d’un tiers ou d’un autre avocat.

In fine, très peu de données personnelles traitées par les avocats seront donc accessibles à la CNIL lors d’un contrôle. Toutefois, il n’en est pas de même pour les données qui sortent du champ de protection du secret professionnel, comme les données concernant les collaborateurs ou les salariés du cabinet.

Enfin, il existe un cas particulier directement prévu par le RGPD à propos de l’obligation d’information à communiquer lorsque les données personnelles n’ont pas été collectées directement auprès de la personne concernée.

Par exemple, lorsque le client transmet à son avocat des informations sur la partie adverse.

Dans cette hypothèse, l’article 14 RGPD prévoit que la personne concernée doit être informée des informations transmises, leurs sources etc. Or, le respect de cette obligation conduirait à mettre en danger la défense de son client. Pour cette raison, l’article 14 RGPD une exception à l’obligation d’information des personnes dont les données ont été indirectement traitées dès lors qu’il existe une obligation de secret professionnel, notamment celui de l’avocat.

Sanctions

Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du RGPD.

Les amendes administratives peuvent s’élever jusqu’à 10 ou 20 millions d’euros, ou, dans le cas d’un cabinet d’avocats, de 2 % jusqu’à 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Sur le volet pénal, la violation du RGPD entraîne aussi des sanctions puisque tout détournement de finalité est passible de 5 ans d’emprisonnement et de 300 000 euros d’amende (article 226-21 du code pénal).

Un logiciel RGPD pensé pour les avocats

Demander une démo gratuite

Gagnez du temps avec notre logiciel RGPD

Ne passez plus des heures à créer et mettre à jour votre registre de données. Gagnez du temps avec une checkliste RGPD dont les actions à mener sont déjà automatisées !

Inventaire automatisé des données personnelles présentes dans toutes vos applications (crm, rh, produit, finances ...)

Gestion des sous-traitants automatisée : nous maintenons à jour pour vous votre documentation (DPA des sous-traitants ...).

Suppression et modification automatisée des données personnelles d'un utilisateur à sa demande.

Synchronisation automatique des tâches de votre feuille de route Privacy avec vos outils de gestion de projet (Jira ...).

Demander une démo gratuite

Construisez une relation de confiance avec vos clients.

Notre vision : faire de la conformité aux règles de protection des données personnelles un avantage compétitif majeur pour les entreprises en construisant une relation de confiance avec les clients.

Vos clients disposent d'une interface dédiée pour exercer leurs droits en matière de protection des données. 100% no code.

Affichez vos ambitions en matière de protection des données personnelles

Demander une démo gratuite

Un outil RGPD pour sensibiliser vos collaborateurs

Initier les collaborateurs au RGPD à leur arrivée dans l'organisation, c'est bien. 
Mais, êtes-vous sûr de l'impact sur leur comportement au quotidien ? 
Disposez-vous d'éléments quantitatifs pour évaluer la maturité de vos équipes ?
Leto apporte une solution simple, ultra-personnalisée et sur auto-pilote pour faire monter en maturité vos équipes sur la protection des données personnelles.

Une banque de 500 questions de mise en situation

Personnalisation et création de questions sur-mesure relative à votre activité

Pilotage automatisé de la sensibilisation avec une approche micro-learning

Tableau de bord des résultats

Comparatif avec les maturités des organisations du même secteur

Demander une démo gratuite

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre