Avocats et RGPD : quelques conseils pour être en règle

Avocats et RGPD

Depuis la promulgation du nouveau règlement européen concernant la protection des données personnelles RGPD (règlement général sur la protection des données) le 25 mai 2018, toutes les entreprises qui exploitent et traitent les données à caractère personnel sont toutes concernées. Qui plus est, ledit RGPD s’applique également aux avocats sachant que ces derniers exploitent des données personnelles de leurs clients.

Tout d’horizon sur ce que c’est réellement un RGPD

La loi RGPD ou règlement général sur la protection des données ou general data protection régulation (RDPR) en anglais a comme principal objectif d’unifier et de renforcer la protection des données à caractère personnel pour l’ensemble des États membres de l’Union européenne. À ce qui parait, ce règlement qui est encore tout frais a remplacé la directive sur la protection des données personnelles de 1995. Et qui dit nouveau règlement dit nouveau corps de règles qui vient compléter le règlement déjà existant. Par ailleurs, le RGPD concerne spécifiquement tous les organismes et entreprises qui collectent, sauvegardent, manipulent et exploitent des données à caractère personnel, notamment en ce qui concerne les personnes européennes. Les avocats sont eux aussi concernés par ce nouveau règlement européen. Sachant qu’ils collectionnent également des données personnelles y compris celles qui sont considérées comme étant « sensibles » pour aider leurs clients, les avocats doivent à tout prix se mettre en règle avec cette reforme dans l’objectif de mettre en confiance les clients quant au respect de leurs obligations déontologiques, c’est-à-dire les obligations du secret.

Les avocats et le règlement général sur la protection des données

Dès lors qu’un cabinet d’avocat traite des données personnelles, plus particulièrement afin de mieux gérer ses clients, il est immédiatement concerné par la loi RGPD, et ce quelle que soit la taille de sa structure d’exercice. Du coup, il convient de comprendre que ce ne sont pas uniquement les exploitations des données clients qui sont les seules concernées, mais également celles qui sont relatives à la gestion des ressources humaines, à la communication externe, à la sollicitation personnalisée, et beaucoup d’autres encore… Donc, en plus de mettre à disposition des entreprises clientes des services pour la mise en conformité avec le RGPD, un avocat peut bien évidemment le propre délégué à la protection des données de son propre cabinet, ou data protection officier en anglais, d’où le sigle DPO. Sachant qu’un avocat peut devenir CIL ou correspondants informatiques et libertés, il a donc toutes les cartes en main pour être un DPO. Grâce à ses compétences en matière de droit et de législation, il est le mieux placé pour mettre en conformité au RGPD son cabinet tout en tenant un registre des traitements. Il est indiqué qu’un avocat exerçant son activité à titre individuel n’a pas à designer un délégué à la protection des données. À contrario, quand l’exercice de la profession d’avocat est à titre collectif, c’est là qu’il est obligatoire de désigner un DPO.

Focus sur les autres obligations des avocats vis-à-vis du RGPD

Pour qu’un avocat puisse se mettre en conformité au RGDP, en plus de désigner un DPO, ou pas pour le cas d’un cabinet individuel, il est plus qu’indispensable, selon la CNIL, de procéder à la cartographie des traitements de données personnelles. Pour cela, le mieux est d’établir une sorte de questionnaire regroupant les questions suivantes : qui ? Quoi ? Où ? Comment ? Jusqu’à quand ? Pourquoi ? Et ainsi de suite. Après avoir établi cette cartographie, l’avocat pourra ensuite tenir son registre des activités de traitement. Ce registre va donc permettre aux cabinets d’avocats de démontrer à la CNIL, en cas de contrôle, qu’ils ont mis en place un procédé pour la protection des données personnelles traitées. Par ailleurs, il est également nécessaire d’informer directement les clients sur le RGPD. Pour y procéder, le cabinet concerné peut le mettre en valeur sur son site internet, ou par mail, ou dans les conventions d’honoraires, et ainsi de suite.