|
Village de la Justice www.village-justice.com |
|
L’avocat et le RGPD.
|
|
Parution : vendredi 11 mai 2018
Adresse de l'article original :
https://www.village-justice.com/articles/avocat-rgpd,28414.html Reproduction interdite sans autorisation de l'auteur. |
Le Règlement Général sur la Protection des Données (RGPD) adopté le 27 avril 2016 est directement applicable dans l’ensemble des États membres à partir du 25 mai 2018. Il est applicable à tous les avocats qui devront par conséquent se mettre en conformité, et pourront l’appliquer dans le cadre de leur activité.
Afin d’aider les avocats à se mettre en conformité, et conseiller leurs clients, le Conseil National des Barreaux, le Barreau de Paris et la Conférence des Bâtonniers ont publié un guide pratique accessible en ligne sur le site du CNB (ci-après le Guide).
Ce Guide rappelle tout d’abord que, dans le cadre de leur activité, les avocats traitent des données relatives à des personnes physiques, et que le RGPD leur est donc applicable.
Ces données, en particulier celles de leurs clients, peuvent être « sensibles », tant elles peuvent concerner leur vie privée : données raciales ou ethniques, politiques, religieuses, philosophiques, syndicales, génétiques, biométriques, de santé, relatives à leur vie ou à leur orientation sexuelle.
Ces données peuvent également être sensibles en raison de leur caractère judiciaire : données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes.
Or s’agissant de ce type de données, les droits des personnes concernées sont renforcés. Le règlement s’applique donc tout particulièrement aux avocats.
Mais même à supposer que l’avocat ne traite pas de données « sensibles », que ce soit pour ses clients, son personnel, ou les sous-traitants avec qui il travaille (hébergeur, huissier, mandataire, comptable etc…), il traite habituellement des données de personnes physiques : nom, prénom, adresse (etc…).
A ce seul titre, il doit donc se conformer au RGPD, et tenir un registre des traitements qu’il effectue.
Il doit également informer les personnes concernées de leurs droits, veiller au respect du règlement par ses sous-traitants, et à la bonne sécurité de ses traitements.
En revanche, l’avocat ne traitant pas en principe de données « à grande échelle », comme le souligne le Guide, il ne devrait pas être tenu d’effectuer une analyse d’impact.
Ceci ressort du considérant 91 du Règlement suivant lequel : « Le traitement de données à caractère personnel ne devrait pas être considéré comme étant à grande échelle si le traitement concerne les données à caractère personnel de (…) clients par un avocat exerçant à titre individuel. Dans de tels cas, une analyse d’impact relative à la protection des données ne devrait pas être obligatoire. »
Néanmoins, ce considérant ne vise que l’exercice « à titre individuel » de l’activité d’avocat.
A contrario, les avocats exerçant leur activité dans des structures d’exercice en commun, sont susceptibles d’être soumis à l’obligation d’effectuer une analyse d’impact.
Quant à l’obligation de désigner un délégué à la protection des données (DPO), elle est conditionnée par le même critère de « traitement à grande échelle ».
Partant de là, le Guide effectue une interprétation par analogie avec le considérant 91 susvisé, et en déduit qu’un avocat, exerçant son activité « à titre individuel » n’a pas à désigner un DPO.
Les mêmes réserves que ci-dessus peuvent être émises : l’exercice de la profession « à titre collectif » devrait induire la désignation d’un délégué à la protection des données.
S’il n’est donc pas en principe tenu de désigner un DPO, l’avocat peut en revanche être DPO pour ses clients.
Outre le fait que l’avocat peut offrir ses services de conseil pour aider ses clients à se mettre en conformité avec le RGPD, il peut également choisir d’être délégué à la protection des données (DPD), ou en anglais DPO : Data Protection Officer.
Comme il existait la possibilité pour les avocats d’être CIL (Correspondants Informatique et Libertés), il leur est désormais possible d’être DPO.
D’après le Règlement, les délégués à la protection des données ne doivent pas nécessairement revêtir la qualité d’avocat.
L’article 37.5 exige seulement que « Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données (…) ».
En tant que spécialiste du droit, l’avocat a vocation naturelle à exercer cette activité.
Mais encore faut-il, comme le souligne le Règlement, que ce dernier ait une certaine « pratique(s) en matière de protection des données ».
Le cas échéant, l’avocat pourra être désigné par ses clients comme « DPO », et à ce titre sera chargé des fonctions et missions visées par le Règlement.
Outre le respect du Règlement, il devra respecter le RIN (Règlement Intérieur National), et en particulier l’article 6.3.3.
Cet article prévoit que l’avocat doit mettre un terme à sa mission, s’il estime ne pas pouvoir l’exercer, après avoir préalablement informé et effectué les démarches nécessaires auprès de la personne responsable des traitements.
Cette disposition vise notamment à garantir les clients contre tout conflit d’intérêt.
De plus, l’article 6.3.3 précise que l’avocat ne peut en aucun cas dénoncer son client responsable de traitement, et s’il est mis en cause, doit refuser de le représenter en justice. Ce qui garantit le secret professionnel de l’avocat DPO.
Par rapport aux DPO non avocats, le RIN offre donc des garanties supplémentaires aux clients qui souhaitent désigner un avocat comme délégué à la protection des données.
L’avocat est donc particulièrement bien placé pour exercer la mission de DPO.
Ajoutons à cela que l’avocat est également voué, et en cas de représentation obligatoire, même destiné, à assister et représenter toute personne mise en cause, ou qui souhaite faire valoir ses droits sur le fondement du Règlement.
Et ce, non seulement devant les juridictions judiciaires, ou administratives, mais aussi devant l’autorité de contrôle même.
Du fait de son application, et des opportunités qu’il offre aux avocats, le RGPD a donc un impact certain sur la profession. Il ne reste plus que maintenant aux avocats à s’en saisir pour le défendre aux mieux de leurs intérêts, et de leurs clients.
Arnaud Dimeglio, Avocat spécialiste en droit des nouvelles technologie, droit de l'informatique et de la communicationCet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion, plus d'infos dans nos mentions légales ( https://www.village-justice.com/articles/Mentions-legales,16300.html#droits ).
Quid des compétences technologiques exigées par la fonction de DOO : data mapping, data management, data security,...
combien de structure d’avocats se sont mis en conformité RGDP plus de deux ans après l’entrée en vigueur du RGDP ?
Quelle responsabilité pour l’avocat négligeant qui n’assure la sécurité des données qui lui sont confiées ?