La Tribune inaugure une nouvelle rubrique compliance. Après le Fil blanc, voici le Fil RGPD, destiné à vous guider dans les méandres de la législation relative à la protection des données.
Le Fil RGPD sera publié en alternance avec le Fil blanc.
Voici son tout premier numéro, qui reprend les bases de la matière.
RGPD dans la pratique des avocats : enjeux et recommandations
RGPD1, voici 4 lettres qui ne vous rapporteront pas grand-chose au Scrabble, mais qui peuvent coûter très cher aux avocats qui ne sont pas capables de se conformer à la législation à laquelle elles se rapporte, à savoir la réglementation relative à la protection des données. Pour cause, la protection des données à caractère personnel présente un enjeu particulièrement sensible pour l’avocat qui traite de manière quotidienne des informations sur la vie privée de ses clients, de leurs représentants ou de leurs proches ainsi que des parties adverses.
Si le respect du secret professionnel et des règles de confidentialité constitue la pierre angulaire du lien de confiance entre l’avocat et son client, contrairement à certaines idées reçues, ils ne suffisent pas à garantir la conformité de l’avocat aux dispositions relatives à la protection des données à caractère personnel, et notamment au RGPD. Cette mise en conformité concerne l’ensemble des traitements des données auxquels procède l’avocat, aussi bien le traitement des dossiers papier que digitalisés (Cloud, secrétariat, traducteur, etc.), que sa communication (site Internet, blog, consultation en ligne, newsletter, etc.) ou encore son rapport à ses confrères, ses collaborateurs, ses stagiaires et son Ordre.
Pour s’assurer de la conformité de ses pratiques, il s’impose à lui non seulement de respecter les principes généraux et les obligations énoncés dans le RGPD, mais également d’être capable, à tout moment, de prouver sa conformité ou, autrement dit, de documenter ses démarches.
Pour l’accompagner sur ce chemin, nous poserons, à l’occasion de ce premier article, le cadre de l’ensemble des obligations qui s’imposent à l’avocat dans sa pratique, afin de revenir sur chacune d’entre elles dans les prochains articles, en partageant les outils mis à sa disposition par l’OBFG.
1. Les principes découlant du RGPD
Pour assurer la conformité de ses traitements de données à caractère personnel, l’avocat doit respecter les principes généraux consacrés par le RGPD, notamment en ses articles 5 à 11.
Ainsi, l’article 5 dispose que :
- « Les données à caractère personnel doivent être :
- a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
- b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l'article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ;
- c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
- d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ;
- e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ;
- f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ; … »
Schéma des principes par l’APD
Ainsi, le principe de loyauté et de transparence (art. 5.1.a RGPD) prévoit que la personne concernée doit être informée des conditions et modalités de traitement ainsi que des droits qu’elle peut exercer. À ce titre, il convient, par exemple, d’informer les personnes du traitement de leurs données (et de la finalité de ce traitement), notamment via une politique de protection des données
Le principe de finalité (art. 5.1.b RGPD) : le traitement de données doit être effectué pour une ou plusieurs finalité(s) déterminée(s), explicite(s) et légitime(s). Concrètement, cela signifie que l’objectif poursuivi en traitant les données doit être clairement défini, justifié et porté à la connaissance des personnes concernées.
Complétant le principe de transparence et de loyauté et en lien avec le principe de finalité, un principe de licéité (art. 5. a) et 6 RGPD) est consacré par le RGPD. Il s’ensuit que tout traitement de données à caractère personnel doit se fonder sur une des bases de licéité qui y sont énoncées.
L’article 6 du RGPD énonce de manière limitative, les 6 bases suivantes :
- 1° le consentement de la personne concernée,
- 2° la nécessité pour exécuter un contrat,
- 3° la nécessité pour exécuter une obligation légale,
- 4° la nécessité pour exécuter une mission d’intérêt public,
- 5° la nécessité aux fins des intérêts légitimes du responsable du traitement (ou d’un tiers), ou
- 6° la nécessité pour sauvegarder les intérêts vitaux de la personne concernée par le traitement.
Il y a lieu d’apporter une attention plus particulière aux données qualifiées de catégories particulières, à savoir les données
- relatives à l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que les données génétiques, les données biométriques aux fins d'identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l'orientation sexuelle (article 9) ;
- relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes (article 10).
Pour ces données, outre la détermination d’une base de licéité reprise à l’article 6, il y a lieu de répondre à une des conditions définies soit à l’article 9 du RGPD soit à l’article 10 de la loi vie privée.
Ce principe mis en œuvre, le principe de minimisation des données (art. 5.1.c RGPD), doit également être respecté, de sorte que seules les données strictement nécessaires pour atteindre la ou les finalité(s) énoncée(s) peuvent être traitées et elles doivent être effacées dès que les objectifs de la collecte ou des traitements ultérieur sont atteints, dans le respect du principe de rétention minimale.
Dans le respect du principe d’exactitude (art. 5.1.d RGPD), les données traitées doivent être exactes et tenues à jour.
Enfin, il revient à l’avocat veiller à s’assurer que le principe de sécurité soit respecté et dès lors de prévoir des mesures de sécurité adéquates.
Ces principes doivent être respectés pour chaque activité de traitement réalisée et l’avocat doit par ailleurs être à tout moment capable de prouver qu’il se conforme à ces principes, en application du principe d’accountability (art. 5.2. RGPD), ou de responsabilisation, qui induit une inversion de la charge de la preuve, pour la faire porter par le responsable du traitement.
2. Les obligations découlant du RGPD
Pour attester de la bonne mise en œuvre de ces principes, le RGPD prévoit un certain nombre d’obligations à charge du responsable du traitement. Ainsi ce dernier doit notamment : (i) réaliser un registre des traitements (art. 30 RGPD), (ii) communiquer sur les modalités de ses traitements (art. 12, 13, 14, RGPD) ; (iii) faire signer des contrats à ses sous-traitants et responsables conjoints (art. 26 et 28 RGPD), (iv) veiller à ce que les personnes travaillant sous son autorité soient conventionnellement tenues de se conformer au RGPD (art. 29 RGPD), (v) documenter une procédure de gestion des fuites et tenir un registre des fuites des données (art. 33 RGPD), (vi) donner suite aux demandes des personnes concernées dans les délais impartis, ...
Sans ambition d’exhaustivité, nous abordons dans les prochains paragraphes, les obligations les plus importantes découlant du RGPD.
2.1. Politique de protection des données
Les principes de transparence et de loyauté sont précisés dans leur contenu, entre autres, aux articles 12, 13 et 14 du RGPD. En application de ces articles, l’avocat doit communiquer sur ses traitements vers les personnes concernées. Il s’agit notamment de ses clients, de ses employés, des parties adverses. Il s’agit également des personnes qui visitent son site internet.
En substance, l’avocat, en sa qualité de « responsable du traitement », a l’obligation d’informer les personnes concernées tant lorsqu’il collecte directement ces données auprès de ces personnes, que lorsqu’il les a obtenues indirectement, de manière concise, aisément accessible, dans un langage compréhensible et gratuit.
Tel sera le cas, par exemple, lorsqu’il les collecte par l’entremise de conclusions que lui communique son confère, ou lorsqu’il est désigné dans le cadre de l’aide juridique ou par le biais d’un assureur « protection juridique ». Tel sera également le cas lorsqu’il les collecte en prenant connaissance de documents que lui remet son client et qui concernent des tiers.
Les mentions minimales que cette communication doit comporter, sont notamment les suivantes :
- l'identité et les coordonnées de l'avocat ou de son cabinet,
- les finalités et les bases juridiques des traitements,
- les destinataires ou catégories de destinataires des données (le destinataire étant « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers »; article 4 (9) du RGPD),
- la durée de conservation,
- les transferts hors UE et les modalités de ces transferts,
- les droits des personnes concernées,
- le cas échéant, l’existence d'une prise de décision automatisée.
Cette communication doit intervenir, dès la collecte des données, lorsque la collecte est directe. Elle sera assurée par l’avocat grâce à divers outils : la politique de protection des données qu’il aura précisée, les formulaires de demandes des personnes concernées qu’il utilisera, la politique des cookies qu’il aura définie pour son site internet.
A cet effet, dans la pratique, l’avocat « responsable des traitements » procède à la rédaction et la publication d’un document déclaratif de type charte ou politique de protection des données. Un modèle de charte et sa note explicative sont donc accessibles sur l’extranet d'AVOCATS.BE (onglet « Boîte à outils » ).
2.2. Registre des activités de traitement
L’article 30 du RGPD définit l’obligation pour chaque responsable de traitement de tenir un registre des activités de traitement effectuées sous leur responsabilité.
Pour réaliser ce registre, il y a lieu dans un premier temps, de réaliser une cartographie des traitements auxquels il est procédé, en se posant les questions suivantes :
- Qui traite les données ?
- Quoi, ou quelles données sont traitées ?
- Pourquoi les données sont-elles traitées ?
- Où les données sont-elles traitées d’où viennent-elles et où vont-elles ?
- Jusqu’à quand les données peuvent-elles être traitées ?
- Comment les données sont-elles traitées ?
Le registre vise à recenser les traitements de données personnelles mis en œuvre par le responsable du traitement, et doit régulièrement être mis à jour.
De manière synthétique, ce registre comporte les informations suivantes :
- Le nom et les coordonnées du responsable du traitement,
- Les finalités du traitement,
- Les catégories de personnes concernées et de données à caractère personnel,
- Les transferts vers un pays tiers,
- Les délais d’effacement,
- Une description des mesures de sécurité.
Le registre est obligatoire et susceptible d’être contrôlé, l’OBFG, a mis à la disposition des avocats un modèle de registre que vous pouvez télécharger.
Il vous revient de l’adapter.
2.3. Exercice des droits des personnes concernées
Le RGPD consacre, en ses articles 12 à 23, les droits des personnes dont les données sont traitées.
En outre, les modalités d’exercice de ces droits y sont également définies, autour du principe de transparence, qui induit d’une part un principe de gratuité et un principe de collaboration active dans le chef du responsable du traitement.
Il s’ensuit que sauf en cas de demandes manifestement infondées où excessives notamment en raison de leur caractère répétitif, il y a lieu de répondre aux demandes gratuitement, dans les meilleurs délais, et au plus tard dans le mois de la demande de la personne concernée.
A défaut de pouvoir y parvenir pour des raisons objectives, il revient à l’avocat, responsable du traitement, d’informer le demandeur qu’il entend prolonger ce délai de maximum 2 mois.
Néanmoins, ces droits ne sont pas absolus, de sorte que le responsable du traitement peut s’opposer à leur exercice, notamment en raison du secret professionnel.
2.4. Contrats de sous-traitance
Le RGPD définit les rôles des acteurs amenés à intervenir dans le cadre d’un traitement de données. Ainsi, il distingue (i) le responsable du traitement du (ii) sous-traitant et des personnes travaillant sous leur autorité.
L’article 4.7 du RGPD définit en effet le responsable du traitement comme la personne physique ou morale qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel. Le sous-traitant est défini à l’article 4.8 comme la personne physique ou morale, qui traite des données à caractère personnel pour le compte du responsable du traitement.
Le RGPD impose à ces parties au traitement de contractualiser leur relation, en précisant les mentions qui doivent apparaitre dans ces contrats relatifs aux traitements des données.
S’agissant de l’avocat, suivant l’avis de l’Autorité de protection des données (ou APD), « Lorsqu’un avocat se voit communiquer un dossier par un confrère qui lui a préalablement demandé de plaider pour lui dans l’hypothèse où cet avocat reste dans le cadre des instructions qui lui ont été données par l’avocat qui a préparé le dossier de plaidoirie », il doit être considéré comme un sous-traitant. En ce cas, l’APD estime que le dominus litis doit avertir son client de la communication des données protégées à son confrère et, en vertu de l'article 28 du RGPD, conclure un contrat de sous-traitance avec son confrère qui travaille pour lui, le secret professionnel ne dispensant pas les avocats de cette formalité.
Cet avis n’est cependant pas partagé par ceux qui considèrent que l’avocat-stagiaire ou le collaborateur ne sont pas nécessairement des sous-traitants.
2.5. La sécurisation du traitement des données personnelles.
Enfin, l’avocat doit également penser à assurer la sécurité des données qu’il traite, notamment en sécurisant l’accès à ses locaux, l’accès aux dossiers de ses clients, l’accès aux logiciels, par des mots de passe et en assurant la gestion des accès.
Il devra également s’assurer d’avoir adopté une procédure de gestion des fuites de données.
Saba Parsa
DPO de l’OBFG
Avocate au barreau du Brabant wallon
--------------------------
1 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).