DROIT PUBLIC CONSULTANTS – Société d'avocats LyonRéforme RGPD et Cabinet d’avocats - DROIT PUBLIC CONSULTANTS - Société d'avocats Lyon

Références & Actualités


Réforme RGPD et Cabinet d’avocats

Le Règlement (UE) 2016/679  relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) est directement applicable à compter de ce jour (25/05/2018).

 

Les cabinets d’avocats, au même titre que toutes les entités et personnes traitant des données personnelles y sont soumis.

 

Le Conseil National des Barreaux (CNB) a édité un guide à destination des avocats. Il convient de s’y reporter pour une information complète et détaillée sur la mise en oeuvre du RGPD. Ce guide définit notamment les notions de données à caractère personnel et de traitement de ces données.  :

 

« Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

  

« Traitement : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

Extrait du guide édité par le CNB

 

Le traitement de données à caractère personnel impose de prendre des mesures, notamment à l’égard des clients.

 

A ce titre, les deux principales obligations résultant de l’entrée en vigueur du RGPD sont de tenir un registre des activités de traitement, et d’informer les clients du traitement de leurs données personnelles par le cabinet.

 

Le guide du CNB est utile pour comprendre ce à quoi les cabinets d’avocat sont soumis. Il convient de s’y reporter pour une information complète.

  

 LE REGISTRE DES ACTIVITÉS DE TRAITEMENT

 

« En contrepartie de la suppression des formalités déclaratives, le RGPD prévoit l’instauration d’un registre des activités de traitement qui doit être tenu par le responsable de traitement.

 

Chaque responsable de traitement devra tenir un registre des catégories de traitement de données à caractère personnel mises en œuvre sous sa responsabilité. Cette obligation ne s’impose pas aux entreprises comptant moins de 250 salariés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque au regard des droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur des données sensibles, ou sur des données se rapportant à des condamnations et des infractions pénales.

 

 Il semble donc qu’un grand nombre de cabinets d’avocats, dès lors que leurs traitements portent sur des données relatives à des catégories particulières de données ou des données se rapportant à des condamnations et des infractions pénales, seront soumis à l’obligation de mettre en place un registre des activités de traitement.

 

En tout état de cause, même pour ceux qui n’y seraient pas obligés, la tenue d’un registre contribue au respect du principe d’accountability (consistant à documenter la conformité pour pouvoir la prouver) et, à ce titre, est vivement conseillée ».

 

Extrait du guide édité par le CNB

 

« Le registre doit, conformément à l’article 30 du RGPD, comporter les informations suivantes :

 

  • Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
  • Les finalités du traitement ;
  • Une description des catégories de données traitées, ainsi que les catégories de personnes concernées par le traitement ;
  • Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales  ;
  • Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ;
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre ».

 

Extrait du guide édité par le CNB

 

=>  La CNIL a publié plusieurs modèles de registre.

 

En tête de son modèle, elle en expose la structure :

 

« Composition du document

 

1. Une première page du registre recense les informations communes à toutes vos activités de traitement.

 

  • Les coordonnées de votre organisme (ou de son représentant sur le territoire européen si votre organisme n’est pas établi dans l’Union européenne)
  • Les coordonnées du délégué à la protection des données (DPO) si vous en disposez
  • La liste des activités de votre organisme impliquant le traitement de données personnelles.

 

2. Pour chaque activité recensée, vous devrez créer et tenir à jour une fiche de registre ».

 

Les pages suivantes constituent le modèle de fiche de registre, que vous devrez remplir pour chacune de ces activités .

 

La notion d’activité peut faire référence à (exemples) :

 

  • Gestion de la paie
  • Gestion des collaborateurs
  • Gestion des fournisseurs
  • Sécurisation des locaux
  • Gestion des données des clients
  • etc…

 

Pour chaque activité il faut alors compléter une fiche (se reporter aux modèles publiés par la CNIL).

 

 SUR L’INFORMATION DES CLIENTS :

 

Les personnes dont les données personnelles font l’objet d’un traitement par le cabinet doivent en être informées. Le guide du CNB, prévoit alors que :

 

 

« Conformément aux exigences de l’article 13 du RGPD, les clients et prospects du cabinet d’avocats doivent être informés :

 

  • De l’identité et des coordonnées du responsable de traitement ;
  • Des coordonnées du délégué à la protection des données lorsqu’il y en a un ;
  • De l’objectif poursuivi (gestion et suivi des dossiers de ses clients) ;
  • De la base juridique du traitement (exécution contractuelle ou précontractuelle à la demande du client) ;
  • De l’intérêt légitime s’il s’agit de la base légale du traitement ;
  • Des destinataires des données (des sous-traitants, des huissiers, etc.) ;
  • Des flux transfrontières ;
  • De la durée conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
  • Des droits dont ils disposent ;
  • Des conditions d’exercice de ces droits ;
  • Du droit de retirer son consentement s’il s’agit de la base légale du traitement ;
  • Du droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • Des informations sur le caractère réglementaire ou contractuel du traitement lorsqu’il s’agit de la base légale du traitement.

 

Ces informations peuvent figurer au sein de la convention d’honoraires. Ces informations peuvent également faire l’objet d’une communication par courriel ou à l’occasion de la transmission d’une note d’honoraires, notamment pour régulariser la situation auprès des clients qui n’ont pas été correctement informés ».

 

 Extrait du guide édité par le CNB

 

=> Ces renseignements doivent être notifiés au moins une fois aux clients dont les données personnelles font l’objet d’une opération de traitement, de préférence dès le début de la prise en charge du dossier.