En complément des outils déjà mis à votre disposition, notamment le guide RGPD pour les avocats, le Conseil national des barreaux met à jour une foire aux questions pour vous éclairer en un clin d’œil sur le Règlement général sur la protection des données (RGPD) et son application pratique dans votre quotidien professionnel.
LES FONDAMENTAUX DE LA CONFORMITÉ | RESPECT DES DROITS DES PERSONNES | DURÉES DE CONSERVATION | SOUS-TRAITANCE | SÉCURITÉ | INTERNET ET COMMUNICATION | RESSOURCES HUMAINES | TRANSFERTS INTERNATIONAUX DE DONNÉES
Dernière mise à jour : 12/02/2024
LES FONDAMENTAUX DE LA CONFORMITÉ
1. Comment comprendre simplement les principes issus du RGPD ?
Un bon point de démarrage peut être l'Atelier RGPD de la CNIL. De manière ludique, ce site internet présente les grands principes du Règlement général sur la protection des données et permet de mieux cerner les enjeux de sécurisation des données et l'intégration des principes de protection des données concernant les traitements sous votre responsabilité.
Une seule adresse pour s'y rendre : https://atelier-rgpd.cnil.fr/.
Nota : la création d’un compte est requise pour accéder à la formation (totalement gratuite).
2. En quelques mots, qu’est-ce que le RGPD ?
Le 25 mai 2018 entrait en application le règlement n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données, dit « Règlement général sur la protection des données » (RGPD), abrogeant de fait l’ancienne directive de l’Union européenne sur la question datant de 1995 (directive 95/46/CE).
Ce texte a renforcé les droits existants en matière de protection des données à caractère personnel pour les personnes physiques afin de garantir que le traitement de leurs données personnelles soit suffisamment sécurisé, de donner à ces personnes le contrôle sur leurs données et de s'assurer que ce traitement ne génère pas de risques excessifs pour les droits et libertés de ces personnes. Il a aussi renforcé les obligations et la responsabilité des organisations qui traitent des données à caractère personnel.
3. Les avocats sont-ils soumis aux dispositions du RGPD ?
OUI. Comme pour toute personne amenée à traiter des données à caractère personnel, que ce soit sur format numérique ou papier, le RGPD s'applique à tous les cabinets d'avocats, quels que soient leur taille, leur structure et leur domaine d’activité et il ne concerne que les données des personnes physiques, notamment des données considérées comme « sensibles » dont la protection est inhérente au lien de confiance unissant l’avocat à son client et au respect des obligations déontologiques de ce premier, et plus particulièrement celles du secret professionnel.
Le RGPD s’applique notamment pour les personnes dont les données sont traitées par les cabinets d’avocats établis en France ou dans un autre Etat membre de l’Union européenne, et ce quelle que soit la nationalité des personnes concernées et que le traitement ait lieu ou non au sein de l’Union (notamment dans le cadre d’inscription dans un barreau étranger, d’une activité connexe ou d’un établissement secondaire).
4. Quelles sont les principales mesures imposées par le RGPD ?
- Respecter les droits des personnes sur leurs données et leur permettre notamment d’accéder à leurs informations personnelles ;
- Ne collecter que les informations adéquates, pertinentes et strictement nécessaires au regard de la finalité pour lesquelles elles ont été collectées (minimisation) ;
- Fixer des durées de conservation limitée des données et ne pas conserver ces dernières indéfiniment et sans restriction au fil du temps ;
- Sécuriser, autant que de possible, les données personnelles sous sa responsabilité et prendre toutes les mesures techniques et organisationnelles pour ce faire ;
- Intégrer les concepts de protection des données dès la conception de nouveaux produits ou services et par défaut. Lorsque l’avocat fait évoluer ses pratiques, il doit s’interroger ab initio sur l’impact de l’évolution sur les données qu’il traite. Cela implique notamment l’intégration de dispositifs techniques de protection des données à caractère personnel et de mesures organisationnelles permettant de limiter les risques d’atteinte aux droits et libertés des individus ;
- Se conformer au principe d’accountability qui impose aux cabinets de se préconstituer la preuve de leur conformité, notamment par la tenue d’un registre des activités de traitement en tant que responsable de traitement ainsi qu’une documentation relative aux violations de données ;
- Notifier à la CNIL en moins de 72h toute violation de données à caractère personnel susceptible d’engendrer un risque pour les droits et libertés des personnes concernées, et informer directement le plus rapidement possible ces personnes si le risque peut être considéré comme élevé ;
- Désigner, lorsque les conditions sont remplies, un Délégué à la protection des données ou Data Protection Officer (DPO) ;
- Vérifier la conformité au RGPD de ses sous-traitants et s’assurer par exemple qu’un prestataire informatique a mis en place des mesures de sécurité adaptées et que des clauses de sous-traitance viennent encadrer la répartition des responsabilités quant aux traitements des données ;
- Recenser les transferts de données personnelles hors de l’Union européenne, notamment via les sous-traitants du cabinet, et vérifier que ces premiers sont bien encadrés par les différents outils juridiques disponibles (articles 45 à 49 du RGPD) et s’assurer que les garanties appropriées pour le transfert ont bien été prises lorsque la situation l’exige ;
- Mener des analyses d’impact sur la protection des données (AIPD, ou études d’impact sur la vie privée) pour les traitements de données susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Les analyses d’impact permettent de satisfaire aux principes d’ « accountability » et de protection des données dès la conception (« privacy by design ») (cf. supra).
5. La désignation d’un DPO est-elle obligatoire pour un cabinet d’avocats ?
Non, mais elle est recommandée. Aux termes de l’article 37 du RGPD, les responsables de traitement et les sous-traitants devront obligatoirement désigner un délégué :
- S’ils appartiennent au secteur public ;
- Si leurs activités de base (principales) les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ;
- Si leurs activités de base (principales) les amènent à traiter (toujours à grande échelle) des catégories particulières de données, dites « sensibles », et des données relatives à des condamnations pénales et à des infractions.
Pour la majorité des cabinets d’avocats, il ne semble pas qu’une telle désignation soit obligatoire dans la mesure où, s’ils traitent des catégories particulières de données ou des données relatives aux infractions et condamnations, les cabinets ne le font pas « à grande échelle ». A défaut de désigner un DPO proprement dit, il est conseillé aux cabinets d’avocats de faire appel à un spécialiste pour les accompagner dans leur mise en conformité ou de nommer un référent RGPD en interne le cas échéant.
6. Quelles informations doit comporter le registre des activités de traitement ?
Le RGPD prévoit l’instauration d’un registre de traitement, outil de documentation (respect du principe d’ « accountability ») et de pilotage de la conformité, qui doit être tenu par l’avocat en tant que responsable de traitement (les sous-traitants ont aussi l’obligation de tenir ce registre pour les catégories d'activités de traitement effectuées pour le compte d’un responsable du traitement mais les avocats, de par leur indépendance, ne devraient pas être considérées dans l’exercice de leur profession comme des sous-traitants).
Nota : le RGPD énonce que l’obligation de tenir un registre ne s’impose pas aux organismes comptant moins de 250 employés, sauf si le traitement qu’ils effectuent est susceptible de comporter un risque au regard des droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur des données sensibles, ou sur des données se rapportant à des condamnations et des infractions pénales. Il semble donc que tous les avocats, du simple fait que les traitements qu’ils mettent en œuvre sont pérennes et portent la plupart du temps sur des données relatives à des catégories particulières de données ou des données se rapportant à des condamnations et des infractions pénales, sont soumis à l’obligation de mettre en place un registre des activités de traitement comportant autant de fiches qu’il n'existe de traitements concernés par les exceptions susvisées.
Le registre, s’il ne fait l’objet d’aucun formalisme particulier (si ce n’est le fait d’être nécessairement écrit) doit, conformément à l’article 30.1 du RGPD, comporter les informations suivantes :
- Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
- Les finalités du traitement ;
- Une description des catégories de données traitées, ainsi que les catégories de personnes concernées par le traitement ;
- Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
- Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou vers une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale, et les documents attestant de l’existence de garanties appropriées ;
- Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ;
- Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.
7. Les cabinets d’avocats sont-ils tenus de mener des analyses d’impact (AIPD) ?
En vertu de l’article 35 du RGPD, lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, notamment le traitement à grande échelle de catégories particulières de données, le responsable du traitement doit effectuer, avant toute mise en œuvre, une analyse d’impact relative à la protection des données.
Un cabinet d’avocats, quel que soit sa taille, pourrait avoir à réaliser des analyses d’impact si les traitements mis en œuvre répondent à au moins deux critères sur neuf déterminés par la CNIL et par le CEPD (évaluation/scoring, décision automatique avec effet légal ou similaire ; surveillance systématique ; collecte de données sensibles ; collecte de données à caractère personnel à large échelle ; croisement de données ; personnes vulnérables ; usage innovant ; exclusion du bénéfice d’un droit / contrat).
A ce titre, le traitement de gestion des dossiers des clients semble par exemple devoir faire l’objet d’une analyse d’impact (car au moins deux critères peuvent s’appliquer, comme la collecte de données sensibles [1] de personnes vulnérables [2]).
Nota : la CNIL publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise, et parmi lesquelles figurent les traitements mis en œuvre par les avocats exerçant à titre individuel, cette exemption n’étant pas applicable aux structures d’exercice.
L’AIPD doit être réalisée avant la mise en œuvre effective de tout nouveau traitement de données qui en nécessiterait, par exemple en amont d’un projet.
RESPECT DES DROITS DES PERSONNES
8. Quelles informations sont dues aux clients et prospects de l’avocat en cas de collecte de leurs données ?
Conformément aux exigences de l’article 13 du RGPD, les clients et prospects du cabinet d’avocats doivent notamment être informés :
- De l’identité et des coordonnées du responsable de traitement (le cabinet) ;
- Des coordonnées du délégué à la protection des données lorsqu’il y en a un ;
- De l’objectif poursuivi (gestion et suivi des dossiers de ses clients) ;
- De la base juridique du traitement (exécution contractuelle ou précontractuelle à la demande du client pour la gestion de son dossier, intérêt légitime de l’avocat pour l’envoi de newsletters à ses clients, consentement pour l’envoi de newsletters à des personnes prospectes [B to C], etc.) ;
- De l’intérêt légitime précisé du responsable de traitement s’il s’agit de la base légale du traitement ;
- Des destinataires des données (des sous-traitants, des huissiers, etc.) ;
- Des flux transfrontières ;
- De la durée de conservation ;
- Des droits dont ils disposent ;
- Des conditions d’exercice de ces droits ;
- Du droit de retirer son consentement s’il s’agit de la base légale du traitement ;
- Du droit d’introduire une réclamation auprès d’une autorité de contrôle ;
- Des informations sur le caractère réglementaire ou contractuel du traitement lorsqu’il s’agit de la base légale du traitement.
Les informations mentionnées doivent être communiquées au moment de la collecte des données (« au moment où les données sont obtenues ») et doivent être repérables facilement : page de données personnelles dédiée sur le site internet du cabinet, avec un lien hypertexte disponible par exemple dans le menu de pied de page (footer) du site, affichette présente au sein des locaux du cabinet et visible des clients lors d’un 1er rendez-vous, rappel des informations au sein des dispositions contractuelles de la convention d’honoraires, etc.
L’avocat peut aussi les mentionner à l’oral à ses clients, le RGPD n’exigeant pas que l’information soit fournie par écrit (mais l’écrit fournit aux responsables de traitement la preuve du fait que l’information a été effectuée correctement).
Enfin, les informations doivent être rédigées dans un format suffisamment compréhensible : vocabulaire et style d’expression simples ou adaptés au public cible, sommaire détaillé, choix d’intitulé clair, paragraphe aéré, QR code renvoyant vers une page d’informations, etc.
Ces informations peuvent figurer au sein de la convention d’honoraires. Ces informations peuvent également faire l’objet d’une communication par courriel ou à l’occasion de la transmission d’une note d’honoraires, notamment pour régulariser la situation auprès des clients qui n’ont pas été correctement
informés.
9. Quid des informations fournies par un client à son avocat sur la partie adverse (collecte indirecte) ?
L’article 14 du RGPD énumère les informations à communiquer lorsque les données à caractère personnel ne sont pas directement collectées auprès de la personne concernée. C’est le cas notamment lorsque dans le cadre d’un dossier, le client transmet des informations sur la partie adverse à l’avocat. Ces informations contiennent des données à caractère personnel de la partie adverse qui seront dès lors indirectement collectées par l’avocat.
L’article 14 du RGPD prévoit donc que la personne doit être informée des éléments prévus à l’article 13 du RGPD mais également les catégories de données à caractère personnel concernées et la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public.
Une telle information poserait difficulté à l’avocat puisque le respect de cette obligation impliquerait d’informer la partie adverse de la constitution du dossier par l’avocat et donc de mettre en péril les intérêts de son client. C’est pourquoi, le RGPD prévoit à l’article 14 alinéa 5, d) une exception à l’information des personnes dont les données à caractère personnel sont indirectement collectées, dès lors que lesdites données doivent rester confidentielles en vertu d’une obligation de secret professionnel réglementée.
10. Jusqu’où peut aller le droit d’accès aux données ?
Le droit d’accès aux données est le principe par lequel toute personne peut demander à un organisme, privé ou public, si ce dernier détient des données sur elle et, dans l’affirmative, de lui communiquer ses informations personnelles sous une forme compréhensible et claire (article 12 du RGPD) accompagnée d’informations concernant les traitements des données en question (article 15 du RGPD).
Ce droit permet aussi à la personne concernée de vérifier si des données la concernant sont traitées et de quelle façon et si le traitement mis en œuvre est licite. En clair, le demandeur doit être informé clairement de la nature des informations personnelles que le responsable de traitement détient sur lui et doit pouvoir accéder facilement à ces informations, pour peu que la reproduction des données qui lui est communiquée est « fidèle et compréhensible » (CJUE, 04/05/2023, C-487/21).
Sur le principe que la demande d’accès aux données (article 15 du RGPD) concerne les informations à caractère personnel et non les documents, la question de la communication des mails échangés avec le demandeur se pose, tout comme celle des données relatives aux connexions de ce dernier via des plateformes ou espaces en ligne (logs de connexion) :
- concernant les données contenues dans les mails : les informations identifiantes dans les mails sont théoriquement communicables au titre du droit d’accès. Il conviendra donc de communiquer les mails concernant la personne, moyennant le fait que la seule communication des données identifiantes ne pourrait pas permettre à la personne concernée de comprendre le traitement qui en est réalisé, mais en respect du droit des tiers et des principes du secret des correspondances et du secret professionnel (qui impliquera peut-être une anonymisation de données de tiers) ;
- concernant les données contenues dans les logs de connexion : les traces informatiques laissées par les clients, collaborateurs et salariés du cabinet dans les différents logiciels, applications et systèmes d’exploitation sont dans la théorie communicables si elles ne sont pas totalement anonymisées. Néanmoins, la fourniture de certaines de ces données pourrait divulguer des informations sur les systèmes de défense numérique du cabinet et compromettre la sécurisation globale des données qui s’y trouvent. Il est ainsi conseillé de ne fournir que les logs de connexion ne présentant aucun risque, après avis et conseils des sous-traitants en la matière.
DURÉES DE CONSERVATION
11. Combien de temps l’avocat peut-il conserver les données de ses clients ?
L’avocat responsable de traitement doit définir une politique de durée de conservation des données au sein de son cabinet. Les données à caractère personnel ne peuvent être conservées que le temps nécessaire à l’accomplissement de l’objectif poursuivi lors de leur collecte.
Généralement, les données relatives aux clients peuvent être conservées le temps de la relation contractuelle entre l’avocat et son client. Au-delà, les données devraient être archivées pour la période où la responsabilité de l’avocat pourrait être mise en cause avant suppression définitive des données.
12. Comment connaître ou définir la durée de conservation d’une donnée ?
Les informations personnelles figurant dans un fichier ne peuvent être conservées indéfiniment, une durée de conservation des données doit être établie en fonction du type de données enregistrées et de la finalité de chaque fichier, de manière cohérente et justifiée.
Dans certains cas, la durée de conservation minimum est fixée par la réglementation. Néanmoins, pour de nombreux traitements, la durée de conservation des données n’est pas énoncée par un texte.
Dans ce cas, l’avocat responsable de traitement peut, pour déterminer la durée de conservation applicable, s’appuyer sur les différents outils d’aide à l’identification des durées élaborés par les délibérations de la CNIL ou les règles professionnelles.
En l’absence de tout élément en la matière, il appartient à l’avocat d’analyser le traitement opéré au cas par cas afin de fixer une durée de conservation raisonnable et en adéquation avec l’objectif de base (le temps de réalisation de la finalité). Souvent, le choix est effectué en considération du délai de prescription des actions pouvant résulter du document ou du traitement en question.
Attention : l’avocat devra toujours pouvoir justifier la raison de la conservation des données au-delà d’un délai fixé en cas de contrôle de la CNIL.
SOUS-TRAITANCE
13. Quelles précautions doit prendre un cabinet d’avocat en cas de sous-traitance de traitements de données à caractère personnel ?
En pratique, le sous-traitant est la personne qui traite des données à caractère personnel pour le compte du cabinet d’avocats, par exemple un comptable, un éditeur de logiciel, un hébergeur, etc.
L’article 28, al. 3, du RGPD énonce l’obligation de souscrire un contrat liant le sous-traitant au responsable du traitement, tout en précisant ses contours et en fixant des exigences strictes et tant sur les modalités de traitement que sur la gestion de leurs relations et l’échange d’informations entre eux.
Sur ce sujet, les clauses de sous-traitance ainsi établies doivent notamment prévoir les conditions dans lesquelles le sous-traitant s’engage à effectuer les opérations de traitement pour le compte du responsable de traitement, y compris les mesures de sécurité et les processus d’audit de façon détaillée et opérationnelle.
Également, en vertu de l’article 28, al.1, du RGPD, le responsable de traitement a l’obligation de ne recourir qu’à « des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée ».
14. L’avocat peut-il être considéré comme un sous-traitant au sens de la réglementation RGPD ?
Le sous-traitant est défini à l’article 4 point 8 du RGPD comme étant « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement ».
L’ancien guide de la CNIL « Les avocats et la loi Informatique et Libertés » de 2011 évoquait le cas particulier des audits où les avocats pouvaient être considérés comme des sous-traitants, agissant « sur la base d’instructions strictement définies par leurs clients ». Ainsi, s’il était établi que l’avocat exerçait une activité de collecte et compilation d’information sur les strictes instructions et délimitations du client, sans aucune forme d’autonomie ou d’analyse juridique, il pourrait être considéré comme un sous-traitant au sens du RGPD. D’autres types de prestation pourraient être couvertes par cette qualification, notamment si l’avocat réalise des missions délimitées pour le compte de ses clients comme une cartographie ou des tris de données, le renseignement de formulaires ou encore la simple réception d’alertes professionnelles à la demande du client.
Néanmoins, l’indépendance de l’avocat fait que celui-ci ne doit pas être considéré comme un sous-traitant au sens du RGPD ni même comme un prestataire lambda. Ainsi, l’avocat ne devrait jamais faire signer de clauses le qualifiant de sous-traitant vis-à-vis de ses clients, étant entendu qu’une qualification ainsi retenue ne serait pas sans conséquence. Dans un même ordre d’idées, la réponse par un avocat à un marché public et sa qualité de titulaire s’il le remportait, s’il fait de lui un prestataire pour l’acheteur public, ne fait pas de lui un sous-traitant au sens du RGPD (identique par analogie concernant un marché privé).
La qualification du collaborateur est plus complexe car le collaborateur, libéral ou salarié, peut traiter les dossiers du cabinet ou bien ses dossiers personnels. L’article 14 du Règlement intérieur national rappelle “l’indépendance qu’implique le serment d’avocat”, autant pour le collaborateur libéral que salarié sans lien de subordination avec le cabinet sinon pour ce qui concerne les conditions de travail. En application de cette règle, l’avocat collaborateur ne semble pas pouvoir non plus être assimilé à un sous-traitant du cabinet. Lorsque les collaborateurs / salariés traitent des données personnelles pour les besoins des dossiers du cabinet ou d’autres activités du cabinet, ce dernier est responsable de traitement et le collaborateur agit comme une personne autorisée à traiter ces données personnelles (articles 4.10, 29, 32.4 du RGPD).
Enfin, concernant l’avocat collaborateur qui utilise les moyens du cabinet pour le traitement de ses dossiers personnels, dans ce cadre strict, il est responsable de traitement et le cabinet, traitant des données pour le compte de ce premier, pourrait être considéré comme son sous-traitant, même si cela soulève d’innombrables problèmes pratiques quant au respect impossible de l’article 28 du RGPD. La difficulté nait de ce que la mise à disposition du collaborateur des moyens informatiques du cabinet ne résulte pas d’une prestation de service volontaire, mais d’une obligation déontologique. Toutefois, si la gestion des dossiers personnels est opérée via des moyens informatiques mis en œuvre par des prestataires externes et que les logiciels et le système d’information n’ont pas été développés directement par et pour le cabinet, le cabinet ne sera pas considéré comme le sous-traitant du collaborateur libéral pour la gestion de ses dossiers personnels.
SÉCURITÉ
15. Quelles mesures de sécurité numériques devraient être mises en place au sein du cabinet ?
Il est notamment conseillé de :
- Authentifier les utilisateurs de manière forte : mettre en place pour l’accès à tous les espaces numériques (ordinateur de bureau / portable, logiciel, application accessible par navigateur internet, site internet de l’avocat, etc.) une authentification via un mot de passe « robuste » présentant un degré de complexité du mot de passe (l’entropie) et non plus une longueur minimale afin d’offrir plus de liberté dans la définition de politiques de mots de passe robustes et adaptées aux cas d’usage (conformément à la nouvelle recommandation relative aux mots de passe publiée par la CNIL en 2022) ; doubler la connexion login / mot de passe (robuste) avec une authentification dite « multifacteur » (dit « MFA », code de confirmation reçu par SMS ou par mail à la suite d’une authentification classique réussie) ; ne pas le partager ; ne pas le noter en clair sur une feuille ; éviter de le préenregistrer ; le modifier « réellement » (changement total de la suite de caractères et interdiction de reprise du précédent mot de passe agrémenté d’un caractère au début ou à la fin par exemple) uniquement en cas de doutes, avérés ou non, sur une perte de confidentialité des informations détenues par l’avocat. Nota : la CNIL ne préconise plus désormais le renouvellement périodique des mots de passe (sauf pour les comptes administrateurs) et préconise plutôt le choix d’un mot de passe présentant un haut degré de complexité (l’entropie ) pour ne plus avoir à en changer.
- Gérer les habilitations et sensibiliser les utilisateurs : déterminer les personnes qui sont habilitées à accéder aux données à caractère personnel ; supprimer les permissions d’accès obsolètes ; rédiger une charte informatique et l’annexer au règlement intérieur lorsqu’il en existe un interdisant notamment le téléchargement de logiciel non autorisé ou autres outils disponibles en ligne et décider de la conduite à tenir lorsque le personnel accède au système informatique du cabinet par des appareils privés (BYOD [« Bring your own device »], ou en français AVEC [« Apportez Votre Equipement personnel de Communication »]) formalisée par la mise en place d’une politique particulière.
- Sécuriser les envois et échanges de pièces : entre avocats, et/ou entre avocats et clients, par exemple au moyen de plateformes sécurisées plutôt que par l’envoi d’e-mails en clair qui présentent des risques en termes de sécurité (sauf s’ils sont chiffrés).
- Sécuriser l’informatique mobile : prévoir des moyens de chiffrement pour les ordinateurs portables (et chiffrer les données qui y sont stockées, notamment les dossiers des clients) et les unités de stockage amovibles (clés USB, disques durs...), et verrouiller pour ces derniers leurs accès par des mots de passe ou systèmes de blocage (dans la négative, ne pas utiliser ce type de matériel pour stocker les données à caractère personnel sensibles des clients ou du personnel), etc.
- Sauvegarder et prévoir la continuité d’activité : mettre en place des sauvegardes régulières et « hors ligne » (et en dehors de l’espace de stockage principal), stocker les supports de sauvegarde dans un endroit sûr, etc.
- Appliquer le plus régulièrement possible les mises à jour, correctifs et installations de patchs de sécurité des logiciels, applications et systèmes d’exploitation utilisés.
- Vérifier les prestataires informatiques et numériques avant tout recours à leurs services : demander les garanties de sécurité appliquées par le fournisseur de service en fonction ainsi que des preuves de documentation de sa propre conformité au RGPD (article 28.1 du RGPD) ; évaluer les mesures de sécurité techniques et organisationnelles en fonction de la sensibilité des données en jeu et du niveau de risque, etc.
- Privilégier des prestataires détenant des serveurs de stockage de données situés en France ou dans l’Union européenne (sans pour autant négliger le niveau de sécurité offert), surtout si les données hébergées peuvent être qualifiées de « sensibles », et informer les clients du recours à ces prestataires.
- Spécifiquement, ne pas utiliser d’applications en ligne de détection d’antivirus / malwares pour des fichiers, notamment contenant des éléments de procédures, ou bien de conversion de fichiers (Word en PDF par exemple) : hormis si vous êtes absolument sûr du service utilisé, cette pratique peut se révéler dangereuse car elle induit un téléversement (upload) de vos fichiers sur des serveurs distants sans aucune possibilité de maîtrise future ;
- Gérer l’effacement effectif des données et la destruction des documents avec des prestataires de confiance.
- Etc.
16. Comment notifier et communiquer au sujet d'une violation des données à caractère personnel ?
Un incident de sécurité concernant une donnée personnelle doit tout d’abord être systématiquement documenté par l’avocat. La forme de la documentation est libre, le plus efficace étant de reporter les circonstances de l’incident dans un registre dédié. Si l’incident fait peser un risque pour les droits et libertés des personnes concernées, la violation de données doit être notifiée à l’autorité de contrôle dans les 72 heures après la prise de connaissance de la violation par l’avocat (le moment où le responsable de traitement s’est rendu compte de l’existence de l’incident et de ses conséquences). Le plus simple pour l’avocat est de procéder à une notification de violation de données en ligne sur le site internet de la CNIL : https://notifications.cnil.fr/notifications/index. En cas de risque élevé pour les personnes concernées, l’avocat devra procéder en sus “dans les meilleurs délais” à une communication aux personnes concernées. L’avocat devra cependant s’interroger préalablement sur les conditions de réalisation d’une telle communication sans manquer par ailleurs à son obligation de confidentialité.
17. Le cabinet peut-il transférer des données de clients, potentiellement "sensibles", par mail en clair ?
Les transmissions de données personnelles doivent être sécurisées de manière optimale (et maximale en pratique en cas de données sensibles [santé, orientation religieuse, sexuelle…] et/ou relatives à des condamnations pénales et infractions). Nota : ainsi, il est clairement déconseillé de transférer des données personnelles en clair par mail sans aucune mesure de sécurisation.
En conséquence, les cabinets d’avocats, dans leur relation avec leurs clients et confrères, devraient chaque fois que cela est possible, protéger par mot de passe ou chiffrer tout contenu échangé par mail avec transmission de mot de passe ou clé de déchiffrement par un autre canal de communication ou de vive voix (si possible encore une fois), ou bien téléverser un contenu dans un espace sécurisé, avec l’ajout d’un mot de passe pour sa récupération si le système le prévoit.
Nota : les systèmes de téléversement de fichiers du type "WeTransfer" ne doivent pas être utilisés car les données uploadées sur ces plateformes sont hors de contrôle, sans aucune certitude que les données ne soient pas exploitées et purgées à terme.
18. Qu'est-ce que l'"assurance cyber" pour protéger les avocats du risque de violation de données numérique ?
Malgré toutes les précautions prises en amont (voir la question 13), il sera malheureusement impossible pour le cabinet de réduire complètement les risques informatiques et numériques. Ainsi, l’avocat responsable de traitement peut demander à souscrire à une « police d’assurance cyber-risques » et espérer ainsi être indemnisé en cas d’attaque informatique. Cette indemnisation ne sera possible que si l’avocat répond à plusieurs conditions :
- une plainte devra être déposée au maximum 72 heures après la connaissance de l’atteinte incident de sécurité ;
- l’avocat préalablement assuré devra prouver avoir été victime d’une atteinte à un système de traitement automatisé de données (STAD), et avoir subi des pertes et des dommages du fait de cette atteinte.
Nota : ce délai est identique à celui de la notification de violation de données en cas de risque pour les droits et libertés des personnes concernées suite à un incident de sécurité (voir la question précédente).
Attention : la possibilité pour un avocat d’être assuré contre les risques cyber est fortement conditionnée aux preuves que le responsable de traitement pourra fournir en termes de conformité au RGPD, et notamment par la mise en place en interne de procédures et mesures de sécurité préalables.
INTERNET ET COMMUNICATION
19. Puis-je utiliser des applications d'intelligence artificielle du type "ChatGPT" pour la gestion de mes dossiers ?
De par la réutilisation des informations collectées par les outils d’intelligence artificielle (IA) « auto-apprenantes », il est fortement déconseillé à tout avocat de partager toute donnée, qui plus est sensible, concernant ses clients, qu’ils soient des personnes physiques ou morales, ses dossiers ou lui-même, et de n’intégrer ainsi aucune information précise dans la question soumise au chatbot ou tout agent conversationnel doté d’une technologie d’intelligence artificielle, de nos jours de plus en plus poussée ; cela parce qu’il est avéré que ces outils se servent de toute information fournie par l’utilisateur pour se développer et continuer à « apprendre ».
Ainsi, si le recours à de telles technologies est envisageable pour faciliter le quotidien professionnel de l’avocat, une extrême prudence doit être de mise pour éviter, dans les questions posées à l’intelligence artificielle, de laisser transparaître toute information permettant d’identifier même indirectement une personne, que ce soit dans la formulation des questions (exemple : « Est-ce qu’un tel habite bien dans le XVe arrondissement de Paris ? » ; même si le chatbot ne connaît pas ou ne donne pas la réponse, la précision formulée dans la question pourrait être prise en compte par le système) ou dans la vérification des résultats générés pour ne pas faire encourir à l’avocat et à l’Ordre un risque trop grand et une potentielle mise en cause de leur responsabilité civile en cas de réponse inappropriée ou fausse. En effet, l’usage des systèmes d’intelligence artificielle est susceptible d’engendrer des traitements de données à caractère personnel dans le giron de la relation de l’avocat avec son client et il convient par conséquent de veiller à ce que l’usage de solutions d’IA, quelles que soient leur nature et les objectifs poursuivis, prenne en compte tout à la fois les exigences du Règlement général sur la protection des données (RGPD) et les principes du Règlement Intérieur National de la profession d'avocat (RIN) qui trouveraient à s’appliquer.
En tout état de cause, le recours à un outil d’intelligence artificielle requiert à minima une inscription et une authentification pour lesquelles il est conseillé de ne pas utiliser l’adresse mail professionnelle mais une adresse mail personnelle ou générique ne laissant pas apparaître clairement le nom de l’avocat ni surtout celui de son cabinet.
En outre, les professionnels devraient tout particulièrement proscrire toute recherche auprès d’un système d’IA relié à ou produit par un moteur de recherche officiel grand public, dans le cas où ces professionnels sont au moment de leurs interaction avec l’outil d’intelligence artificielle connectés à leur compte sur ce moteur de recherche.
Enfin, il est rappelé, à cette occasion, les règles relatives au secret professionnel, issues de l’article 66-5 de la loi du 31 décembre 1971 et du Règlement Intérieur National :
- le secret professionnel s’applique en toute matière, dans le domaine du conseil ou celui de la défense, quels qu’en soient les supports, matériels ou immatériels, notamment électronique,
- il couvre notamment les consultations destinées à un client,
- il est d’ordre public, général, absolu et illimité dans le temps.
20. Puis-je utiliser une adresse mail gratuite proposée par une société privée tierce dans le cadre de mon activité professionnelle ?
Il est fortement conseillé de vérifier scrupuleusement les conditions générales d’utilisation de tout service de messagerie gratuite proposée par une société tierce car la gratuité a toujours un prix (selon l’adage, « quand c’est gratuit, c’est que vous êtes le produit » !). En effet, la contrepartie de la gratuité est souvent l’exploration et l’exploitation de la correspondance à des fins commerciales ou de publicité (ciblée), présentant sur le principe un grave manquement aux obligations de confidentialité et de respect du secret professionnel, et ce même si le service en question réutilise les données de manière automatique via des robots par exemple. Pour les mêmes raisons, les espaces gratuits de stockage de fichiers sur le cloud sont aussi concernés.
Ainsi, l’utilisation dans ces conditions d’une messagerie gratuite devrait être exclue et remplacée par un service entièrement compatible avec le RGPD ou interdisant de fait la lecture même automatique des mails ou plus généralement la réutilisation des informations personnelles s’y trouvant.
À cette fin, la possibilité offerte par le Conseil national des barreaux de détenir une adresse électronique gratuite, sécurisée et souveraine en « nom.prenom@avocat.fr » est une bonne mesure et évite tout risque sur ce sujet.
21. Un cabinet peut-il ajouter à sa base de contacts les coordonnées d'un professionnel afin de le prospecter directement ?
Les communications du cabinet à destination des entreprises et des professionnels ne sont pas soumises au consentement préalable des personnes concernées, mais uniquement si la sollicitation a un rapport direct avec la profession de la personne démarchée (par exemple une direction juridique ou un dirigeant pour la défense des intérêts de sa société).
Cette exemption du consentement ne signifie pas pour autant une absence totale de formalité, il sera toujours nécessaire d’informer la personne démarchée de l’utilisation de ses informations (et principalement de son mail) et de la possibilité pour lui de ne plus recevoir de futures sollicitations (avec un lien de désinscription, classiquement en toute fin de newsletter).
Le cabinet devrait ainsi, avant de transmettre toute lettre d’information dans ce cadre, envoyer un mail à la personne lui informant que son contact a été ajouté et que ses données seront utilisées pour le contacter, avec la possibilité pour lui de s’opposer d’ores et déjà à de futures sollicitations.
22. Peut-on utiliser les traceurs "Google Analytics" pour mesurer la fréquence de consultation du site internet du cabinet ?
Les cookies de mesure d’audience, comme leur nom l’indique, permettent de recueillir des informations concernant la navigation sur le site internet de l’avocat avec l’émergence de données pseudonymisées plus ou moins verbeuses sur les visiteurs (navigateurs utilisés, pays d’origine de la personne, …), possiblement recoupées avec d’autres.
Concernant le système « Analytics » édité par Google, l’arrêt « Schrems II » du 16 juillet 2020 de la CJUE rendait pour la CNIL en l’état non conforme le recours à la solution. En effet, depuis l’invalidation du Privacy Shield, mécanisme d’auto-certification pour les sociétés établies aux Etats-Unis qui encadrait les transferts de données de l’Union européenne vers cet état, seules des mesures techniques, juridiques et organisationnelles de protection supplémentaires par les organismes empêchant l’accès des données par les autorités américaines peuvent permettre, en pratique, de tels transferts. Depuis lors, et compte tenu du fait les données Analytics sont finalement hébergées aux Etats-Unis, la CNIL estimait que les mesures mises en place par Google n'étaient pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens et qu’ainsi les données d’internautes européens étaient transférées illégalement par le biais de cet outil.
Mais depuis l’adoption le 10 juillet 2023 du « Data Privacy Framework » par la Commission européenne, la nouvelle décision d’adéquation rendant les transferts de données entre l’Union européenne et les Etats-Unis possible, il semble que l’utilisation du traceur « Google Analytics » soit de nouveau acceptable ; en effet, la CNIL a tout bonnement supprimé tous les contenus sur son site web relatifs à GA et les recommandations de mise en conformité que l’autorité nationale de contrôle dispensait, mais que l’on peut retrouver ici en archives :
- Utilisation de Google Analytics et transferts de données vers les États-Unis : la CNIL met en demeure un gestionnaire de site web
- Google Analytics et transferts de données : comment mettre son outil de mesure d’audience en conformité avec le RGPD ?
- Questions-réponses sur les mises en demeure de la CNIL concernant l’utilisation de Google Analytics
Aujourd’hui, ces contenus ne sont plus disponibles et renvoient automatiquement vers cette page. Il a été confirmé que cette redirection web n’est pas une erreur mais est bien volontaire.
S’il est donc logique d’estimer que l’utilisation de « Google Analytics » n’est plus prohibée, la prudence reste de mise car bon nombre d’observateurs redoutent l’invalidation prochaine de ce « Data Privacy Framework », de la même façon que le « Privacy Shield » a été invalidé en 2020 (et le « Safe Harbor » avant lui en 2015).
Une autre piste pour utiliser Google Analytics serait un serveur mandataire (ou « proxy »), afin d’éviter tout contact direct entre le terminal de l’internaute et les serveurs de l’outil de mesure. Il faut cependant s’assurer que ce serveur remplit un ensemble de critères pour pouvoir considérer que cette mesure supplémentaire s’inscrit dans la ligne de ce qui est prévu par le CEPD dans ses recommandations du 18 juin 2021.
Si les cabinets préfèrent s’affranchir de la solution proposée par Google, la CNIL a publié une liste de solutions de mesure d’audience : https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies-solutions-pour-les-outils-de-mesure-daudience. Il est cependant précisé qu’il convient de vérifier pour toute solution retenue si celle-ci procède à des transferts de données vers des pays tiers sans mesures compensatrices de protection.
RESSOURCES HUMAINES
23. Le cabinet doit-il demander le consentement des salariés pour traiter leurs données personnelles (par exemple par le biais d'une case à cocher) ?
Sauf rares exceptions pour des cas plutôt mineurs, le consentement des personnes concernées comme base légale ne doit jamais être demandé aux personnels pour la bonne et simple raison que les conditions de validité de ce consentement ne seraient pas réunies.
En effet, l’une des caractéristiques de viabilité du consentement comme fondement juridique de traitement des données personnelles (article 6 du RGPD) est la liberté de ce consentement (article 7) : la personne concernée doit se voir offrir un choix réel sans avoir à subir de conséquences négatives en cas de refus et sans que son choix ne puisse être conditionné par la peur d’une conséquence négative. Or, en matière RH, le lien de subordination inhérent entre l’employeur et le salarié empêche manifestement tout consentement entièrement libre. De surcroît, le consentement des salariés a toujours été considéré par la CNIL comme n’ayant aucune valeur car le salarié est considéré comme personne vulnérable au sens de la réglementation relative à la protection des données.
Exemple n°1 : les traitements effectués dans le cadre des opérations de recrutement au sein d’un cabinet d’avocats ne peuvent pas être fondés sur le consentement des candidats, dès lors qu'un refus de leur part pourrait affecter leurs chances d’obtenir un emploi (la base légale sera alors l’exécution de mesures précontractuelles).
Exemple n°2 : les dirigeants d’un cabinet d’avocats souhaitent installer dans les locaux professionnels du cabinet des caméras de vidéosurveillance (voir le guide RGPD pour les avocats). Ils décident d’informer leurs salariés de ce nouveau traitement de données personnelles et de recueillir en sus leur consentement. Pensant bien faire, ils demandent à leur personnel de cocher une case d’acceptation ou de refus en fin de notice d’information sur la question pour que les données personnelles de leurs salariés (image, silhouette, visage, informations relatives à leur activité professionnelle, etc.) puissent être collectées et traitées par le système. Dans une telle situation, il est évident que les salariés, au mieux, imagineront les conséquences éventuelles négatives pour leur situation en cas de refus et, au pire, n’oseront pas refuser pour ces raisons et accepteront sans discuter un tel traitement de données, annihilant de fait le critère totalement libre du consentement RGPD (la base légale sera alors l’intérêt légitime du cabinet).
TRANSFERTS INTERNATIONAUX DE DONNÉES
24. LE CABINET PEUT-IL TRANSFÉRER DES DONNÉES DE L'AUTRE CÔTÉ DE L'ATLANTIQUE DEPUIS LA NOUVELLE DÉCISION D’ADÉQUATION CONCERNANT LES ÉTATS-UNIS ?
Depuis l’invalidation du « Privacy Shield », mécanisme d’autocertification pour les sociétés établies aux États-Unis (USA), le 16 juillet 2020 suite à l’arrêt dit « Schrems II » de la Cour de Justice de l'Union européenne (CJUE), les transferts de données entre l’Union européenne (UE) et les Etats-Unis ont été remis en cause ; auparavant, le « Privacy Shield » offrait pour la Commission européenne un niveau de protection adéquat permettant la circulation des données à caractère personnel de l’UE vers les USA en toute sécurité sans qu'il soit nécessaire de mettre en place des garanties supplémentaires en matière de protection des données.
En pratique, cette situation était assez inconfortable pour les responsables de traitement décidant d’avoir recours à des services de prestataires américains, notamment informatiques et numériques comme les GAMAM (Google, Apple, Meta, Amazon, Microsoft), dominants sur le marché et présentant généralement un intérêt en termes de disponibilité et de sécurisation des données, qui ne pouvaient théoriquement le faire qu’en évaluant le niveau de protection des données transférées en fonction de la législation applicable du pays destinataire de ces données (TIA, « Transfert Impact Assessment ») et en vérifiant que cette législation n’avait pas pour effet de diminuer ou d’écarter l’application des garanties supplémentaires de protection des données nécessaires au transfert.
Mais depuis l’adoption le 10 juillet 2023 du « Data Privacy Framework » par la Commission européenne, la nouvelle décision d’adéquation rendant les transferts de données entre l’Union européenne et les Etats-Unis possible, les échanges de données aux États-Unis ne sont plus prohibés.
Malgré cet état de fait, la prudence reste de mise car bon nombre d’observateurs redoutent l’invalidation future du « Data Privacy Framework », de la même façon que le « Privacy Shield » a été invalidé en 2020 (et le « Safe Harbor » avant lui en 2015).
En conséquence, il est conseillé à minima :
- d'éviter au maximum d'avoir recours à de nouveaux sous-traitants transférant des données aux Etats-Unis dans l’attente des décisions de justice et privilégier des acteurs européens ou issus de pays ayant obtenu des décisions d’adéquation (Royaume-Uni, Japon, Corée du Sud, Argentine…),
- d'évaluer les risques concernant les sous-traitants et prendre les décisions en conséquence.