Réseaux sociaux JSS
Réseaux sociaux JSS
Réseaux sociaux JSS
Réseaux sociaux JSS
Réseaux sociaux JSS
Journal Spécial des Sociétés
Juliette Chavane de Dalmassy : « La mise en conformité [au RGPD] est une course de longue haleine pour les avocats »
Publié le 13/08/2018

Le RGPD (Règlement général sur la protection des données) est entré en vigueur voilà bientôt trois mois. Comme n’importe quelle entreprise, les avocats ont dû se mettre en conformité. Quelles obligations découlant du règlement s’avèrent complexes à mettre en œuvre ? Le RGPD va-t-il suffisamment loin ? Entretien avec Juliette Chavane de Dalmassy, avocate chez Cornet Vincent Ségurel – spécialisée en propriété intellectuelle, nouvelles technologies et données personnelles – et membre du réseau Eurojuris.





En quoi la protection des données personnelles est un enjeu particulièrement sensible pour les avocats ?


Les avocats sont soumis au respect du droit de la protection des données personnelles comme toute entreprise française, et en particulier au respect des dispositions du RGPD opposable depuis le 25?mai 2018. En qualité d’auxiliaire de justice, ils se doivent, en principe, d’être exemplaires, dans l’application de la législation applicable.


Par ailleurs, en qualité de conseil de confiance, soumis à une déontologie stricte – et notamment au secret professionnel – les avocats sont souvent les meilleurs partenaires pour conseiller leurs clients dans la définition de la mise en œuvre des actions nécessaires à leur mise en conformité. La coordination avec des intervenants techniques est souvent recommandée dans l’intérêt des clients et intéressante dans un mouvement d’évolution de notre profession.

 


Quelles données l’avocat peut-il désormais collecter dans le cadre de la gestion de ses clients ?


Les avocats sont libres de collecter l’ensemble des données nécessaires au traitement des missions qui leur sont confiées, qu’il s’agisse de données d’identification, familiales, professionnelles ou tout autre type de données personnelles.


Les avocats, notamment dans l’exercice de leurs fonctions (représentation en justice, règlements alternatifs des litiges), sont fréquemment conduits à traiter des données sensibles telles que des condamnations pénales, des données de santé, des données révélant les opinions politiques, philosophiques ou religieuses de leurs clients. Ils sont parfaitement autorisés à le faire, mais doivent mettre en œuvre des mesures de sécurité appropriées au degré de sensibilité des données qu’ils collectent.

 


Quelles nouvelles obligations posent le plus de problèmes dans leur mise en œuvre ?


La plupart des obligations issues du RGPD sont applicables en droit français depuis 1978, soit depuis près de quarante ans. Néanmoins, quelques obligations peuvent être considérées comme nouvelles, telles que, par exemple, l’obligation de tenir un registre ou la désignation, parfois obligatoire, d’un DPO. La fin du système déclaratif au profit du principe de responsabilisation des acteurs est à mon sens la plus grande nouveauté.


Plusieurs de ces nouvelles obligations posent des problèmes d’interprétation du champ de la norme ou de moyens de mise en œuvre des dispositions légales. Par exemple, on peut évoquer la difficulté de choisir et de désigner en interne un DPO, essentiellement par manque de moyens humains et de ressources financières disponibles pour cette thématique. De même, l’obligation d’être en mesure de justifier et de documenter sa conformité risque de se révéler, au fil du temps, un exercice délicat. Enfin, et bien qu’il ne s’agisse pas d’une obligation nouvelle, la question de la durée de conservation proportionnée des données personnelles reste toujours difficile à définir et à mettre en œuvre de manière technique et organisationnelle.



Comment informez-vous personnellement vos clients sur le traitement de leurs données personnelles ?


Le Cabinet Cornet Vincent Ségurel informe ses clients par le biais d’une lettre de mission, et a également mis à disposition de ses clients une adresse email dédiée [rgpd@cvs-avocats.com].


Par ailleurs, nos clients peuvent s’opposer à la réception de la newsletter.

 


Globalement, diriez-vous que la profession était prête, lors de l’entrée en vigueur du Règlement, le 25 mai dernier ? Ou la « course à la conformité » est-elle toujours de mise ?


Si l’adage dit que nul n’est censé ignorer la loi,  il dit aussi que les cordonniers sont souvent les plus mal chaussés ! Les cabinets d’avocats sont des structures de tailles très variées. De manière générale, on peut constater que les avocats ont souvent du mal à dégager du temps et des ressources spécifiques et suffisantes pour leur propre mise en conformité.


La mise en conformité est une course de longue haleine pour les avocats comme pour l’ensemble des entreprises européennes. Nous conseillons à l’ensemble de nos clients, y compris avocats, de réfléchir aux axes prioritaires de conformité. Comme en son temps l’adoption de la norme ISO 9001, il est certain que l’application des dispositions du RGPD permettra de mettre en place de bonnes pratiques et une meilleure organisation des cabinets, notamment en termes de protection du patrimoine informationnel.

 


Trouvez-vous que le RGPD va suffisamment loin ou qu’au contraire des lacunes persistent ?


à mon sens, plusieurs dispositions mériteraient d’être clarifiées, telles que par exemple, le droit à la portabilité, ou le fait que, les analyses d’impact ne sont obligatoires que lorsqu’il existe un risque significatif sur les traitements en cause.


Par ailleurs, il est fondamental de rappeler que les sanctions prévues par le RGPD sont des plafonds. Il me semble assez peu probable, à moins de circonstances parfaitement exceptionnelles, que de telles amendes (dix ou vingt millions d’euros) soient prononcées contre des PME françaises, et ce cabinets d’avocats compris. Il est toutefois intéressant de souligner que, sans ces sanctions drastiques, le RGPD serait vraisemblablement resté plus confidentiel.


Le RGPD est à mon sens un changement de philosophie : le droit des données personnelles a enfin fait son entrée dans le champ du droit des affaires. Il était temps que la protection des données personnelles soit prise au sérieux par les différents acteurs et pas seulement par les GAFAM ou par les sociétés du Big Data. Le chemin est encore long, bien sûr, mais il s’agit désormais d’un sujet de préoccupation pour toutes les entreprises y compris les cabinets d’avocats.

 


Quel a été le rôle d’Eurojuris face à l’entrée en vigueur du règlement ?


Dans le cadre du réseau Eurojuris, nous avons organisé un colloque d’information et un atelier pratique relatif aux obligations à mettre en œuvre à destination des avocats et des huissiers. Dans ce contexte, nous avons mis à la disposition des participants des documents types et travaillé sur le registre des traitements que nous recommandons vivement de mettre en place. Une offre de DPO externalisé en commun pour le réseau est également en cours de réflexion et de structuration.

 


Propos recueillis par Bérengère Margaritelli


 


0 commentaire
9 + 3 =
Journal des sociétés - mensuel du droit

n° 169

décembre 2018

Blockchains & Cryptomonnaies : bouleversent-elles l’ordre juridique et économique ?

Journal Spécial des Sociétés - 8 rue Saint Augustin - 75002 Paris - Tél 01 47 03 10 10