La réforme sur les données personnelles : les enjeux du RGPD et la profession d’avocat

La protection des données à caractère personnel est devenue un sujet d’actualité dans le monde du droit. Les entreprises sont toutes à l’affût à l’approche de l’application du nouveau Règlement Européen, qu’en est-il de notre profession ?

La profession d’avocat, jusqu’alors soumise à la loi Informatique & Libertés du 6 janvier 1978 modifiée en 2004 se verra bientôt, soumis à la nouvelle règlementation européenne relative à la protection des données.

La mise en œuvre du Règlement(UE) 2016/679 relatif à la Protection des Données (RGPD) adopté le 27 avril 2016 et applicable à compter du 25 mai 2018 s’inscrit dans la continuité de la protection des données personnelles des individus déjà assurée par la loi Informatique & libertés, et impose des mesures de protection renforcées.

A l’occasion de son activité professionnelle, l’avocat est amené à connaître, recueillir, et traiter les données personnelles de ses clients et de ses salariés. En ce sens, l’avocat est Responsable du traitement de données qu’il gère dans le cadre de son cabinet ; et est soumis à la législation relative à la protection des données personnelles.

La CNIL, en 2011, présentait un guide intitulé « Les avocats et la loi informatique et Libertés ». Ce guide indiquait déjà les obligations et risques liés à la profession ainsi que les mesures à prendre pour être en conformité avec la loi Informatique & Libertés.

Avec le nouveau règlement, on assiste à un changement de paradigme où la responsabilité des acteurs est mieux encadrée, donc plus stricte. Par ailleurs, les formalités préalables à la constitution d’un fichier, y compris un fichier papier, évoluent : suppression des déclarations préalables, ainsi que des demandes d’autorisation.

Par contre de nouvelles formalités, parfois plus lourdes à mettre en œuvre, devront être accomplies.

A ce titre, l’avocat devra notamment :

  • 1. Adopter des mesures d’encadrement de la collecte, l’usage et la suppression des données

Ces mesures consistent à obtenir le consentement écrit et préalable des personnes concernées par les données collectées. Le recueil du consentement est toutefois adapté à chaque situation : relation contractuelle, sondage, etc…

Ainsi, la collecte et l’utilisation des données est régi par des règles issues du Règlement, qui doivent être mises en place par le Responsable du traitement, l’avocat. Le Règlement entérine l’obligation de résultat de sécurité des données. Ainsi, une traçabilité des accès aux données et de leurs modifications doit également être mise en place.  Il s’agit d’une journalisation informatique des informations relatives aux opérations effectuées sur les données.

Le RGPD renforce le droit des personnes concernées par les données. Ces droits, qui existaient antérieurement, imposent de nouvelles obligations pour les détenteurs des données.

Le RGPD requiert de respecter notamment, le droit à l’oubli, à savoir l’effacement total des données à caractère personnel, ou au minimum l’anonymisation de celles-ci, dans un délai raisonnable lorsqu’elles ne sont plus nécessaires. Cela doit être réalisé de manière automatique par le responsable du traitement.

Il s’agit donc de mesures juridiques et organisationnelles très importantes.

Le contrôle de la mise en place de telles mesures est réalisé sur site par des agents assermentés qui prennent connaissance des documents juridiques relatifs à la conformité. Il s’agit d’un système dans lequel le responsable du traitement doit être en mesure de démontrer, sur simple demande, que l’usage qu’il fait des données qu’il détient respecte la législation. C’est le principe de l’accountability.

  • 2. Garantir sécurité et confidentialité des données personnelles

Les cabinets devront prévoir des processus et des mécanismes internes pour assurer la sécurité informatique des données personnelles de leurs clients et salariés. Certaines données, considérées comme particulièrement sensibles (informations relatives à la santé, aux condamnations, aux situations financières, etc.) nécessiteront une sécurité renforcée, assurée par des moyens logiques par exemple via une gestion des habilitations informatiques ou par des moyens physiques.

Il s’agit ici aussi d’une obligation de résultat.

  • 3. Tenir un registre des traitements 

Les déclarations normales et simplifiées disparaitront au profit d’un registre des traitements obligatoire que le responsable des traitements sera tenu d’actualiser régulièrement. Les demandes d’autorisation et d’avis, eux, perdureront.

Ce registre devra comporter des informations telles que le type de données, leurs finalités, leur durée de conservation etc. et devra être disponible à la simple demande.

  • 4. Etre prêt à transmettre les données à caractère personnel de la personne qui en fait la demande

Le nouveau règlement fait apparaître un droit à la portabilité des données qui consiste en la transmission d’une copie des données à caractère personnelles d’un individu ayant fait l’objet d’un traitement. L’interopérabilité du format des données transmises étant essentielle, aucun format n’est imposé par le règlement, seul les critères suivants sont retenus par l’article 20 : « un format structuré, couramment utilisé » et « lisible par une machine ».

  • 5. Notifier les violations des données à caractère personnel

Toute violation de données à caractère personnel doit être notifiée auprès de la CNIL dès lors qu’elle porte atteinte à la ou les personnes concernées dans un délai de 72H. Les avocats sont particulièrement concernés par ce risque, les données de leur clientèle étant particulièrement sensibles une fuite d’information pouvant avoir des conséquences graves.

Notamment lorsque l’adresse mail d’un avocat est détournée, ou piratée, il doit non seulement informer son bâtonnier, mais également l’ensemble de ses clients, et la CNIL.

  • 6. S’assurer du respect du RGPD par leurs collaborateurs et partenaires extérieurs (sous-traitants, prestataires)

Les sous-traitants et prestataires ayant accès aux données doivent également respecter la règlementation, et le responsable de traitement doit s’en assurer. La nouvelle règlementation fait intervenir la notion de coresponsabilité entre les sous-traitants, et le donneur d’ordre, en cas de violation des données personnelles.

  • 7. Prévoir des analyses d’impact

En présence d’un risque élevé pour les droits et libertés des individus, en cas d’utilisation d’une nouvelle technologie ou d’un traitement à grande échelle, l’article 35 du RGPD impose la réalisation d’une analyse d’impact.  Cette analyse permet au responsable de traitement d’identifier un risque avant la mise en œuvre d’un traitement, et ainsi de prévenir tout risque d’atteinte à la vie privée qui pourrait en résulter.

Un avocat exerçant à titre individuel ne sera pas tenu de réaliser cette analyse d’impact. Ce cas précis fait partie des exemptions prévues par le considérant 91 du règlement et repris dans les lignes directrices du G29 (autorité communautaire de protection des données européennes).

  • 8. Désigner un Délégué à la Protection des données

– Face à ces nouvelles obligations, le règlement propose en son article 37 l’intervention d’un nouvel acteur, le délégué à la protection des données.

Successeur du Correspondant Informatique et Libertés (CIL) de la loi de 1978, le délégué à la protection des données est la personne en charge du respect de la nouvelle règlementation et de la mise en conformité de l’organisme.

L’article 37 du règlement le considère comme obligatoire pour certains organismes : secteur public, entreprise privée dont l’activité amène au suivi régulier et systématique des personnes à grande échelle, entreprises traitant de données dites « sensibles », ou traitant de données relatives à des condamnations pénales et des infractions.

Le délégué à la protection des données est une personne qui sera en charge de conseiller, d’informer le responsable de traitement, le sous-traitant et les employés ; s’assurer du respect de la règlementation, conseiller l’organisme sur la réalisation des études d’impact lorsque cela sera nécessaire, en vérifier l’exécution, coopérer avec la CNIL et être son point de contact en cas de contrôle. En cas de violation grave, le délégué à la protection des données a le devoir d’en informer la CNIL, y compris lorsque l’organisme s’y refuse.

– A ce titre, le CNB préconise que « l’appréciation de l’obligation de désigner ou non délégué à la protection des données doit se faire au cas par cas. »

Ainsi les avocats doivent examiner leur situation au cas par cas, en fonction du nombre de personnes concernées par les traitements de données qu’ils réalisent, le volume de données, la durée des traitements, l’étendue géographique du traitement, etc. afin de déterminer s’ils sont dans l’obligation d’en désigner un.

C’est pourquoi le CNB propose la mise en place d’un Délégué à la protection des données mutualisé.

Cette fonction, en cabinet d’avocat peut être exercée par une ressource interne, externe, ou mutualisée.  Si elle peut être considérée comme un investissement supplémentaire alourdissant la charge de la profession, l’augmentation exponentielle des sanctions encourues par le responsable des traitements suffit à s’interroger sérieusement de cette problématique.

– Les avocats ont la possibilité d’exercer cette fonction conformément à la réforme des articles 6 et 19 du règlement intérieur national de la profession d’avocat, adopté par l’assemblée générale du Conseil National des Barreaux des 9 & 10 décembre 2016. La fonction de CIL étant déjà ouverte à la profession, il était logique que celle de délégué à la protection des données le soit également.

L’avocat délégué à la protection des données est soumis à deux devoirs : celui de non-dénonciation de son client et le devoir de démission en cas de conflit d’intérêts.

Il sera donc impossible d’exercer la mission de Délégué à la protection des données pour un client et en assurer la défense dans une procédure le mettant en cause.

Cette fonction nécessite un niveau de connaissance, voire d’expertise en la matière. Au-delà du conseil rigoureux et précis qu’il devra fournir aux entreprises, le délégué devra assurer une mission d’information et de sensibilisation auprès des salariés.

– Le délégué à la protection des données doit assurer la conformité de l’organisme auquel il est rattaché. Sa nomination permet de prévenir de l’amende administrative que risquent les entreprises dont l’usage des traitements ne serait pas licite.

En effet, les amendes administratives en cas de violation du Règlement s’élève à 10 000 000€ ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu, pour les cas les moins graves ; et à 20 000 000€ ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu

Au-delà de ces considérant pratiques, l’image des entreprises est impactée par l’arrivée du RGPD. Les entreprises sont dans une course à la conformité effrénée pour rassurer leur clientèle et gagner des parts de marché. La présence d’un délégué à la protection des données inspire la confiance, comme les certifications et les normes ISO le faisaient déjà, et assurent une image de respectabilité aux organismes qui s’en sont dotés.

Que vous choisissiez une ressource interne, externe ou mutualisée, réaliser un bilan de vos traitements et une analyse de vos besoins est nécessaire pour vous préparer au 25 mai 2018.

Alexandrine PANTZ
Avocat à la Cour

Laura THIANT
Juriste