Par Oriana LABRUYERE, Avocate, Co-présidente de la commission numérique ACE
Nous sommes en 2023, le nouvel or noir s’appelle data et les cyber criminels cherchent à s’en emparer. Hôpitaux publics, grandes entreprises, nations, TPE, chacun d’entre nous, personne n’est à l’abri. Dans ce contexte, le législateur européen impose des règles strictes et une obligation de moyen renforcée au travers notamment du Règlement général à la protection des données (RGPD).
Les « responsable de traitement » doivent s’assurer de la sécurité des données personnelles afin de garantir à chaque personne physique l’intégrité, la confidentialité et la disponibilité de sa donnée.
Les avocats ne sont pas exclus du champ d’application de ce texte. Dans le cadre de leur exercice professionnel, les avocats traitent les données personnelles de leurs clients, données qui sont souvent sensibles (ex : Données relative aux condamnations pénales), de leurs prospects, de leurs salariés, et de leurs collaborateurs.
Bien souvent moins sensible à la cybersécurité, ils font une cible de choix pour les hackeurs, en témoigne l’attaque sur un cabinet officiant au cours du procès Charlie Hebdo, ou nombre de données relative à l’instruction se sont retrouvé sur le deep web. Ce n’est heureusement pas une fatalité, et une bonne hygiène numérique peut très grandement limiter les risques.
I. L’enjeu des données personnelles dans les cabinets d’avocat : zoom sur quelques notions
Une « donnée personnelle » se définit comme «
toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne peut être identifiée directement, par son nom et prénom notamment, ou indirectement, via un identifiant, un numéro, une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi sa voix ou son image.
L’identification d’une personne peut se faire à partir d’une seule donnée ou à partir d’un croisement de plusieurs données. Ces données figurent parmi les plus attractive pour les hackers, car ce sont elles qui permettent d’au choix : exercer un chantage auprès des individus ; ou bien mettre en œuvre une usurpation d’identité.
Un « traitement de données personnelles » est une opération, ou ensemble d’opérations, portant sur des données personnelles qui peuvent être par exemple la simple conservation, sa consultation, ou encore sa diffusion. Un traitement de données doit avoir un objectif, une finalité. Cette finalité doit évidemment être légale et légitime au regard de votre activité professionnelle.
Dans un contexte de numérisation grandissante des pratiques professionnelles, il est important de rappeler qu’un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
Ainsi, pourquoi l’avocat est-il concerné ? Le RGPD s’applique à toute organisation traite des données personnelles pour son compte ou non, dès lors : qu’elle est établie sur le territoire de l’UE ou que son activité cible directement des résidents européens. À noter que le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.
Ainsi, si vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées.
Mais au-delà de ces aspects légaux, les avocats doivent se saisir de ce sujet pour préserver leur secret professionnel, alpha et oméga de la confiance avec leur client.
II Le RGPD appliqué au cabinet d’avocat : les obligations essentielles
1. Informer l’utilisateur et recueillir son consentement
Le consentement est l’acceptation par une personne, via une déclaration ou un acte positif clair, du traitement de ses données à caractère personnel. Ce consentement doit être libre, spécifique, éclairé et univoque. Il implique un droit de retrait pour la personne accordant son consentement et une obligation de conservation de la preuve de consentement par le professionnel.
Pour être loyale et licite, la collecte de données personnelles doit s’accompagner d’une information claire et précise des personnes sur : l’identité du responsable du fichier ; la finalité du fichier ; le caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse ; les destinataires des données ; leurs droits (droit d’accès, de rectification, et d’opposition) ; les éventuels transferts de données vers des pays hors UE. A noter, des règles spécifique entoure l’usage des traceurs ou « cookies ».
2. Traiter les données et les demandes de droits des personnes
a. L’établissement d’un registre de traitement
Afin d’avoir une vision d’ensemble sur les différents traitements opérés sur les données collectées, il est indispensable de constituer un registre de traitement. Ce registre permet d’identifier les activités principales de l’avocat qui utilisent des données personnelles, de créer une fiche pour chaque activité recensée, détaillant l’objectif poursuivi, les catégories de données utilisées, les personnes ayant accès à ces données et enfin, la durée de conservation de ces données. Le registre est placé sous la responsabilité de l’avocat ou du mandataire social s’il exerce en société.
b. Le traitement des demandes de droits
Tout individu dispose, vis à vis de ses données personnelles, d’un certain nombre de droits. Tout d’abord, l’individu a le droit d’accéder à ses données (droit d’accès), de les rectifiées (droit de rectification), de limiter leur utilisation (droit de limitation) voire de demander leur effacement (droit d’effacement). L’individu peut également s’opposer au traitement de ses données (droit d’opposition), même si elles ont été collectées dans un but légitime. Enfin, l’individu peut demander à recevoir ses données afin de les transmettre à un autre responsable de traitement (droit à la portabilité).
L’avocat est tenu de mettre tout en œuvre pour que les personnes puissent exercer facilement leurs droits. Pour cela, il est essentiel de mettre en place une organisation chargée de traiter les demandes ainsi qu’une adresse e-mail spécifique destinée à recueillir les demandes des personnes. A réception d’une demande, la ou les personnes en charge des traitements doivent vérifier l’identité du demandeur, la ou les données concernées par la demande ainsi que le motif de la demande, et y répondre dans les délais impartis.
3. Respecter les durées de conservation des traitements en lien avec la finalité de traitement
Les données personnelles ne peuvent être conservées indéfiniment : une durée de conservation doit être déterminée en fonction de l’objectif ayant conduit à la collecte de ces données. Pour chaque traitement, il faut déterminer une durée de conservation en adéquation avec les finalités du traitement ou la loi. Pour certain traitement, nous jugerons que le responsable de traitement n’est plus pertinent à conserver la donnée, il devra donc la purger. A l’inverse, la loi pourra l’obliger à conserver la donnée pendant une période minimum. C’est notamment le cas en matière RH ou fiscale.