Le Règlement Général sur la Protection des Données (R.G.P.D. ou G.D.P.R. pour General data protection régulation en anglais) réglemente le traitement et la circulation des données à caractère personnel de l’ensemble des résidents de l’Union européenne. Immédiatement applicable, il a été confirmé en droit belge par une loi du 30 juillet 2018 et vise notamment les avocats, considérés comme responsables de traitement. Il a donc de nombreuses implications dans leur pratique quotidienne.
Cette matière et ses exigences ne peuvent en effet être ignorées. Non seulement les avocats sont susceptibles de faire l’objet de contrôles de la part de l’autorité de protection des données mais, vu le contexte conflictuel dans lequel ils évoluent tous les jours, ils sont susceptibles d’être visés par des plaintes amenant des contrôles... et donc éventuellement des sanctions !
La commission R.G.P.D. travaille dès lors d’arrache-pied pour mettre des outils à la disposition du barreau afin que les avocats puissent les télécharger et les mettre en ligne. Nous ne pouvons qu’insister pour que vous les utilisiez.
Charte « vie privée »
Conformément aux articles 5 et 12 à 14 du R.G.P.D., le responsable de traitement, c’est-à-dire l’avocat ou le cabinet d’avocats, doit fournir une information permanente transparente, compréhensible et aisément accessible aux personnes dont il traite les données à caractère personnel. Cette information doit être fournie au plus tard au moment de la collecte des données par écrit ou par d’autres moyens y compris par voie électronique.
Un modèle de charte « vie privée » et sa note explicative sont donc accessibles sur l’extranet d'AVOCATS.BE (onglet « Boîte à outils » - ouverture de dossiers, modèles et documents utiles – ouverture de dossier particulier/société – pièces 8.1. charte « vie privée » et 8.2. Note explicative)
Registre des activités de traitement
L’article 30 du R.G.P.D. définit l’obligation pour chaque responsable de traitement de tenir un registre des activités de traitement effectuées sous leur responsabilité. De manière synthétique, ce registre comporte les informations suivantes :
- Le nom et les coordonnées du responsable du traitement
- Les finalités du traitement
- Les catégories de personnes concernées et des données à caractère personnel
- Les transferts vers un pays tiers
- Les délais d’effacement
- Une description des mesures de sécurité
Le registre étant obligatoire et susceptible d’être contrôlé, Saba Parsa et Jean-Marc Van Gyseghem, D.P.O. de l’O.B.F.G., ont proposé à la Commission R.G.P.D. un modèle de registre qui sera mis en ligne dans les prochains jours sur le site d’AVOCATS.BE afin que vous puissiez le télécharger.
Guide de bonnes pratiques – contrats de sous-traitance
La plupart de nos voisins européens, privilégient un guide de bonnes pratiques plutôt qu’un code de conduite contraignant soumis au contrôle d’une autorité interne. En l’absence actuelle d’un code de conduite, certaines précautions doivent être prises lorsqu’un avocat stagiaire, un collaborateur ou un correspondant traite le dossier au nom du dominus litis.
Selon l’avis[i] de l’Autorité de protection des données, « Lorsqu’un avocat se voit communiquer un dossier par un confrère qui lui a préalablement demandé de plaider pour lui dans l’hypothèse où cet avocat reste dans le cadre des instructions qui lui ont été données par l’avocat qui a préparé le dossier de plaidoirie », le plaideur doit être considéré comme un sous-traitant. Toujours selon l’Autorité de protection des données, le dominus litis doit alors avertir son client de la communication des données protégées à son confrère et en vertu de l'article 28 du R.G.P.D., conclure un contrat de sous-traitance avec l'avocat qui travaille pour lui, le secret professionnel ne dispensant pas les avocats de cette formalité.
Cet avis n’est cependant pas partagé par ceux qui considèrent que l’avocat-stagiaire ou le collaborateur ne sont pas nécessairement des sous-traitants.
L’article 4.7 du R.G.P.D. définit en effet le responsable du traitement comme la personne physique ou morale qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel.
Le responsable d’un traitement est ainsi celui qui dispose de la maitrise dans
- la détermination de la finalité pour laquelle les données sont traitées (raison concrète et opérationnelle pour laquelle les données sont traitées [...])
- le choix des moyens utilisés pour atteindre cette finalité.
De cette définition se déduit la notion de « coresponsable du traitement ou responsable conjoint », qui est entendu comme la personne physique ou morale qui, avec une ou plusieurs organisations, détermine conjointement le "pourquoi" et le "comment" du traitement des données à caractère personnel. La responsabilité conjointe est donc définie comme « la participation conjointe de deux ou plusieurs entités à la détermination des finalités et des moyens d'une opération de traitement ».
Elle peut prendre la forme d'une décision commune prise par deux ou plusieurs entités ou résulter de décisions convergentes prises par deux ou plusieurs entités, lorsque les décisions se complètent et sont nécessaires pour que le traitement ait lieu de telle manière qu'elles aient un impact tangible sur la détermination des finalités et des moyens du traitement des deux parties.
Le critère essentiel pour induire la qualification de co-responsable est que le traitement ne serait pas possible sans la participation des deux parties, en ce sens que le traitement effectué par chacune d'elles est inséparable, c'est-à-dire inextricablement lié.
De son côté, le sous-traitant, tel que visé à l’article 4.8, est une personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement, il est un "moyen" pour le responsable du traitement d'atteindre ses objectifs.
Cette activité de traitement peut être limitée à une tâche ou un contexte très spécifique ou peut être plus générale et étendue, l'élément le plus important étant l’action du sous-traitant au nom du responsable du traitement. Agir au nom du responsable du traitement signifie servir les intérêts d'une autre personne et rappelle la notion juridique de « délégation ».
Stéphane Boonen,
Administrateur
Mes remerciements à Me Saba Parsa pour sa participation.
[i] Autorité de Protection des Données, « Le point sur les notions de responsable de traitement/sous-traitant au regard du Règlement EU 2016/679 sur la protection des données à caractère personnel (R.G.P.D.) et quelques applications spécifiques aux professions libérales telles que les avocats », septembre 2018.