RGPD : êtes-vous prêt ?

À quelques semaines de son entrée en vigueur, le Règlement général sur la protection des données (RGPD) peine encore à mobiliser les cabinets avocats, en dépit des actions de sensibilisation que mène le Conseil national des barreaux depuis quelques mois.
Principale raison : nos confrères considèrent dans leur grande majorité qu’en matière de protection des données personnelles, le secret professionnel suffit et les dispense de se conformer au nouveau Règlement européen. Or, c’est précisément pour cette raison qu’ils sont concernés et doivent redoubler de vigilance.

"Le secret à l'heure du RGPD" Par Alain BENSOUSSAN, avocat au Barreau de Paris / Président d'Honneur
(Maître n° 244, dossier "Secret professionnel : en règles et contre tout.", 2^ème trimestre 2018)

AU SOMMAIRE de ce dossier Maître

• Préface
• Le secret dans les opérations de contrôle de l'impôt
• Le secret en matière de défense et de conseil
• Le secret à l'heure du RGPD

LE RGPD C'est maintenant !

Le Règlement général sur la protection des données (« RGPD » ou « GDPR » en anglais), adopté le 27 avril 2016, sera directement applicable dans l’ensemble des États membres le 25 mai 2018.

Les cabinets d’avocats sont concernés par cette réforme qui impacte en profondeur l’environnement digital de l’ensemble des entreprises : ceux-ci sont évidemment amenés à mettre en oeuvre un nombre important de traitements qui peuvent s’avérer d’une
particulière sensibilité du point de vue du droit des données personnelles.

Ceci nécessite un encadrement particulier de ces traitements notamment en termes de sécurité, de confidentialité, de loyauté…
Mais aussi et surtout de protection au regard du secret professionnel auquel nous sommes astreints.

Or, si certains sont déjà sensibilisés au sujet, la grande majorité de nos confrères estiment que le secret professionnel
suffit et les dispense de se conformer au RGPD.

Pourtant, dès lors qu’ils traitent de la donnée client, les avocats sont concernés par le RGPD.

Ils le sont tout autant pour leur gestion RH, la surveillance de leurs locaux ou encore dans le cadre de leur politique de marketing & communication.

Ceci passe notamment par l’information des personnes concernées et la nécessité de mentions particulières notamment dans les conventions d’honoraires.

Il convient également d’insérer des clauses particulières dans les contrats de sous-traitance conclus avec les prestataires auxquels ils recourent.

Du point de vue de la sécurité, il leur est nécessaire d’assurer une bonne gestion de l’accès aux locaux et au système informatique,
de procéder à l’archivage des dossiers de leurs clients.

Pour chacun des traitements mis en oeuvre par un cabinet d’avocats, celui-ci doit déterminer une durée de conservation des données qui soit adaptée au regard de la finalité de chacun d’eux.

Autant d’enjeux qu’ont bien compris nos instances représentatives, comme le démontre la parution, au moment où nous bouclons ces lignes, du Guide pratique « Les Avocats et le Règlement général sur la protection des données (RGPD) » rédigé par le CNB, le Barreau de Paris et la Conférence des bâtonniers (1^ère éd., mars 2018).

Depuis quelques semaines, les Ordres et les écoles d’avocats se saisissent de cette question notamment en organisant des formations dédiées à l’accompagnement des avocats dans la mise en conformité de leur cabinet avec les exigences du RGPD.

De nouvelles obligations pour les avocats

De façon générale, le RGPD va imposer aux cabinets de se plier à de nouvelles obligations, parmi lesquelles :

• l’obligation, à tout moment, d’être en mesure de démontrer la conformité de leurs traitements (principe de responsabilité ou
  d’accountability) ;
• la prise en compte de la protection de la sécurité des données, tant logique que physique, du traitement de données concerné ;
• l’obligation de notifier à la CNIL toute violation de données à caractère personnel.

Se poser les bonnes questions

Avec le RGPD, les avocats doivent intégrer les bons réflexes d’une véritable posture Informatique et Libertés.

En premier lieu, il convient de s’interroger : le cabinet réaliset-il des traitements de données personnelles qui l’assujettit à la réglementation Informatique et Libertés du fait de leur nature, de leur portée et/ou de leur finalité ?

La réponse est évidemment positive comme au sein de n’importe quel organisme ou entreprise.

Rappelons qu’une donnée à caractère personnel est définie comme « toute information permettant d’identifier une personne physique », soit directement (tel que le nom et le prénom, le numéro de sécurité sociale, son numéro de matricule…) soit indirectement (notamment par référence à des éléments qui lui sont propres : un identifiant en ligne, ou un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, économique, culturelle ou sociale, la fonction d’une personne, des données de localisation géographique…).

Dès lors que les données permettent de remonter à une personne physique et qu’il reste une possibilité d’identifier à qui ces données sont rattachées, celles-ci sont considérées comme ayant un caractère personnel.

La nouvelle réglementation s’applique à la mise en oeuvre des traitements de données à caractère personnel, qu’il s’agisse :

• de fichiers ou bases informatiques (fichiers du personnel ou fichiers de clients) ;
• de systèmes faisant appel à d’autres technologies (téléphone, accès par badge, vidéosurveillance, etc.).

 [...]

Connectez-vous pour lire la suite dans "Le kiosque"