Le RGPD (Règlement général sur la protection
des données) est entré en vigueur voilà bientôt trois mois. Comme n’importe
quelle entreprise, les avocats ont dû se mettre en conformité. Quelles
obligations découlant du règlement s’avèrent complexes à mettre en œuvre ?
Le RGPD va-t-il suffisamment loin ? Entretien avec Juliette Chavane de
Dalmassy, avocate chez Cornet Vincent Ségurel – spécialisée en propriété
intellectuelle, nouvelles technologies et données personnelles – et membre du
réseau Eurojuris.
En quoi la protection des données
personnelles est un enjeu particulièrement sensible pour les avocats ?
Les avocats sont soumis au respect du droit de la protection des
données personnelles comme toute entreprise française, et en particulier au
respect des dispositions du RGPD opposable depuis le 25?mai 2018. En qualité d’auxiliaire de justice, ils se doivent, en
principe, d’être exemplaires, dans l’application de la législation applicable.
Par ailleurs, en qualité de conseil de confiance, soumis à une
déontologie stricte – et notamment au secret professionnel – les avocats sont
souvent les meilleurs partenaires pour conseiller leurs clients dans la
définition de la mise en œuvre des actions nécessaires à leur mise en conformité.
La coordination avec des intervenants techniques est souvent recommandée dans
l’intérêt des clients et intéressante dans un mouvement d’évolution de notre
profession.
Quelles données l’avocat peut-il désormais
collecter dans le cadre de la gestion de ses clients ?
Les avocats sont libres de collecter l’ensemble des données nécessaires
au traitement des missions qui leur sont confiées, qu’il s’agisse de données
d’identification, familiales, professionnelles ou tout autre type de données
personnelles.
Les avocats, notamment dans l’exercice de leurs fonctions
(représentation en justice, règlements alternatifs des litiges), sont
fréquemment conduits à traiter des données sensibles telles que des
condamnations pénales, des données de santé, des données révélant les opinions
politiques, philosophiques ou religieuses de leurs clients. Ils sont
parfaitement autorisés à le faire, mais doivent mettre en œuvre des mesures de
sécurité appropriées au degré de sensibilité des données qu’ils collectent.
Quelles nouvelles obligations posent le plus
de problèmes dans leur mise en œuvre ?
La plupart des obligations issues du RGPD sont applicables en droit
français depuis 1978, soit depuis près de quarante ans. Néanmoins, quelques
obligations peuvent être considérées comme nouvelles, telles que, par exemple,
l’obligation de tenir un registre ou la désignation, parfois obligatoire, d’un
DPO. La fin du système déclaratif au profit du principe de responsabilisation
des acteurs est à mon sens la plus grande nouveauté.
Plusieurs de ces nouvelles obligations posent des problèmes
d’interprétation du champ de la norme ou de moyens de mise en œuvre des
dispositions légales. Par exemple, on peut évoquer la difficulté de choisir et
de désigner en interne un DPO, essentiellement par manque de moyens humains et
de ressources financières disponibles pour cette thématique. De même,
l’obligation d’être en mesure de justifier et de documenter sa conformité
risque de se révéler, au fil du temps, un exercice délicat. Enfin, et bien qu’il
ne s’agisse pas d’une obligation nouvelle, la question de la durée de
conservation proportionnée des données personnelles reste toujours difficile à
définir et à mettre en œuvre de manière technique et organisationnelle.
Comment informez-vous personnellement vos
clients sur le traitement de leurs données personnelles ?
Le Cabinet Cornet Vincent Ségurel informe ses clients par le biais d’une
lettre de mission, et a également mis à disposition de ses clients une adresse
email dédiée [rgpd@cvs-avocats.com].
Par ailleurs, nos clients peuvent s’opposer à la réception de la
newsletter.
Globalement, diriez-vous que la profession
était prête, lors de l’entrée en vigueur du Règlement, le 25 mai
dernier ? Ou la « course à la conformité » est-elle
toujours de mise ?
Si l’adage dit que nul n’est censé ignorer la loi, il dit aussi que les cordonniers sont souvent
les plus mal chaussés ! Les cabinets d’avocats sont des structures de
tailles très variées. De manière générale, on peut constater que les avocats
ont souvent du mal à dégager du temps et des ressources spécifiques et
suffisantes pour leur propre mise en conformité.
La mise en conformité est une course de longue haleine pour les avocats
comme pour l’ensemble des entreprises européennes. Nous conseillons à
l’ensemble de nos clients, y compris avocats, de réfléchir aux axes
prioritaires de conformité. Comme en son temps l’adoption de la norme ISO 9001,
il est certain que l’application des dispositions du RGPD permettra de mettre
en place de bonnes pratiques et une meilleure organisation des cabinets,
notamment en termes de protection du patrimoine informationnel.
Trouvez-vous que le RGPD va suffisamment loin
ou qu’au contraire des lacunes persistent ?
à mon sens, plusieurs dispositions
mériteraient d’être clarifiées, telles que par exemple, le droit à la
portabilité, ou le fait que, les analyses d’impact ne sont obligatoires que
lorsqu’il existe un risque significatif sur les traitements en cause.
Par ailleurs, il est fondamental de rappeler que les sanctions prévues
par le RGPD sont des plafonds. Il me semble assez peu probable, à moins de
circonstances parfaitement exceptionnelles, que de telles amendes (dix ou vingt
millions d’euros) soient prononcées contre des PME françaises, et ce cabinets
d’avocats compris. Il est toutefois intéressant de souligner que, sans ces
sanctions drastiques, le RGPD serait vraisemblablement resté plus confidentiel.
Le RGPD est à mon sens un changement de
philosophie : le droit des données personnelles a enfin fait son entrée dans
le champ du droit des affaires. Il était temps que la protection des données
personnelles soit prise au sérieux par les différents acteurs et pas seulement
par les GAFAM ou par les sociétés du Big Data. Le chemin est encore long, bien
sûr, mais il s’agit désormais d’un sujet de préoccupation pour toutes les
entreprises y compris les cabinets d’avocats.
Quel a été le rôle
d’Eurojuris face à l’entrée en vigueur du règlement ?
Dans le cadre du réseau Eurojuris, nous avons
organisé un colloque d’information et un atelier pratique relatif aux
obligations à mettre en œuvre à destination des avocats et des huissiers. Dans
ce contexte, nous avons mis à la disposition des participants des documents
types et travaillé sur le registre des traitements que nous recommandons
vivement de mettre en place. Une offre de DPO externalisé en commun pour le
réseau est également en cours de réflexion et de structuration.
Propos recueillis par Bérengère Margaritelli