Qu’est-ce que le RGPD ?
Le RGPD est une abréviation signifiant : Règlement Général sur la Protection des Données ; il est relatif plus exactement au règlement de l’Union Européenne n°2016/679 relatif à la protection des données directement applicable dans l’ensemble des États Membres à partir du 25 mai 2018. [1]
Les avocats sont-ils concernés par le RGPD ?
Oui, les avocats sont concernés par le RGPD. Comme l’indique le CNB sur sa FAQ : Le RGPD ne s’applique pas spécifiquement aux avocats mais à toute personne qui est amenée à traiter des données personnelles ce qui inclut les avocats. La protection des données « sensibles » dont l’avocat a connaissance est inhérente au lien de confiance unissant l’avocat à son client et au respect de ses obligations déontologiques, plus particulièrement celles du secret professionnel.
Quelles sont les obligations pour les avocats dans la gestion de leurs clients ?
Les avocats qu’ils soient connectés ou pas, qu’ils alimentent un site internet ou pas doivent informer leurs clients du traitement de leurs données personnelles.
En effet, même si vous traitez vos dossiers à la machine à écrire et au carbone, que vous n’utilisez pas les mails mais seulement les courriers postaux pour communiquer, vous êtes une espèce rare qui devra tout de même se conformer au RGPD.
Je ne traiterai que les obligations des avocats à l’égard de leurs clients.
En effet, les avocats comme les entreprises auront des obligations à l’égard de leur personnel, je vous renvoie au guide du CNB pour étudier ces obligations (Fiche n°1 traitement RH des RGPD), de même les avocats ont des obligations particulières dans l’hypothèse où ils utilisent la viodéosurveillance (à lire Fiche n°3).
1- Faut-il désigner un délégué à la protection des données ?
Ce n’est pas obligatoire mais conseillé, nous précise le CNB.
A mon sens, lorsque comme moi, vous gérez un cabinet individuel comprenant une secrétaire et une associée (GIE), il n’est pas nécessaire de désigner un délégué à la protection des données.
Il convient de désigner un « pilote », un membre du cabinet qui sera chargé de la protection des données personnelles et sera référent avec le personnel et le ou les collaborateurs.
2- Les questions à vous poser dans le cadre du traitement des données personnelles de vos clients.
La CNIL préconise de cartographier vos traitements de données personnelles.
Il faut vous poser les questions suivantes :
Qui ?
Quoi ?
Pourquoi ?
Où ?
Jusqu’à quand ?
Comment ?
Une fois, cette cartographie effectuée vous pourrez tenir votre registre des activités de traitement.
Voir la fiche de la CNIL sur la cartographie : Cartographier vos traitements de données personnelles.
3- La tenue d’un registre des activités de traitement.
Pour la plupart des cabinets d’avocats ce registre devra être tenu.
Il n’est plus obligatoire de déclarer le traitement des données personnelles à la CNIL.
En contrepartie de cette suppression, il conviendra de tenir un registre des activités de traitement des données personnelles.
Ce dernier est obligatoire pour les entreprises de plus de 250 salariés donc on pourrait croire que pour la plupart des cabinets, ce registre n’a pas être tenu.
Attention, pour la plupart des cabinets, il faudra tenir ce registre car nous traitons de données sensibles ou se rapportant à des condamnations pénales dont le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées.
Comment se présente ce registre ?
La CNIL a mis en ligne un modèle de registre : Modèle de registre RGPD
Il est très bien fait, didactique, ci-dessous le début du registre téléchargeable sous Word, Pdf et même Excel.
Ce registre vous permettra de démontrer à la CNIL si vous avez un contrôle que vous avez mis en place un « process » pour protéger les données personnelles que vous traitez, votre sensibilisation à la question sera démontrée grâce à ce document.
Pour faciliter la tenue du registre, la CNIL propose un modèle de registre de base destiné à répondre aux besoins les plus courants en matière de traitements de données, en particulier des petites structures.
Ce document vise à recenser les traitements de données personnelles mis en œuvre dans votre organisme en tant que responsable de traitement. Centralisé et régulièrement mis à jour, il vous permet de répondre à l’obligation de tenir un registre prévue par le RGPD.
Une fois ce recensement effectué, vous serez en mesure de procéder à l’analyse des traitements de données personnelles à la réglementation.
Composition du document :
1. Une première page du registre recense les informations communes à toutes vos activités de traitement.
Les coordonnées de votre organisme (ou de son représentant sur le territoire européen si votre organisme n’est pas établi dans l’Union européenne)
Les coordonnées du délégué à la protection des données (DPO) si vous en disposez
La liste des activités de votre organisme impliquant le traitement de données personnelles.
2. Pour chaque activité recensée, vous devrez créer et tenir à jour une fiche de registre.
Les pages suivantes constituent le modèle de fiche de registre, que vous devrez remplir pour chacune de ces activités.
Registre des activités de traitement de [Nom de l’organisme]
Coordonnées du responsable de l’organisme (responsable de traitement ou son représentant si le responsable est situé en dehors de l’UE)
Ex : Nom, Prénom du responsable légal
Adresse
CP VILLE
Téléphone
Adresse de messagerie
Nom et coordonnées du délégué à la protection des données (si vous avez désigné un DPO)
Ex : Nom, Prénom du DPO
Société (si DPO externe)
Adresse
CP VILLE
Téléphone
Adresse de messagerie
4-Comment informer nos clients sur le RGPD et être en règle ?
Sur votre site internet.
Déjà avant le RGPD, il était nécessaire d’informer les clients que nous traitions des données personnelles et qu’ils pouvaient en demander la rectification à tout moment.
A l’heure des demandes de consultation en ligne, demande de devis en ligne et de rendez-vous, il convient encore plus de respecter cette obligation.
J’ai pour ma part indiqué sur mon site avant l’entrée en vigueur du RGPD après chaque formulaire de contact la formule suivante :
Les informations recueillies font l’objet d’un traitement informatique destiné à la prise de rendez-vous. Le destinataire de données est Me Michèle Bauer. Conformément à la loi « Informatique et libertés » du 6 janvier 1978 modifiée en 2004, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant à Me Michèle Bauer, 33 Cours Pasteur, 33 000 BORDEAUX. Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.
Je vais modifier ce paragraphe avant le 25 mai, il sera le suivant :
Les informations recueillies font l’objet d’un traitement informatique destiné à la prise de rendez-vous ou à l’établissement d’un devis. Le destinataire des données est Me Michèle Bauer, Avocate, inscrite auprès du Barreau de Bordeaux depuis le 7 janvier 2003 exerçant 33, Cours Pasteur, 33000 Bordeaux, téléphone : 05 47 74 51 50- télécopie : 05 47 74 51 51, mail : Merci d’utiliser la page contact.
Conformément aux articles 13 et 14 du règlement (UE) général sur la protection des données 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et l’article 32 de la loi « Informatique et libertés » du 6 janvier 1978 modifiée en 2004, le directeur de publication de ce site vous informe :
"Le responsable du fichier est Me Michèle Bauer dont les coordonnées sont précisées ci-dessus. La finalité du traitement de ces données est la prise de rendez-vous et/ou l’établissement d’un devis.
Le destinataire est l’avocat qui est le directeur de publication de ce site, soit Me Michèle Bauer.
Ces données seront conservées pour une demande de devis le temps d’établissement de ce devis si aucune suite n’est donnée soit 15 jours maximum, si une suite est donnée et que le dossier est confié à l’avocat, les données seront conservées durant 5 ans à compter du dernier acte juridique.
Pour la prise de rendez-vous, les données seront conservées 5 ans à compter de la date de consultation (ceci si un rendez-vous est fixé et si une consultation est délivrée). Dans l’hypothèse où la personne concernée n’honore pas son rendez-vous, les données seront effacées le jour suivant du rendez-vous non honoré.
Vous bénéficiez d’un droit d’accès, de rectification ou d’effacement de vos données personnelles que vous pouvez demander au responsable du traitement soit à Maître Michèle Bauer.
Vous bénéficiez du droit de demander une limitation du traitement de vos données personnelles.
Vous bénéficiez du droit de vous opposer au traitement de vos données personnelles et du droit à la portabilité de vos données.
Vous pouvez retirer votre consentement au traitement de vos données personnelles et ceci à tout moment en écrivant au responsable du traitement soit à Maître Michèle Bauer
Vous pouvez introduire une réclamation auprès de la CNIL si vous estimez que la protection de vos données personnelles n’a pas été assurée par le responsable du traitement."
Il faudra également prouver que l’internaute a donné son consentement au traitement de ses données personnelles. Pour cela, il convient de modifier vos formulaires de contact ; si vous utilisez WordPress comme moi, je vous invite à lire l’article : Comment appliquer le RGPD à WordPress ? (Attention, lien réservé aux abonnés Hub Avocat).
De même qu’ il faut informer les internautes de la présence de cookies.
Si vous utilisez une extension (type Google Analytics par exemple) pour connaître les visites sur votre site, ce dernier utilise les cookies. Un plugin existe sur WordPress afin de mettre en place un bandeau informant de la présence de cookies sur votre site et renvoyant vers une page qui explique la politique relative aux cookies. L’extension à télécharger est Cookies Notice, j’ai rédigé pour ma part une page expliquant la politique relative aux cookies. (Attention, lien réservé aux abonnés Hub Avocat).
Pour finir, attention si vous ne traitez pas les données personnelles « personnellement » (désolée pour la répétition), et que c’est un "sous-traitant" qui s’en charge, il conviendra que ce dernier respecte le RGPD (voir la fiche du CNB n°4). Un sous-traitant pourra être une plateforme de consultation sur laquelle vous êtes inscrit. Il faudra conclure un contrat avec ce sous-traitant et encadrer le traitement des données personnelles.
Dans votre convention d’honoraires ou par mail accompagnant une note d’honoraires.
Vous pouvez dans la convention d’honoraires ajouter un article « Traitement des données personnelles » et préciser :
Les informations recueillies durant le traitement de votre affaire font l’objet d’un traitement informatique destiné au suivi de votre dossier : consultation, rédaction d’actes juridiques, plaidoiries. Le destinataire des données est Me Michèle Bauer, Avocate, inscrite auprès du Barreau de Bordeaux depuis le 7 janvier 2003 exerçant 33, Cours Pasteur, 33 000 BORDEAUX, téléphone : 05 47 74 51 50- télécopie : 05 47 74 51 51, mail : à préciser
Conformément aux articles 13 et 14 du règlement (UE) général sur la protection des données 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et l’article 32 de la loi « Informatique et libertés » du 6 janvier 1978 modifiée en 2004, vous êtes informé que : le responsable du fichier est Me Michèle Bauer dont les coordonnées sont précisées ci-dessus. La finalité du traitement de ces données est le suivi du dossier que vous m’avez confié conformément au mandat donné et détaillé dans la présente convention d’honoraires.
Le destinataire est l’avocat qui traite votre dossier soit Michèle Bauer. Le destinataire pourra être un Confrère, avocat correspondant ou postulant si son intervention est nécessaire.
Ces données seront conservées durant 5 ans à compter du dernier acte juridique.
Vous bénéficiez d’un droit d’accès, de rectification ou d’effacement de vos données personnelles que vous pouvez me demander par courriel ou courrier postal.
Vous bénéficiez du droit de demander une limitation du traitement de vos données personnelles.
Vous bénéficiez du droit de vous opposer au traitement de vos données personnelles et du droit à la portabilité de vos données.
Vous pouvez retirer votre consentement au traitement de vos données personnelles et ceci à tout moment m’écrivant par courriel ou lettre postale.
Vous pouvez introduire une réclamation auprès de la CNIL (site de la CNIL : www.cnil.fr) si vous estimez que la protection de vos données personnelles n’a pas été assurée dans le cadre du traitement de votre dossier.
Me Michèle Bauer tient un registre des activités de traitement des données personnelles dont vous pouvez demander la consultation si vous le souhaitez".
Information des clients par mail.
Vous pouvez reprendre le texte ci-dessus dans un mail par exemple lorsque vous avez délivré une consultation qui n’a pas fait l’objet de suite, en adressant la note d’honoraires à votre client, vous pouvez l’accompagner de cette information.
Pourquoi ne pas préciser ces informations sur la note d’honoraires directement ?
Le mieux est certainement de faire signer une convention d’honoraires même pour une simple consultation afin de se ménager une preuve de l’information du client, le mail n’est pas contresigné ni non plus la note d’honoraires de consultation.
5-La sécurisation du traitement des données personnelles.
Pour finir, il faudra bien sécuriser les données personnelles de vos clients : l’accès aux locaux doit être sécurisés, l’accès au dossiers des clients aussi : mots de passe pour accéder au logiciel de gestion.
Il faudra peut-être envisager de sécuriser vos mails en mettant en place un cryptage.
En conclusion, pour respecter le RGPD, il convient de mettre en place ces documents et surtout de modifier nos conventions d’honoraires.
Recherche Avancée sur le Village
Discussions en cours :
Très bon article.
Comment faites vous lorsqu’un de vos clients demande la copie de toutes les données concernant son dossier dans le cadre du RGPD ?
Communiquez vous les échanges avec le confrère de la partie adverse ?
Merci beaucoup pour cet article complet et pratique, avec des modèles, donc très utile sur un sujet plutôt obscur .
Merci consœur pour cet article très pratique et complet !!
Bonjour,
Merci pour cet article. Sauf erreur de ma part, il me semble que vous oubliez de demander à vos clients qui utilisent vos services via votre site s’ils souhaitent donner leur consentement au traitement de leurs données par votre cabinet. En effet, c’est un obligation : vous devez leur permettre de cliquer soit sur "je donne mon consentement " ou soit sur "je ne donne pas mon consentement au traitement de mes données" (articles 5 - 6 - 7 RGPD). Si besoin, vous devez pouvoir être en mesure de prouver que votre client a donné son consentement pour l’utilisation de ses données....
Merci de cette précision, je n’ai pas mentionné cette question qui est traitée dans le guide du cnb. sur mon site j’ai mis en place la question des cookies et un bandeau qui permet d’autoriser ces derniers .
La difficulté sur ce consentement étant que la seule case à cocher ne suffirait pas pour démontrer celui ci ... Mais je ne vois que cette possibilité en rendant cette case obligatoire dans le cadre du formulaire de contact en ligne
Il sera facile alors de prouver le consentement en invoquant la technique...il faut que j’examine si techniquement sur WordPress il est possible de mettre en place un formulaire de contact avec une case à cocher qui pourra être validée qu’après lecture des informations sur le traitement des données ...un plugin doit exister car pour les ventes en ligne les conditions générales doivent être validées
Cordialement
Michèle Bauer
Le consentement n’est qu’une des bases légales de traitement.
L’exécution du contrat en est une autre. Donc vous pouvez parfaitement ne pas demander de consentement explicite, car la réalisation de votre mandat vous oblige à traiter les données nécessaires à celui-ci.
(Article 6 du RGPD, paragraphe 1)
Vous n’aurez besoin de prouver le consentement que si vous avez l’intention du lui envoyer des communications sans rapports avec le mandat, de la publicité par exemple.
Pour les Consoeurs et Confrères qui me lisent, sur l’encyclopédie du CNB, des modèles de conventions d’honoraires sont en ligne avec un article sur la protection des données personnelles, l’article (extrait- pour avoir le complet lire le site CNB)
9 – PROTECTION DES DONNEES A CARACTERE PERSONNEL
Le cabinet met en œuvre des traitements de données à caractère personnel.
Les traitements de données à caractère personnel mis en œuvre ont pour base juridique (à adapter ou compléter) :
o l’intérêt légitime poursuivi par le cabinet lorsqu’il poursuit les finalités suivantes :
prospection et animation ;
gestion de la relation avec ses clients et prospects ;
organisation, inscription et invitation aux événements du cabinet.
la production, la gestion, le suivi des dossiers de ses clients ;
le recouvrement.
la prévention du blanchiment et du financement du terrorisme et la lutte contre la corruption ;
la facturation ;
la comptabilité.
o l’exécution de mesures précontractuelles ou du contrat lorsqu’il met en œuvre un traitement ayant pour finalité :
o le respect d’obligations légales et réglementaires lorsqu’il met en œuvre un traitement ayant pour finalité :
Le cabinet ne conserve les données que pour la durée nécessaire aux opérations pour lesquelles elles ont été collectées ainsi que dans le respect de la réglementation en vigueur.
https://encyclopedie.avocats.fr/Record.htm?idlist=1&record=19160930124919881129