Après avoir posé au titre de rappel les principes généraux et les obligations énoncés dans le Règlement, dans un précédent Fil RGPD, il est nécessaire de revenir, sur l’obligation de transparence et ses corolaires le droit à l’information et le droit d’accès aux données, et ce, dans le contexte particulier de la pratique des avocats, tenus au secret professionnel.
Cet article sera publié en deux parties, la première comportant une introduction à la matière et tout ce qu’il faut savoir sur droit à l’information, la seconde traitant du droit d’accès.
Introduction
Il n’est pas peu courant d’entendre dans la bouche des professionnels tenus à un secret, défini par l’article 458 du Code pénal, ou à une obligation de confidentialité : « Moi, je suis tenu au secret professionnel et à des règles de confidentialité énoncées par mon Code de déontologie, je ne dois donc rien faire pour me conformer au RGPD ! »
Rien n’est moins faux ! Il y a parfois, une profonde confusion entre le droit à la vie privée et le droit, plus processuel, de la protection des données à caractère personnel.
Ce faisant, ces professionnels mettent en danger leur pratique, mais surtout violent les droits que le RGPD consacre aux personnes dont ils traitent les données.
Mais d’emblée, il est important de rassurer et de rappeler, si nécessaire, qu’AVOCATS.BE, et la Commission RGPD, ont déjà travaillé à faciliter la tâche des avocats, de sorte que des documents modèles sont à votre disposition en suivant le lien : https://extranet.avocats.be/.
En son article 51, le RGPD énonce les principes généraux qui doivent guider chaque traitement de données à caractère personnel de l’avocat. S’agissant du principe de transparence et de loyauté, l’article 5, §1, 1°, a) du RGPD énonce que « Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ; (…) »
Ces principes induisent simultanément un droit à l’information, dont découle un droit d’accès aux données dans le chef des personnes concernées par les traitements de données de l’avocat (notamment ses clients, les parties adverses, les experts, son personnel).
1. Le droit à l’information
En vue de comprendre les obligations à charge de l’avocat, nous allons décrire l’obligation d’information, en abordant le contenu de cette information (1.1), les modalités de la réalisation de cette communication (1.2), et enfin les exceptions à cette obligation (1.3).
1.1. Contenu de l’information
Afin d’assurer l’obligation de transparence et de loyauté, l’avocat doit communiquer sur ses traitements vers les personnes concernées, notamment ses clients2, ses employés, la partie adverse ou les personnes qui visitent son site internet, et ce, dès la collecte des données et via divers outils tels que la politique de protection des données, les formulaires de demandes des personnes concernées, et la politique des cookies pour son site internet.
Le principe de transparence énoncé à l’article 5, §1, 1° du RGPD est précisé dans son contenu, entre autres, aux articles 12, 13 et 14 du Règlement.
En substance, les dispositions de ces articles consacrent l’obligation pour un responsable du traitement, en l’occurrence l’avocat, d’informer les personnes concernées tant lorsqu’il collecte directement ces données auprès de ces personnes, que lorsqu’il les obtient indirectement, par exemple par l’entremise de conclusions que lui communique son confère dans le cadre d’un dossier, à l’occasion de sa désignation dans le cadre de l’aide juridique, ou par l’assurance protection juridique, ou encore via des documents remis par son client et qui concernent des tiers.
Les mentions minimales que cette communication doit comporter, sont notamment les suivantes :
- l'identité et les coordonnées de l'avocat ou de son cabinet,
- les finalités et les bases juridiques des traitements,
- les destinataires ou catégorie de destinataires des données,
- la durée de conservation,
- les transferts hors UE et les modalités de ces transferts,
- les droits des personnes concernées,
- le cas échéant, l’existence d'une prise de décision automatisée.
À cet effet, l’Autorité belge de protection des données (l’APD) met à disposition sur son site internet deux tableaux, reprenant, sous la forme d’une liste de contrôle, le contenu minimal de cette information3.
Le premier tableau reprend les informations de base, comme suit :
Le second tableau reprend les informations à fournir « afin de garantir un traitement équitable et transparent » comme suit :
1.2. La forme de l’information
Ces informations doivent être fournies, au plus tard au moment de la collecte des données, si l’avocat les collecte en direct4. À défaut, lorsque l’avocat n’a pas obtenu directement ces données de la part des personnes concernées, par exemple s’agissant des données de la partie adverse, il doit fournir toutes les informations dans un délai raisonnable, et au plus tard au moment de la première communication à ladite personne5.
S’agissant de la forme d’une telle commination, l’article 12 du RGPD impose les règles suivantes :
- (i) elles doivent être concises, transparentes, compréhensibles et aisément accessibles ;
- (ii) des termes clairs et simples doivent être employés, en particulier vis-à-vis d’enfants ;
- (iii) les informations sont fournies par écrit ou par d’autres moyens ; et
- (iv) elles sont généralement fournies gratuitement.
À cet effet, et dans la pratique, les responsables des traitements procèdent à la rédaction et la publication d’un document déclaratif de type charte ou politique de protection des données, reprenant sous diverses formes et divers supports (FAQ, en liste, menu déroulant en HTLM, PDF, papier, etc.) les mentions obligatoires ci-avant énoncées.
Il n’est pas exclu de procéder par d’autres voies. Des vidéos, des infographies, ou d’autres types de supports peuvent venir agrémenter votre documentation. Le RGPD n'impose aucune forme ou média mais uniquement l'obligation d'information.
Pour les modalités de la mise en œuvre de cette information, voir infra.
1.3. Les exceptions à l’obligation d’information
Si l'information est la règle en ce qu'elle est une des mises en œuvre du principe de transparence, le RGPD énonce, en ses articles 13, §4 et 14, §4, des exceptions à cette obligation d’information. Ainsi, il n'est pas nécessaire d'imposer l'obligation de fournir des informations lorsque la personne concernée en dispose déjà, lorsque l'enregistrement ou la communication des données à caractère personnel est expressément prévu par la loi ou lorsque la communication d'informations à la personne concernée se révèle impossible ou exigerait des efforts disproportionnés, ou encore si, en vertu du secret professionnel, l’information doit rester confidentielle.
En l’occurrence, et dans cette dernière hypothèse, l’avocat est soumis à une obligation légale de secret professionnel, qui néanmoins, ne le dispense pas de son obligation d’information à l’égard de son propre client. Il ne faut pas oublier que le secret professionnel vaut à l'égard des tiers et non à l'égard de son propre client.
Ainsi, le secret professionnel allège considérablement l’obligation d’information de l’avocat, mais uniquement à l’égard de la partie adverse. En effet, comment considérer une obligation à charge de l’avocat de contacter immédiatement la partie adverse, dès que ses données à caractère personnel lui sont partagées par son client ou un tiers, afin de l’informer du traitement de ses données sur pied des articles 13 et 14 du RGPD, sans violer l’obligation de secret professionnel ?
Ceci n’exclut pas la possibilité pour l’avocat d’informer la partie adverse des modalités de traitements de ses données, lors de la première prise de contact, en lui partageant un lien vers sa politique de traitement des données.
Il s’ensuit que, s’agissant des parties adverses ou de toute personne concernée autre que le client, leurs droits découlant de l’obligation d’information ou d’accès aux données sont valablement limités par les dispositions de l’article 14, §5 et le secret professionnel, constituant un droit pour votre client (limitation en cause des droits d’autrui).
La seconde partie de cet article sera publiée dans le prochain Fil RGPD.
Saba Parsa
DPO de l’OBFG
Avocate au barreau du Brabant wallon
--------------------------
1 RGPD, art. 5.
2 Par client, nous entendons les clients personnes physiques mais également les représentants des personnes morales.
3 URL : https://www.autoriteprotectiondonnees.be/professionnel/rgpd-/droits-des-citoyens/droit-a-l-information.
4 RGPD article 13, §1.
5 Article 14. Le G29, dans ses Lignes Directrices Transparence, énonce qu’en tout état de cause, le délai maximal pendant lequel les informations doivent être fournies à une personne concernée est d’un mois.