Tout d’abord, quelles sont à cet égard les spécificités des professions du droit et qui vise-t-on ?
Auxiliaires de justice, avocats, huissiers, notaires.
Tous femmes et hommes de droit, au service de la justice, un des piliers majeurs de la démocratie.
Ce sont des techniciens du droit, ils sont qualifiés pour lire et interpréter les lois et règlements. Ils savent rédiger et manier les termes techniques sur les droits et obligations en vigueur.
Ils sont tenus par le secret professionnel.
Ils se voient confier des données personnelles de tous genre, souvent de nature sensible ou, pour reprendre le terme exact introduit par le RGDP, « des données personnelles à caractère sensible » Article 9 RGDP. Imaginez un dossier de divorce, les documents échangés comprennent des pans entiers de la vie personnelle, familiale, professionnelle, financière, médicale, …. d’un couple. Ça va des actes de naissance, livret de famille, comptes bancaires, actes notariés de tous genre, feuilles de salaires, etc…Tout sera remis entre les mains de l’avocat, certaines pièces seront partagées avec le notaire ou l’huissier.
Nous laisserons de côté les juridictions.
Y sont donc inclus les données personnelles des enfants, de certains membres de la famille et lorsqu’un témoignage sera versé au dossier, l’attestation s’accompagnera de la pièce d’identité du témoin pour être valide.
La question de la transmission des données personnelles.
L’avocat communique avec les juridictions via une clé RPVA donnant accès à une plateforme sécurisée. Une nouvelle plateforme RPVA2 vient tout juste d’être mise en place.
Cependant, lorsqu’il s’agira de communiquer avec les clients, notaires ou huissiers, rien n’est prévu.
Le plus souvent, les transmissions de pièces se feront par attachement au courriel.
Certains utiliseront des modes de transmission de fichier, surtout lorsque le volume des pièces l’exige.
La transmission des données personnelles à l’intérieur de l’Union Européenne étendue à l’EEA, l’Espace Economique Européen.
Tout collecte ou traitement des données personnelles doit être conforme aux principes du RGDP, notamment les principes exposés à l’article 5, à savoir licéité, loyauté, transparence, limitation des finalités, minimisation des données, limitation de la conservation, exactitudes des informations, et surtout, l’intégrité et la confidentialité des données.
La définition du traitement des données personnelles portée à l’article 4 du RGDP est assez large, elle englobe
« toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ; »
Le professionnel du droit, comme tout contrôleur de données personnelles, devra afficher un privacy policy, ou notice d’information, définissant les modalités, licéité, ou la durée des traitements. La notice d’information devra être présentée avant la collecte des données - en conformité à l’article 13 RGDP - en langage simple et compréhensible pour tous. Devront y être mentionnés les finalités du traitement des données, les délais de conservation, les coordonnées du responsable du traitement et le cas échéant, les coordonnées du délégué à la Protection des Données, pour les plus grosses structures traitant un plus gros volume de données. Les informations sur les droits d’accès, droit de modification, droit d’effacement ainsi que le droit de réclamation tels que définis en détails dans les articles 13 à 20 du RGDP seront rappelées dans cette notice. Au surplus, la Commission Nationale Informatique et libertés, CNIL, a produit un document d’analyse d’impact ou Privacy Impact Assessment permettant de vérifier la conformité des traitements au RGDP.
Bien que les auxiliaires de Justice soient protégés par le secret professionnel sur le contenu des données qui leur sont confiées, ils demeurent tenus de faire réponse, sans pour autant enfreindre le secret professionnel, à toute demande d’accès ou d’information qui leurs sont adressées en vertu de l’article 15 du RGDP au plus vite et au plus tard dans le délai d’un mois. Ce sera le cas par exemple d’un client ou de toute autre personne souhaitant légitimement connaitre le traitement de ses données personnelles, tout comme la durée de rétention, les sous-traitants accédant aux données, les moyens de sécurisation, les transferts éventuels hors EU, etc…
Attention donc aux méthodes et durée de conservation et l’identité des tiers avec qui les données sont partagées, ces informations, qui devront être mentionnées dans la notice d’information, doivent être communiquées à toutes personnes qui en fait la demande.
Attention également aux demandes de vérifications d’identité abusives. La communication de la pièce d’identité ne s’impose pas toujours et d’ailleurs, elle demeure en soi une donnée personnelle dont le traitement sera sujet à la réglementation. Si vous réclamez une pièce d’identité et qu’ensuite vous répondez ne détenir aucune donnée personnelle, vous avez omis la pièce d’identité qui vous brûle les doigts.
La définition des « données personnelles » est assez large et comprend
« toute information se rapportant à une personne physique identifiée ou identifiable ».
Identifiable lorsque l’identité de la personne peut être dévoilée par la combinaison d’informations éparses. L’homme au chapeau melon n’est pas nommé, mais sa présence noté sur une liste d’invités identifiant un seul chapeauté le rend identifiable.
Quelques pays européens ont opté pour l’élargissement de la protection aux défunts. Tel n’est pas le cas de la France. Cela étant, il est possible que des données de personnes décédées impliquent des survivants, auquel cas, la protection s’appliquera.
Une limite importante à l’obligation de communication article 15 RGDP se heurte aux données des tiers. Ces informations ne peuvent être communiquées et doivent alors être extraites de la transmission.
Il faut préciser que le RGDP ne se limite pas aux données numérisées. Les traitements manuels classifiés sont également visés. Selon les termes de l’article 2 alinéa Premier du RGDP, le champ matériel s’étend
« au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ».
Il conviendra donc d’assurer l’intégrité des données cumulées dans les dossiers n notamment limitant l’accès aux dossiers clients. Pensez aux cocktails party organisés, ouvrant les portes des locaux à des tiers. Les dossiers papiers devront être conservés sous clefs.
Ce qui, demeure crucial, ce sont les méthodes de conservation des données et l’accès restreint des tiers. On rappelle qu’un accord de traitement doit être signé avec tous les sous-traitants. Cela inclus les services informatiques. Ce contrat pourra englober une clause de confidentialité.
L’archivage des dossiers résolus, hors connexion internet ou en lieu sécurisé est indispensable. La minimisation des données encourage la restitution des pièces sans tarder. Pour les dossiers en cours, le système informatique devra être régulièrement mis à jour, protégé par des mots de passe solide.
Si le scandale des Panamapapers a pu éclater, c’est justement grâce à un système informatique mal protégé et non mis à jour.
Les Cyberattaques et ransomware ou au terme barbare, rancongiciel, ont vu une nette recrudescence durant cette période de pandémie. L’agence Européenne de sécurité, ENISA, a publié les derniers chiffres officiels de cyberattaques. Un second document ENISA explique le nombre croissant d’attaques par email.
L’Agence de l’Union européenne pour la cybersécurité (ENISA) a publié son rapport annuel sur les violations de données (janvier-avril 2020). Faits saillants :
(i) Augmentation de 54% du nombre total de violations d’ici le milieu de l’année 2019 par rapport à 2018 ;
(ii) 71% des violations de données étaient motivées par des raisons financières. Près de 25% avaient des objectifs stratégiques à long terme (Etat-nation/espionnage) ;
(iii) 32% des violations de données impliquent des activités de phishing. Le courrier électronique est la principale méthode de distribution des logiciels malveillants (94%) dans une chaîne d’événements menant à une violation de données ;
(iv) 52% des violations de données impliquaient du piratage. Les autres tactiques utilisées sont les attaques sociales (33%), les logiciels malveillants (28%) et les erreurs ou erreurs (21%). Depuis 2016, le piratage est la principale cause des violations de données dans le secteur de la santé. En 2019, près de 59% des violations signalées ont été causées par le piratage ;
(v) 70% des violations de données exposent des e-mails. Bien que le nom d’utilisateur/e-mail et les mots de passe (c’est-à-dire les informations d’identification) soient facilement modifiés par rapport aux détails personnels (telle la date de naissance), l’accent est principalement mis sur ceux-ci dans les violations de données.
Nous avons cité plus haut le cas des liens de transfert de fichiers très souvent utilisés. Le service gratuit WeTransfer n’est pourtant pas encrypté. WeTransfer a fait l’objet d’attaques informatiques déviant les emails ou plus récemment une attaque par phishing, le lien ayant été corrompu. « Enfin, poursuit Jean-Marc Boursat, les DSI doivent inciter les collaborateurs à la prudence sur l’utilisation de solutions de Cloud public comme Dropbox ou WeTransfer. Très prisées pour échanger des documents et des projets confidentiels, ces solutions présentent néanmoins un certain flou sur les lieux d’hébergement et leurs conditions de confidentialité de données ». Bien souvent si l’utilisateur averti avait lu les termes d’usage de ces services, il aurait rapidement fait demi-tour. Seule la version payante offre la garantie du chiffrement. Seulement, le destinataire ignore de quel service il s’agit.
Le chiffrement des transferts est absolument indispensable pour en garantir l’intégrité. Il existe plusieurs solutions sur le marché. Ne négligez pas la sécurité ou vous risquerez de mettre à mal votre réputation ou la pérennité de votre activité.
Dernièrement, le Tribunal Judiciaire de Paris, des Cabinets d’avocats ainsi que le Ministère de la Justice ont été à nouveau victimes d’attaques informatiques. Une enquête judiciaire a été ouverte. Ce n’est plus SI une attaque survient, c’est quand elle surviendra, il faudra être prêt. La responsabilité est lourde, les amendes de la CNIL peuvent aller jusqu’à 20 millions d’Euros ou 4% des revenus globaux en cas de non conformité. En cas de fuite des données ou attaque informatique, la CNIL et/ou les individus touchés lorsque leurs données sont à risque doivent être notifiés sans délai et au plus tard dans les 72 heures, conformément à l’article 33 du RGDP. Ce délai court même si le professionnel est en congés. 72 heures au plus tard suggère qu’un ou deux responsables aient été identifiés au préalable pour être le point de contact avec la CNIL 24/24 et 365/365.
Transferts de données vers les pays hors EEA.
Il existe deux grandes catégories de destinations en dehors du EEA : les pays ayant conclu des accords d’adéquation avec la Commission Européenne, il en existe actuellement 11, le dernier en date étant le Japon.
Le reste du monde est considère comme pays de protection non adéquate. En principe aucune donnée personnelle ne devrait y être transféré sans garanties appropriées.
Les Etats-Unis bénéficiaient jusqu’à cet été d’un accord de Bouclier de Protection ou Privacy Shield. A l’issue d’une longue et fort coûteuse bataille juridique, le Privacy Shield a été invalidé par un arrêt de la CEJ du Juillet 2020, Schrems-II contre Facebook.
Désormais, aucune donnée personnelle ne pourra être transférée vers les États-Unis, mais aussi la Chine, la Russie, l’Inde et l’ensemble des pays hors EEA ou le groupe des 11 bénéficiant d’un accord d’adéquation. La notion de transfert n’a pas été définie dans le RGDP. La CNIL a récemment précisé dans ses observations au Conseil d’Etat dans le dossier du transfert des données médicales DataHub à Microsoft, qu’un transfert s’opérait dès lors que les données étaient mises entre les mains d’une société de droit américain tel que Microsoft.
La position de la CEJ découle des révélations d’Edouard Snowden sur les interceptions du gouvernement américain, notamment la réglementation FISA Section 702, l’Executive Order 12333 et le DP98. Le Cloud Act US autorise le gouvernement américain à réclamer les données où qu’elles se trouvent et quel que soit la localisation des serveurs informatiques. Cette ingérence américaine est accompagnée d’un manque de garantie des droits des sujets européens ne disposant pas de droits de recours suffisants, du moins équivalent aux droits que leur confère le RGDP, pour un judicial redress aux Etats-Unis.
Depuis l’arrêt Schrems-II et en attendant les résolution d’une probable nouvelle négociation entre la Commission Européenne et le gouvernement américain, tout transfert de données vers les Etats-Unis ou tout pays sans accord d’adéquation doit être suspendu. Les Standard Contractuels Clauses, ou Clauses Types de Protection des Données, et Binding Corporates Rules, ou Règles d’Entreprise Contraignantes, instruments plus lourds et coûteux, en principe maintenus doivent faire l’objet de mesures de protections accrues et une analyse des risques et d’adéquation au cas par cas. Les modèles de SCC de la Commission datent d’avant le RGDP, ces clauses, a promis la Commission, devront être modernisées d’ici la fin de l’année.
Des cas de dérogations ont été prévues. Elles sont énumérées à l’article 49 RGDP.
Sous réserve de transparence et d’information des personnes concernées sur les risques encourus en raison de l’absence de décision d’adéquation et de garanties appropriées - attention il peut s’agir du client lui-même ou toute personne dont les données sont transférées, voire la partie adverse - dans le cas d’un consentement explicite du ou des intéressés ou lorsque le transfert est nécessaire à l’exécution ou la conclusion d’un contrat.
Mais attention, ces dérogations ne s’appliquent :
« que si ce transfert ne revêt pas de caractère répétitif, ne touche qu’un nombre limité de personnes concernées, est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée, et si le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données à caractère personnel. Le responsable du traitement informe l’autorité de contrôle du transfert. Outre qu’il fournit les informations visées aux articles 13 et 14, le responsable du traitement informe la personne concernée du transfert et des intérêts légitimes impérieux qu’il poursuit ».
Ces dérogations, vous l’aurez compris, sont très strictement encadrés. Le cas de l’intérêt public ne parait pas s’adapter dans le cadre des activités des auxiliaires de justice.
L’évaluation des circonstances du transfert est très importante dans tous les cas de transfert de données personnelles sensibles dont les auxiliaires de justice peuvent être détenteurs. Le chiffrement et l’utilisation de mot de passes solides sont absolument indispensables. En somme, l’exportateur doit assurer que l’importateur garantira un niveau de protection équivalent à la protection Européenne garantie par le RGDP.
Les données personnelles récoltées sur les sites web.
De plus en plus de cabinets d’avocat, notaires ou huissiers ont un site web pour représenter leur Officine sur le net.
Ces sites web comportent souvent des cookies petits fichiers qui collectent des données des visiteurs et peuvent tracer leur web browsing. Ils facilitent la navigation du site en retenant des paramètres d’utilisation. Ils servent également à profiler et cibler les utilisateurs.
Il existe deux formes principales, les cookies first party qui collectent des données directement pour le responsable du site, et les cookies third parties qui collectent des données par des tiers, comme le plus connu, Google analytiques, Facebook ou YouTube lorsque des vidéos sont importées.
La réglementation qui s’applique aux cookies découle de la directive ePrivacy actuellement en cours de révision. Il y a eu récemment quelques va et vient entre la Commission Nationale Informatique et libertés, la CNIL, et le Conseil d’État ayant en partie invalidé les recommandations de la CNIL.
Un récent arrêt de la Cour Européenne de Justice, CEJ, Planet 49, a fixé les règles de validité des traceurs, il peut s’agir de cookies, ou tout autre traceur comme des Pixels, Java Script, Fingerprint, etc…. Tout traçage, et collecte de données personnelles, suppose une transparence préalable à toute collecte et un recueil de consentement. Le consentement doit être exprimé par un acte positif. Les principes de Privacy by Design et par défaut exigent que par défaut aucune donnée ne soit collectée sans le consentement expresse et éclairée des visiteurs. L’obligation de transparence exige la présence d’une notice d’information comme précitée, accessible à partir de toutes pages du site.
Les recommandations de la CNIL limitaient la durée de rétention des cookies à 13 mois. Ce délai devrait être ramené à six mois. Par ailleurs, le consentement doit-être reporté sur un registre du consentement et peut être rétracté à tout moment. La CNIL suggère des moyens de prouver le consentement.
Chaque acteur se prévalant du consentement doit être en mesure d’en apporter la preuve. Il peut pour cela utiliser les modalités suivantes, non exclusives :
Une mise sous séquestre auprès d’un tiers du code informatique utilisé par l’organisme recueillant le consentement, pour les différentes versions de son site ou de son application mobile, voire simplement par la publication horodatée sur une plate-forme publique d’un condensat (ou « hash ») de ce code pour pouvoir prouver son authenticité a posteriori ;
Une capture d’écran du rendu visuel affiché sur un terminal mobile ou fixe peut être conservée, de façon horodatée, pour chaque version du site ou de l’application ;
Des audits réguliers des mécanismes de recueil du consentement mis en œuvre par les sites ou applications depuis lesquels il est recueilli peuvent être mis en œuvre par des tiers mandatés à cette fin ;
Les informations relatives aux outils mis en œuvre et à leurs configurations successives (tels que les solutions de recueil du consentement, également connues sous l’appellation CMP « Consent Management Platform ») peuvent être conservées, de façon horodatée, par les tiers éditant ces solutions.
Si la réglementation des cookies et traceurs dépend de la Directive ePrivacy, le standard et les exigences de consentement doivent être conformes à l’article 4 (11) et 7 du RGDP, la Réglementation Européenne sur les Données Personnelles.
« Il doit donc être libre, spécifique, éclairé, univoque et l’utilisateur doit être en mesure de le retirer, à tout moment, avec la même simplicité qu’il l’a accordé ».
Pensez au passage à toujours inclure une option unsubscrive pour se désinscrire, si vous distribuez des newsletters par email. « La CNIL a adopté le 17 septembre 2020 des lignes directrices, complétées par une recommandation visant notamment à proposer des exemples de modalités pratiques de recueil du consentement ». Ces dispositions ont été transposées en droit français à l’ article 82 de la loi Informatique et Libertés.
Le responsable du site doit s’assurer de la conformité à ces deux textes. Il a l’obligation, selon le RGDP art 28, de signer un accord avec tous sous-traitants, s’assurant de leur respect du RGDP, ce qui s’appliquera également au web designer.
Il ne pourra pas se retrancher derrière une simple promesse de conformité. Un audit de conformité est requis.
Il est à noter que lorsque le site partage des données avec des sociétés de droit américain, comme Google, YouTube ou Facebook, cet accès aux données des visiteurs de site doit être considéré comme transfert vers les Etats-Unis. NOYB, l’association créée par Max Schrems, n’a d’ailleurs pas manqué de déposer une plainte contre 101 sociétés américaines dont ces dernières.
Suivant l’arrêt de la CEJ, FashionID, il a été jugé que le responsable de site web qui autorise l’accès aux données personnelles à un tiers, devient Co-contrôleur avec celui-ci, sans qu’il ne soit besoin de démontrer qu’il exercerait un contrôle sur ce traitement. Cet arrêt a rendu Co-contrôleur, et par là-même co-responsable, un administrateur de page Facebook avec Facebook pour le traitement des données personnelle de ses membres. Ce principe sera naturellement étendu au responsable du site qui permet la collecte des données par les cookies third party.
La CNIL précise, à titre indicative, que les cookies qui nécessitent le consentement préalable des utilisateurs : Tous les cookies n’ayant pas pour finalité exclusive de permettre ou faciliter une communication par voie électronique ou n’étant pas strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur nécessitent le consentement préalable de l’internaute. Parmi les cookies nécessitant une information préalable et le recueil préalable du consentement de l’utilisateur, on peut notamment citer :
les cookies liés aux opérations relatives à la publicité personnalisée ;
les cookies des réseaux sociaux, notamment générés par leurs boutons de partage.
En ce qui concerne les traceurs non soumis au consentement, on peut évoquer :
les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;
les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer, à l’utilisateur, le(s) produit(s) et/ou service(s) acheté(s) ;
les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
certains traceurs de mesure d’audience dès lors qu’ils respectent certaines conditions.
Attention aux bandeaux cookies qui soit déposent des cookies avant même d’avoir reçu le consentement du visiteur ou qui, malgré le refus des cookies, les installent sur le terminal de l’utilisateur.
Sur l’utilisation des applications de visioconférence.
Ces applications peuvent également transférer des données hors EEA et comportent également des risques de sécurité pour leurs utilisateurs. Nous vous invitons à lire un précédent article analysant la question de leur utilisation par les juristes.
Si ces règles peuvent paraître contraignantes, elles ne sont pas moins justifiées par la globalisation numérique, la facilité d’intercepter, cumuler et le business fructueux des données personnelles. Le numérique a apporté bien des facilités dans le traitement simplifié des actes et le travail du juriste, Fini le temps où les assignations étaient dactylographiées une à une à la machine à écrire, chaque faute contraignant à remettre la tâche. Le juriste moderne dispose de moyens de performance lui permettant une efficacité largement accrue. La contrepartie qui est le respect des règles élémentaires de sécurité et la protection des données est un moindre mal.
Le CNB a produit des fiches pratiques à destination des cabinets d’avocats. Pourtant la pratique est encore loin de la conformité exigée et nécessaire.
Le chiffrement est une absolue nécessité. Le contrôle des cookies devrait être renforcée puisque nous nous approchons de la fin du terme du délai de grâce laissé par la CNIL.
Les autorités de contrôles nationales sont débordées, certes, si vous avez pu échapper à leur contrôle, il reste, outre les voies de recours individuels, l’action des associations de défense des droits telles que NOYB, la Quadrature du Net, Privacy International, et d’autres. Les actions de classes sont désormais autorisées.
Avant tout, le professionnel du droit, tenu au secret professionnel qui lui et si cher, et épris de droits et libertés se doit de se conformer aux réglementations qui s’imposent à tous.
Pour finir et pour compléter le tableau, un dernier article sur le Pourquoi du Respect de la Vie Privée : [1].