Anne Renard évoque pour le site Lexbase.fr l’ impact du RGPD sur les cabinets d’avocats du RGPD, entré en application le 25 mai 2018.
Anne Renard, Directrice du département Conformité et Certification du cabinet Lexing Alain Bensoussan Avocats, décrypte dans un article intitulé «L’impact du RGPD sur les cabinets d’avocats» publié par les éditions juridiques Lexbase [1], les enjeux pour les cabinets d’avocats du Règlement général sur la protection des données (RGPD), entré en application il y a quelques semaines.
Au départ, un constat : si le RGPD s’inscrit pleinement dans la continuité d’une réglementation qui date de 1978, un grand nombre de cabinets d’avocats peinent à se conformer aux exigences en résultant.
Principale raison : les avocats considèrent que le secret professionnel auquel ils sont astreints les dispenses de se conformer au RGPD. Or, selon Anne Renard, «c’est précisément pour cette raison qu’ils sont, au premier chef, concernés et doivent redoubler de vigilance».
Dès lors que les cabinets d’avocats mettent en œuvre des traitements de données à caractère personnel, en particulier dans le cadre de la gestion de leurs clients, ils sont tous concernés, peu importe leur taille ou leur structure d’exercice. Les traitements des données des clients ne sont d’ailleurs pas les seuls concernés : «Tous les traitements liés à la gestion des ressources humaines, à la sollicitation personnalisée, à la communication externe, à la gestion de leur comptabilité, à la surveillance des locaux (vidéosurveillance ou badge par exemple) constituent des traitements de données à caractère personnel soumis au nouveau règlement».
Impact du RGPD sur les cabinets d’avocats
Avec l’entrée en application du RGPD, les avocats doivent «adopter une véritable posture Informatique et libertés».
Le RGPD impose ainsi, de manière générale, aux cabinets d’avocats de se soumettre à de nouvelles obligations, dont celle d’être en mesure de démontrer, à tout moment, la conformité de leurs traitements (principe de responsabilisation ou d’accountability).
Les données doivent être collectées de manière loyale et licite et pour une finalité déterminée, explicite et légitime.
Traitement des données
Elles doivent, en outre, être adéquates, pertinentes et limitées à ce qui est nécessaire : «Avant de mettre un œuvre un traitement des données à caractère personnel, il conviendra de s’interroger sur la nécessité de traiter ces données et, dans la mesure où un tel traitement s’avère indispensable, sur les données qui permettront d’atteindre les finalités recherchées par le traitement» précise Anne Renard.
Ces données ne doivent par ailleurs pas être conservées au-delà de la durée nécessaire aux finalités pour lesquelles elles ont été collectées : «Bien souvent, aucune véritable politique de durée de conservation n’est mise en œuvre au sein des cabinets, à l’exception du recours à un archivage papier. Les données ne peuvent être conservées de manière illimitée et l’avocat ne saurait être le tiers archiveur de son client».
Information des personnes
La conformité au RGPD passe par l’information des personnes concernées. Cette information peut se faire par le biais de mentions particulières au sein des conventions d’honoraires, sur le site web ou les formulaires de collecte des données utilisés au sein du cabinet. Par ailleurs, précise Anne Renard, «les avocats, en tant que responsables du traitement, doivent prêter une attention particulière aux contrats de sous-traitance conclus avec les prestataires auxquels ils recourent : prestataires informatiques, éditeurs de logiciel, ou encore prestataires en charge de la paie».
Conformément aux exigences du RGPD, les cabinets d’avocats devront mettre en place un contrat ou acte juridique avec leurs sous-traitants comportant un certain nombre de mentions spécifiques relatives à la protection et à la confidentialité des données et aux droits et obligations des parties dans le cadre des traitements mis en œuvre.
Sécurité informatique
Sur le plan de la sécurité informatique, «dès lors que, parmi les données collectées par les cabinets d’avocats, figurent des catégories particulières de données ou des données relatives à des infractions ou condamnations pénales, il est essentiel de mettre en œuvre des mesures de sécurité, tant logique que physique, qui soient adaptées aux risques présentés par ce type de traitements». Ceci est d’autant plus important que le RGPD instaure l’obligation de notifier à la Cnil toute violation de données à caractère personnel et, en cas de risque élevé pour les droits et libertés des personnes concernées, l’obligation de communiquer sur l’existence d’une telle violation de sécurité auprès de ces personnes.
DPO
Le RGPD impose encore de désigner un délégué à la protection des données (ou DPO) notamment lorsque l’activité, cœur de métier du responsable de traitement ou sous-traitant, requiert le suivi régulier et systématique de données à une large échelle ou lorsque l’activité cœur de métier du responsable du traitement ou du sous-traitant consiste à traiter à une large échelle des données sensibles ou relatives à des condamnations ou infractions pénales.
A cet égard, «il est important de relever que le considérant 91 du RGPD précise que le traitement de données à caractère personnel de clients par un avocat exerçant à titre individuel ne devrait pas être considéré comme constituant un traitement à grande échelle. Au regard de ces critères, il semble que la majorité des cabinets d’avocats n’a pas à désigner de DPO».
Toutefois, en fonction de la taille et du secteur d’activité du cabinet d’avocat, une telle désignation doit en tout état de cause s’analyser en opportunité dans la mesure où elle permettrait de désigner une personne afin d’accompagner le cabinet dans sa mise en conformité.
Registre des activités de traitement.
Le responsable du traitement doit tenir un registre relatif aux traitements de données mis en œuvre sous sa responsabilité. Cette obligation ne s’impose pas aux entreprises comptant moins de 250 salariés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque au regard des droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur des données sensibles ou sur des données se rapportant à des condamnations et des infractions pénales. Au regard de ces critères, les cabinets d’avocats semblent tenus de devoir mettre en place un tel registre et une cartographie préalable des traitements mis en œuvre au sein du cabinet est nécessaire pour pouvoir remplir une telle obligation.
On le voit, la mise en conformité avec le RGPD est un enjeu majeur pour toutes les entreprises, y compris les cabinets d’avocats. La mise en conformité des cabinets d’avocats, conclut Anne Renard, «est une nécessité et, outre le gage de confiance qu’elle constitue pour les clients et les collaborateurs, elle risque fort de devenir un enjeu de positionnement concurrentiel entre les cabinets d’avocats eux-mêmes face aux entreprises qu’ils accompagnent».
Eric Bonnet
Directeur de la communication juridique
[1] Anne Renard, «L’impact du RGPD sur les cabinets d’avocats», La lettre juridique Lexbase n°750 du 19 juillet 2018.