RGPD (Règlement général sur la protection des données) et avocats : conseils pratiques pour être en règle.(eu)

Un article de la Grande Bibliothèque du Droit, le droit partagé.
Europe >   Droit privé >  Droit européen >  Protection des données personnelles
Eu flag.png

Michèle Bauer, Avocat au Barreau de Bordeaux
Mai 2018



RGPD, RGPD depuis quelques semaines, ces initiales sont omniprésentes sur la toile, Facebook vous demande de vérifier vos données personnelles avant le 25 mai 2018 pour respecter le RGPD, le CNB (notre institution représentative vient de publier un guide : RGPD et avocats, il est en ligne: Guide du CNB RGPD et avocats [1], les entreprises commencent à paniquer et à s’intéresser à cette question car ne pas être en règle avec le RGPD c’est s’exposer à de fortes amendes.Mais qu’est- ce donc le RGPD ? Que faut-il retenir ? Comment être en règle, nous, avocats, qu’est ce qu’il faut faire car c’est cela la question au delà des grands principes que l’on trouve très facilement sur la toile.


Qu’est-ce que le RGPD ?

Le RGPD est une abréviation signifiant : règlement général sur la protection des données, il est relatif plus exactement au règlement de l’Union Européenne n°2016/679 relatif à la protection des données directement applicable dans l’ensemble des Etats Membres à partir du 25 mai 2018.


Pour savoir les principales mesures de ce règlement, vous pouvez lire mon article: Données personnelles et RGPD, quel intérêt pour les particulier ? [2]


Les avocats sont-ils concernés par le RGPD ?

Oui, les avocats sont concernés par le RGPD. Comme l’indique le CNB sur sa FAQ: Le RGPD ne s’applique pas spécifiquement aux avocats mais à toute personne qui est amenée à traiter des données personnelles ce qui inclut les avocats. La protection des données « sensibles » dont l’avocat a connaissance est inhérente au lien de confiance unissant l’avocat à son client et au respect de ses obligations déontologiques, plus particulièrement celles du secret professionnel.

Quelles sont les obligations pour les avocats dans la gestion de leurs clients?

Les avocats qu’ils soient connectés ou pas, qu’ils alimentent un site internet ou pas doivent informer leurs clients du traitement de leurs données personnelles.


En effet, même si vous traitez vos dossiers à la machine à écrire et au carbone, que vous n’utilisez pas les mails mais seulement les courriers postaux pour communiquer, vous êtes une espèce rare qui devra tout de même se conformer au RGPD.


Je ne traiterai que les obligations des avocats à l’égard de leurs clients.


En effet, les avocats comme les entreprises auront des obligations à l’égard de leur personnel, je vous renvoie au guide du CNB pour étudier ces obligations (Fiche n°1 traitement RH des RGPD), de même les avocats ont des obligations particulières dans l’hypothèse où ils utilisent la viodéosurveillance ( à lire fiche n°3).


Faut-il désigner un délégué à la protection des données ?

Ce n’est pas obligatoire mais conseillé nous précise le CNB.


A mon sens, lorsque comme moi, vous gérez un cabinet individuel comprenant une secrétaire et une associée (GIE), il n’est pas nécessaire de désigner un délégué à la protection des données.


Il convient de désigner un « pilote », un membre du cabinet qui sera chargé de la protection des données personnelles et sera référent avec le personnel et le ou les collaborateurs.


Les questions à vous poser dans le cadre du traitement des données personnelles de vos clients.

La CNIL préconise de cartographier vos traitements de données personnelles.


Il faut vous poser les questions suivantes:


  • Qui ?
  • Quoi?
  • Pourquoi?
  • Où?
  • Jusqu’à quand ?
  • Comment ?


Une fois, cette cartographie effectuée vous pourrez tenir votre registre des activités de traitement.


Voir la fiche de la CNIL sur la cartographie: Cartographier vos traitements de données personnelles. [3]


La tenue d’un registre des activités de traitement.

Pour la plupart des cabinets d'avocats ce registre devra être tenu.

Il n’est plus obligatoire de déclarer le traitement des données personnelles à la CNIL.


En contrepartie de cette suppression, il conviendra de tenir un registre des activités de traitement des données personnelles.


Ce dernier est obligatoire pour les entreprises de plus de 250 salariés donc on pourrait croire que pour la plupart des cabinets, ce registre n’a pas être tenu.


Attention, pour la plupart des cabinets, il faudra tenir ce registre car nous traitons de données sensibles ou se rapportant à des condamnations pénales dont le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées.


Comment se présente ce registre ?

La CNIL a mis en ligne un modèle de registre: Modèle de registre RGPD [4]


Il est très bien fait, didactique, ci-dessous le début du registre téléchargeable sous word, pdf et même excel.


Ce registre vous permettra de démontrer à la CNIL si vous avez un contrôle que vous avez mis en place un « process » pour protéger les données personnelles que vous traitez, votre sensibilisation à la question sera démontrée grâce à ce document.


Pour faciliter la tenue du registre, la CNIL propose un modèle de registre de base destiné à répondre aux besoins les plus courants en matière de traitements de données, en particulier des petites structures.


Ce document vise à recenser les traitements de données personnelles mis en œuvre dans votre organisme en tant que responsable de traitement. Centralisé et régulièrement mis à jour, il vous permet de répondre à l’obligation de tenir un registre prévue par le RGPD.


Une fois ce recensement effectué, vous serez en mesure de procéder à l’analyse des traitements de données personnelles à la réglementation.


Composition du document

1- Une première page du registre recense les informations communes à toutes vos activités de traitement.

Les coordonnées de votre organisme (ou de son représentant sur le territoire européen si votre organisme n’est pas établi dans l’Union européenne)

Les coordonnées du délégué à la protection des données (DPO) si vous en disposez

La liste des activités de votre organisme impliquant le traitement de données personnelles.

2- Pour chaque activité recensée, vous devrez créer et tenir à jour une fiche de registre.

Les pages suivantes constituent le modèle de fiche de registre, que vous devrez remplir pour chacune de ces activités.


  • Registre des activités de traitement de [Nom de l’organisme]

Coordonnées du responsable de l’organisme (responsable de traitement ou son représentant si le responsable est situé en dehors de l’UE)

Ex  : NOM prénom du responsable légal

Adresse

CP VILLE

Téléphone

Adresse de messagerie


  • Nom et coordonnées du délégué à la protection des données (si vous avez désigné un DPO)

Ex  : NOM prénom du DPO

Société (si DPO externe)

Adresse

CP VILLE

Téléphone

Adresse de messagerie


Comment informer nos clients sur le RGPD et être en règle ?

Sur votre site internet

Déjà avant le RGPD, il était nécessaire d’informer les clients que nous traitions des données personnelles et qu’ils pouvaient en demander la rectification à tout moment.


A l’heure des demandes de consultation en ligne, demande de devis en ligne et de rendez-vous, il convient encore plus de respecter cette obligation.


J’ai pour ma part indiqué sur mon site avant l’entrée en vigueur du RGPD après chaque formulaire de contact la formule suivante:


Les informations recueillies font l’objet d’un traitement informatique destiné à la prise de rendez-vous. Le destinataire de données est Me Michèle BAUER. Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant à Me Michèle BAUER, 33 Cours Pasteur, 33 000 BORDEAUX Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.


Je vais modifier ce paragraphe avant le 25 mai, il sera le suivant:


Les informations recueillies font l’objet d’un traitement informatique destiné à la prise de rendez-vous ou à l’établissement d’un devis. Le destinataire des données est Me Michèle BAUER, Avocate, inscrite auprès du Barreau de Bordeaux depuis le 7 janvier 2003 exerçant 33, Cours Pasteur, 33 000 BORDEAUX, téléphone: 05 47 74 51 50- télécopie: 05 47 74 51 51, mail: merci d’utiliser la page contact. [5]


Conformément aux articles 13 et 14 [6] du règlement (UE) général sur la protection des données 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et l’article 32 de la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004, le directeur de publication de ce site vous informe:


le responsable du fichier est Me Michèle BAUER dont les coordonnées sont précisées ci-dessus. La finalité du traitement de ces données est la prise de rendez-vous et/ou l’établissement d’un devis.


Le destinataire est l’avocat qui est le directeur de publication de ce site, soit Me Michèle BAUER.


Ces données seront conservées pour une demande de devis le temps d’établissement de ce devis si aucune suite n’est donnée soit 15 jours maximum, si une suite est donnée et que le dossier est confié à l’avocat, les données seront conservées durant 5 ans à compter du dernier acte juridique.


Pour la prise de rendez-vous, les données seront conservées 5 ans à compter de la date de consultation (ceci si un rendez-vous est fixé et si une consultation est délivrée).


Dans l’hypothèse où la personne concernée n’honore pas son rendez-vous, les données seront effacées le jour suivant du rendez-vous non honoré. Vous bénéficiez d’un droit d’accès, de rectification ou d’effacement de vos données personnelles que vous pouvez demander au responsable du traitement soit à Maître Michèle BAUER.


  • Vous bénéficiez du droit de demander une limitation du traitement de vos données personnelles.
  • Vous bénéficiez du droit de vous opposer au traitement de vos données personnelles et du droit à la portabilité de vos données.
  • Vous pouvez retirer votre consentement au traitement de vos données personnelles et ceci à tout moment en écrivant au responsable du traitement soit à Maître Michèle BAUER.
  • Vous pouvez introduire une réclamation auprès de la CNIL [7] si vous estimez que la protection de vos données personnelles n’a pas été assurée par le responsable du traitement.


Il faudra également prouver que l’internaute a donné son consentement au traitement de ses données personnelles. Pour cela, il convient de modifier vos formulaires de contact si vous utilisez WordPress comme moi, je vous invite à lire l’article: Comment appliquer le RGPD à WordPress ?[8]


De même qu’ il faut informer les internautes de la présence de cookies.


Si vous utilisez une extension (type Google Analytic par exemple) pour connaître les visites sur votre site, ce dernier utilise les cookies. Un plugin existe sur WordPress afin de mettre en place un bandeau informant de la présence de cookies sur votre site et renvoyant vers une page qui explique la politique relative aux cookies. L’extension à télécharger est Cookies Notice, j’ai rédigé pour ma part une page expliquant la politique relative aux cookies: ICI[9].


Pour finir, attention si vous ne traitez pas les données personnelles « personnellement » (désolée pour la répétition), que c’est un sous-traitant qui s’en charge, il conviendra que ce dernier respecte le RGPD (voir la fiche du CNB n°4). Un sous-traitant pourra être une plateforme de consultation sur laquelle vous êtes inscrit. Il faudra conclure un contrat avec ce sous-traitant et encadrer le traitement des données personnelles.


Dans votre convention d'honoraires ou par mail accompagnant une note d'honoraires.

Dans la convention d’honoraires.

Vous pouvez dans la convention d’honoraires ajouter un article « Traitement des données personnelles » et préciser:


Les informations recueillies durant le traitement de votre affaire font l’objet d’un traitement informatique destiné au suivi de votre dossier: consultation, rédaction d’actes juridiques, plaidoiries. Le destinataire des données est Me Michèle BAUER, Avocate, inscrite auprès du Barreau de Bordeaux depuis le 7 janvier 2003 exerçant 33, Cours Pasteur, 33 000 BORDEAUX, téléphone: 05 47 74 51 50- télécopie: 05 47 74 51 51, mail: à préciser


Conformément aux articles 13 et 14 du règlement (UE) général sur la protection des données 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et l’article 32 de la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004, vous êtes informé que:

  • le responsable du fichier est Me Michèle BAUER dont les coordonnées sont précisées ci-dessus. La finalité du traitement de ces données est le suivi du dossier que vous m’avez confié conformément au mandat donné et détaillé dans la présente convention d’honoraires.
  • Le destinataire est l’avocat qui traite votre dossier soit Michèle BAUER. Le destinataire pourra être un Confrère, avocat correspondant ou postulant si son intervention est nécessaire.
  • Ces données seront conservées durant 5 ans à compter du dernier acte juridique de votre dossier.
  • Vous bénéficiez d’un droit d’accès, de rectification ou d’effacement de vos données personnelles que vous pouvez me demander par courriel ou courrier postal.
  • Vous bénéficiez du droit de demander une limitation du traitement de vos données personnelles.
  • Vous bénéficiez du droit de vous opposer au traitement de vos données personnelles et du droit à la portabilité de vos données.
  • Vous pouvez retirer votre consentement au traitement de vos données personnelles et ceci à tout moment m’écrivant par courriel ou lettre postale.
  • Vous pouvez introduire une réclamation auprès de la CNIL ( site de la CNIL: www.cnil.fr) si vous estimez que la protection de vos données personnelles n’a pas été assurée dans le cadre du traitement de votre dossier.
  • Me Michèle BAUER tient un registre des activités de traitement des données personnelles dont vous pouvez demander la consultation si vous le souhaitez.


Information des clients par mail.

Vous pouvez reprendre le texte ci-dessus dans un mail par exemple lorsque vous avez délivré une consultation qui n’a pas fait l’objet de suite, en adressant la note d’honoraires à votre client, vous pouvez l’accompagner de cette information.


Pourquoi ne pas préciser ces informations sur la note d’honoraires directement ?


Le mieux est certainement de faire signer une convention d’honoraires même pour une simple consultation afin de se ménager une preuve de l’information du client, le mail n’est pas contresigné ni non plus la note d’honoraires de consultation.


La sécurisation du traitement des données personnelles.

Pour finir, il faudra bien sécuriser les données personnelles de vos clients: l’accès aux locaux doit être sécurisés, l’accès au dossiers des clients aussi: mots de passe pour accéder au logiciel de gestion.


Il faudra peut-être envisager de sécuriser vos mails en mettant en place un cryptage.


En conclusion, pour respecter le RGPD, il convient de mettre en place ces documents et surtout de modifier nos conventions d’honoraires.