Droit d’accès et secret professionnel : un cabinet condamné par l’APD

Tribune n°292
Le Fil RGPD

1. Les faits et positions des parties

Les plaignantes, une mère et sa fille mineure, sont d’anciennes clientes d’un cabinet d’avocat·es (le défendeur).

Début 2023, les plaignantes formulent à ce cabinet une demande d’accès à leurs données personnelles respectives ainsi qu’à celles du père de la fille. Le cabinet répond alors partiellement à cette demande, arguant que la mère n’apporte pas de preuves de son identité. Trois autres sollicitations des plaignantes reçoivent une réponse similaire. Dans sa dernière réponse, le cabinet juge la dernière sollicitation constitue une demande « manifestement infondée ou excessive » au sens du RGPD1 et exige le paiement d’une « amende » de 135 EUR.

Les plaignantes avancent qu’elles n’ont pas reçu ni pu obtenir (via le site internet ou par d’autres moyens) d’informations adéquates sur leurs droits en tant que personnes concernées (la fameuse politique de vie privée), et que le cabinet d’avocat ne leur a pas donné les moyens de démontrer l’identité de la mère correctement2.

Le cabinet d’avocat soutient de son côté que la mère n’a pas justifié d’un mandat ou d’une autorité pour demander les données de sa fille et de son mari. Il invoque aussi le fait que les données personnelles de la fille sont entre autres des données de santé, sujettes à des protections supplémentaires dans le RGPD3. S’agissant de la demande elle-même, le cabinet considère également qu’elle fait partie d’une « stratégie plus large visant à contester le paiement de la facture que la mère doit encore au défendeur ».

2. Le raisonnement de l’APD

  1. La politique de vie privée

L’APD rappelle les dispositions pertinentes en matière de communication des droits des personnes concernées (les articles 12 et 13 du RGPD). A cet égard, elle note que le simple fait de ne pas traiter de données personnelles via le site internet ne dispense pas le cabinet de mettre à la disposition de ses clients (par exemple en ligne) une politique de vie privée pour tous les traitements dont est responsable le cabinet.

  1. Le secret professionnel

Le cabinet a basé en partie sa défense sur le secret professionnel et le code de déontologie.

Sur ce point en particulier, la Chambre Contentieuse est catégorique. Au point 40 de la décision, elle dit :

« La Chambre Contentieuse relève que le secret professionnel n’a ici aucune pertinence. Le secret professionnel a pour objet de protéger le client, en imposant à l’avocat de ne pas dévoiler les informations que le client lui transmet. Dans le cas d’espèce, étant entendu que les plaignantes furent les clientes du défendeur, et que celles-ci ont demandé des informations sur des données à caractère personnel qui les concernent spécifiquement, l’argument du défendeur est inopérant. »

Pour la Chambre Contentieuse, il est donc clair que le secret professionnel ne peut s’appliquer si la personne formulant une demande est un·e client·e du cabinet. S’agissant des données personnelles du mari de la mère, l’arrêt précise tout de même au point 32 que « le défendeur a refusé, à raison, de partager à la mère des données à caractère personnel relatives à son mari étant entendu qu’elle n’a présenté aucun mandat à cette fin ».

  1. Les frais de la demande

Estimant que cette situation impliquait des demandes abusives destinées à éviter le paiement de la facture, le cabinet a décidé d’exiger le paiement de 135 EUR.

Si l’article 12.5 du RGPD permet bien au responsable du traitement de facturer les frais engendrés par une requête abusive, il s’agit là d’un régime d’exception. Répondre à une requête se fait en principe gratuitement et indépendamment de l’existence de toute facture impayée.

Le cabinet considère avoir reçu de multiples demandes, mais pour la Chambre Contentieuse, il s’agit d’une seule et même demande, réitérée plusieurs fois car laissée partiellement insatisfaite à chaque réponse.

3. Conséquences

Le RGPD et la loi portant création de l'Autorité de protection des données permettent à l’APD d’infliger des sanctions financières en tenant compte des circonstances particulières de chaque affaire. Elle inflige ici (i) une amende pour non-respect du principe de transparence (par ex. pour l’absence de politique de vie privée) de 2.520 EUR et (ii) une amende pour traitement inadéquat de la requête d’une personne concernée et violation du droit d’accès de 2.400 EUR.

On notera que le cabinet a aussi été condamné à honorer la demande originelle, intégralement et gratuitement dans un délai d’un mois.

4. Quelles leçons tirer de cette décision ?

  1. La politique de vie privée

En tant que responsable de traitement pour les dossiers dont il a la charge, il est impératif que tout cabinet d’avocat dispose d’une politique de vie privée claire et qui correspond parfaitement avec les traitements entrepris par le cabinet dans le cadre de ses activités. Il est recommandé de mettre à jour cette politique au gré de l’évolution du cabinet et de ses traitements.

Votre notice doit donc être

  • Rédigée dans un langage clair et adapté aux client·es, et de manière générale facile à lire.
  • À jour (donc conforme aux traitements effectivement entrepris par le cabinet)
  • Disponible et facilement accessible aux client·es à tout moment, y compris et surtout avant le début de toute relation contractuelle. A cet égard, il peut être judicieux d’inclure dans votre signature d’e-mail un lien qui redirige vos client·es vers la dernière version de votre notice.

Les contrats entre le ou la client·e et le cabinet doivent également inclure des clauses relatives au traitement de leurs données personnelles.

La clé d’une bonne communication RGPD est donc la proactivité.

  1. Le traitement des demandes d’accès et le secret professionnel
  • La demande d’accès aux données personnelles doit avoir fait l’objet d’une réponse dans le mois de sa réception. Ce délai peut être étendu à trois mois en cas de requête particulièrement complexe, mais vous devez alors en informer la personne requérante de cette prolongation dans le mois de la réception de la requête, et confirmer par écrit vos motivations pour cette prolongation.
  • Le secret professionnel n’est pas un motif suffisant pour refuser l’accès d’un·e client·e à ses propres données personnelles ou à celles de personnes sur lesquelles elle a une autorité parentale.
  • Avant de répondre à la requête, vous devez vous assurer de l’identité de la personne qui émet cette requête (par exemple en lui demandant de joindre une copie de sa carte d’identité).
  • Dans votre réponse, veillez à ne pas nuire aux droits et libertés de tiers (le cas échéant, en retirant certaines données relatives à des tiers de votre réponse).
  • Pour répondre de manière adéquate à la requête, vous devez inclure une série d’informations reprises à l’article 15 du RGPD.
  • Si la personne demande une copie des données personnelles dont vous disposez la concernant, cette copie doit lui être remise gratuitement. Des frais de photocopie peuvent le cas échéant lui être facturés si elle demande plusieurs exemplaires.

Ceci vaut pour vos client·es actuel·les et ancien·nes.

La Chambre Contentieuse le dit elle-même, ces amendes et sanctions se veulent avant tout dissuasives et visent à prévenir de futures violations, dans le chef du défendeur comme dans celui de de ses pairs4. Nous insistons donc sur l’importance de suivre ces dernières considérations.

La décision est disponible dans son intégralité ici et elle est à l’heure nous publions toujours susceptible de faire l’objet d’un recours devant la Cour des marchés.

Vous pouvez trouver un modèle de politique de vie privée (aussi appelée « charte de vie privée ») sur l’extranet d’AVOCATS.BE.

Nicolas Ceysens
Juriste spécialisé en protection des données chez AVOCATS.BE

A propos de l'auteur

Profile picture for user Nicolas Ceysens
Nicolas
Ceysens
Juriste spécialisé en protection des données chez AVOCATS.BE

a également publié

AVOCATS.BE

Rester conforme au RGPD dans les échanges de données avec des ...

Il y a 1 semaine
Quels réflexes adopter pour rester conforme au RGPD lors des transferts de données avec des confrères ou consœurs, notaires, huissiers, etc. établis à l’étranger ? C’est à cette question que répondra une série de Fils RGPD dont voici le premier. Commençons par le plus simple : les échanges avec les pays où le RGPD s’applique.

Informations pratiques

Jurisprudence professionnelle : textes et arrêts de la CEDH

Vous trouverez sur le site internet de la Délégation des Barreaux de France les résumés en français des principaux arrêts de la Cour européenne des droits de l’homme qui concernent la profession d’avocat.

Rentrées des jeunes barreaux

Catégories

Agenda des formations

Prenez connaissance des formations, journées d'études, séminaires et conférences organisées par les Ordres des avocats et/ou les Jeunes Barreaux en cliquant ici.

Si vous souhaitez organiser une formation et que vous souhaitez l'octroi de points pour celle-ci, veuillez consulter les modalités qui s'appliquent aux demandes d'agrément dans le document suivant et complétez le formulaire de demande.