Certaines actions doivent être mises en place et demandent une attention particulière, afin d’éviter de commettre certaines erreurs qui pourront être sanctionnées par la Commission nationale de l’informatique et des libertés (ci-après « Cnil »).
Ci-après, nous allons donc voir ensemble le top 5 des erreurs fréquemment commises par les avocats et les sanctions applicables.
1 : Une mauvaise gestion des mots de passe.
Un cabinet d’avocat, comme tout responsable du traitement, doit mettre en place des mesures de sécurité suffisantes, afin de garantir la sécurité des données de ses clients, notamment.
L’une de ces mesures passe par la mise en place d’un mot de passe robuste, que ce soit pour ouvrir la session de son ordinateur, de sa boîte mail ou de tout autre serveur sécurisé par mot de passe et de l’imposer aux personnes travaillant avec lui.
Une mauvaise gestion des mots de passe [1] par les cabinets d’avocats constitue un manquement à l’article 32 du RGPD [2].
L’amende administrative [3] pouvant être prononcée peut s’élever à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
L’article 84 du RGPD [4] prévoit également que des sanctions pénales peuvent être prononcées.
L’article 226-17 du Code pénal prévoit que :
« le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites aux articles 24,25,30 et 32 du règlement (UE) 2016/679 du 27 avril 2016 précité ou au 6° de l’article 4 et aux articles 99 à 101 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ».
De nombreuses erreurs sont observées comme :
- la simplicité dans l’élaboration du mot de passe, avec une combinaison de 6 lettres ou chiffres « pas suffisamment robuste » ;
- l’absence d’un système de double authentification ou d’authentification forte ;
- la conservation des mots de passe en texte clair ;
- l’absence de mécanisme de renouvellement automatique du mot de passe après un certain délai.
2 : Une mauvaise gestion des cookies des utilisateurs.
Les cookies [5] sont des fichiers textes qui apparaissent lors de la consultation d’un site web et qui sont déposés sur le terminal de l’internaute et permettent d’obtenir des informations relatives à leur navigation.
La méconnaissance des règles à respecter dans le dépôt et l’utilisation de cookies [6] peut engendrer de nombreuses erreurs, telles que :
- l’absence d’information des utilisateurs, empêchant un consentement éclairé ;
- l’absence pour l’utilisateur de pouvoir simplement accepter ou refuser le dépôt de cookies ;
- l’absence pour l’utilisateur de pouvoir revenir sur sa décision à tout moment ;
- l’absence d’un choix par finalité.
La méconnaissance de ces règles, prévues à l’article 82 de la loi informatique et libertés et à l’article 7 du RGPD [7], peut être sanctionnée par la formation restreinte de la Cnil.
L’amende administrative [8] pouvant être prononcée peut s’élever à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
3 : Choisir un prestataire qui ne respecte pas les exigences du RGPD.
Le prestataire est un sous-traitant, au sens du RGPD [9], qui, comme le responsable de traitement [10], doit respecter les exigences du règlement.
Il est ainsi impératif de choisir un prestataire après analyse de sa conformité RGPD et de signer un contrat comportant une clause de protection des données personnelles.
La mise en place de ces mesures est prévue à l’article 28 du RGPD [11].
La méconnaissance de cette règle peut faire l’objet d’une sanction prononcée par la formation restreinte de la Cnil.
L’amende administrative [12] pouvant être prononcée peut s’élever à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
Souvent, cette clause sera directement intégrée dans les conditions d’utilisation de l’outil proposé par le prestataire. Il conviendra alors de prendre connaissance de ces termes et d’en demander la modification, s’ils ne s’avèrent pas conformes à la réglementation.
4 : L’utilisation d’un cloud américain.
L’utilisation d’une plateforme cloud dont le site d’hébergement est localisé hors de l’Union européenne (ci-après « UE ») ou de l’Espace Economique Européen (ci-après « EEE »), implique un transfert des données personnelles des personnes concernées en dehors de l’UE.
L’hébergement des données dans un cloud étranger ne permet pas toujours de garantir la sécurité et la confidentialité des données.
En utilisant un service de cloud américain, par exemple, les données personnelles collectées et traitées par le cabinet d’avocat, peuvent être hébergées dans des serveurs américains et, par conséquent, transférées en dehors de l’Union européenne.
Les autorités américaines pourraient alors avoir accès aux données, conformément aux dispositions prévues par le Cloud Act ou « Clarifying Lawful Overseas Use of Data Act », même si la signature du décret du 7 octobre 2022 [13] par le président américain Joe Biden pour la mise en œuvre d’un nouveau cadre pour le transfert des données personnelles de l’Union européenne vers les États-Unis, s’illustre comme une avancée pour la protection des données personnelles.
En tout état de cause, les responsables du traitement, tels que les cabinets d’avocats, et les sous-traitants doivent avoir mis à jour leurs clauses contractuelles types postérieurement à juin 2021 [14], ou utiliser un autre outil de transfert, afin de pouvoir garantir une protection effective [15] des données personnelles transférées vers des pays tiers via l’utilisation d’un cloud américain au respect de ces dispositions, prévues aux articles 46 [16] et 47 [17] du RGPD, la Cnil peut prononcer une amende administrative [18] pouvant s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
Des sanctions pénales peuvent être également prévues conformément aux dispositions de l’article 226-22-1 du Code pénal qui prévoit que :
« le fait de procéder ou de faire procéder à un transfert de données à caractère personnel faisant l’objet ou destinées à faire l’objet d’un traitement vers un Etat n’appartenant pas à l’Union européenne ou à une organisation internationale en violation du chapitre V du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE, ou des articles 112 à 114 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ».
5 : Une durée de conservation des données non limitée.
Les données personnelles ne peuvent pas être conservées indéfiniment [19].
Il est nécessaire, pour le responsable du traitement, tel qu’un avocat, de déterminer des durées de conservation, selon la finalité du traitement.
Ces durées de conservation doivent être documentées dans une politique de durées de conservation, mises en place en pratique et communiquées aux personnes concernées.
Cette communication pourra se trouver dans les mentions d’information du site internet de l’avocat ou dans sa politique de confidentialité, ainsi que dans sa convention d’honoraires, au minimum.
Le non-respect de ces obligations prévues à l’article 5.1.e du RGPD [20] peut être sanctionnée.
L’amende administrative [21] peut s’élever jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
Conformément à l’article 84 du RGPD [22], la formation
restreinte de la Cnil peut :
- prononcer un rappel à l’ordre ;
- enjoindre de mettre le traitement en conformité, y compris
sous astreinte ; - limiter temporairement ou définitivement un traitement ;
- suspendre les flux de données ;
- rendre publiques toutes ces sanctions.
L’article 226-20 du Code pénal prévoit que :
« le fait de conserver des informations sous une forme nominative au-delà de la durée prévue par la demande d’avis ou la déclaration préalable à la mise en œuvre du traitement informatisé est puni de trois ans d’emprisonnement et de 45 000 euros d’amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi ».
Les sanctions possibles.
Outre les sanctions pécuniaires précitées, en cas de méconnaissance des dispositions du RGPD ou de la loi Informatique et libertés [23], la formation restreinte de la Cnil peut :
- prononcer un rappel à l’ordre ;
- enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
- limiter temporairement ou définitivement un traitement ;
- suspendre les flux de données ;
- rendre publique toutes ces sanctions.