J-8 pour mettre votre site Internet en conformité avec le RGPD au 25 mai prochain
Il ne reste que 8 jours aux cabinets d’avocats pour se mettre en conformité avec le RGPD, qui vise à harmoniser les règles relatives à la protection des données dans tous les Etats membres de l’UE. Au-delà de l’impact sur l’organisation de la structure et les nouvelles missions de l’avocat, le texte impose aux responsables de traitement, sous peine de lourdes sanctions, de prendre certaines mesures en ce qui concerne la communication en ligne : les sites, au niveau des contenus et des formalités à accomplir, et aussi les opérations de e-mailings. L’occasion pour les cabinets d’avocats de souligner l’implication de la profession dans la protection des données nominatives et de faire progresser le cabinet dans sa maturité numérique.
Un impact sur plusieurs fronts
Le règlement général sur la protection des données, qui s’applique à compter du 25 mai 2018, s’applique à toutes personnes amenées à traiter des données personnelles, et donc aussi aux avocats, profession qui traitent des données relatives à des personnes physiques, et souvent des données « sensibles », inhérentes au lien de confiance qui unit l’avocat à son client.
La profession doit donc se mettre en conformité avec le règlement, qui a un impact sur le cabinet sur plusieurs fronts :
- dans le cadre de son organisation (les relations avec ses clients ou ses sous-traitants, la gestion de ses ressources humaines…), les obligations variant toutefois selon que le traitement est ou non « à grande échelle »
- au niveau de ses missions, l’avocat conseillant son client en ce domaine et pouvant même exercer la fonction de délégué à la protection des données pour ses clients
- sur le site Internet du cabinet.
Pour aider la profession à se mettre en conformité avec le règlement général sur la protection des données, le Conseil national des barreaux, le barreau de Paris et la Conférence des bâtonniers ont publié, en mars 2018, un guide pratique, à destination des avocats, pour « les informer de manière concrète sur les bonnes pratiques à mettre en œuvre tant en qualité de responsable de traitement que de conseil auprès de leurs clients », lancé depuis avril des programmes de formation et diffusé début mai un FAQ (voir sur le site du CNB)
De nombreux sites concernés
Sont concernés par le nouveau texte européen les sites de cabinets d’avocats pouvant collecter des données personnelles permettant d’identifier, directement ou indirectement, une personne physique.
Il s’agit de toute donnée qu’un utilisateur du site Internet du cabinet renseigne lors de sa navigation, par exemple lorsque le site propose :
- un formulaire de contact
- l’Inscription à sa newsletter
- un questionnaire en ligne
- des consultations en ligne
- des cookies
De nombreux sont ainsi concernés. Le guide comprend, d’ailleurs, une partie dédiée aux sites Internet des avocats.
Compléter le contenu du site pour le 25 mai
A partir du 25 mai prochain, le cabinet doit intégrer au site Internet du cabinet, outre les mentions légales et obligatoires qui s’imposent déjà à ce jour, de nouvelles mentions prévues par le RGPD.
Avant le 25 mai 2018, rappelons que les sites devaient déjà prévoir certaines mentions légales obligatoires, que tous ne prévoient d’ailleurs pas…, au titre de textes législatifs ou déontologiques.
Au titre de la loi pour la confiance dans l’économie numérique (article 6, loi du 21/6/2004 n°2004-575), il faut, en effet, prévoir dans les mentions légales du site : le nom du cabinet, sa raison sociale, son adresse principale, le n° d’inscription au RCS (si requis), les coordonnées postales, téléphoniques et électroniques du cabinet, les informations sur le directeur de publication du site (nom, coordonnées) et sur l’hébergeur du site (nom, raison sociale, adresse et n° de téléphone).
Au titre des règles déontologiques de la profession (article 10.2 du Règlement Intérieur National de la profession d’avocat (RIN) : Dispositions communes à toute communication »), il faut aussi indiquer dans les mentions légales du site : La qualité d’avocat, le nom de l’avocat et du cabinet, l’adresse professionnelle, les coordonnées permettant de le joindre (tél, fax, mail), le barreau auquel il est rattaché, sa structure d’exercice, éventuellement le réseau dont l’avocat est membre.
Au titre des mentions d’information relatives aux cookies (directives 25/11/11 et ordonnance du 24/8/11 Paquet Télécom, Article 32 II loi du 6/1/78, projet e-privacy), il faut y ajouter : les finalités des cookies installés, le recueil du consentement des utilisateurs via les bandeaux de consentement et la possibilité de refuser les cookies.
Or, désormais, à partir du 25 mai prochain, il faut aussi ajouter, au titre des mentions d’information RGPD (articles 13 et 14 du RGPD et 32 de la loi Informatique et libertés), un quatrième volet d’informations comprenant un certain nombre de mentions complémentaires :
- l’identité et les coordonnées du responsable du traitement
- les coordonnées du délégué à la protection des données
- l’objectif poursuivi (gestion et suivi des dossiers de ses clients)
- la base juridique du traitement (exécution contractuelle ou précontractuelle à la demande du client)
- les intérêts légitimes poursuivis s’il s’agit d’une base légale de traitement
- les destinataires ou catégories de destinataires des données (sous-traitants, huissiers…)
- la durée de conservation des données
- les éventuels transferts de données vers des pays hors UE
- les droits des personnes concernées (accès, rectification, effacement, opposition, limitation…)
- le droit de retirer son consentement à tout moment s’il s’agit de la base légale du traitement
- le droit d’introduire une réclamation auprès d’une autorité de contrôle
- les informations sur le caractère règlementaire ou contractuel du traitement s’il s’agit de la base légale du traitement.
Insérer une fiche sur les traitements de données de votre site dans le registre des activités de traitement
Quant aux formalités à remplir, le texte les allège, tout en renforçant les obligations du responsable du traitement. Moins de formalités auprès de la CNIL, mais davantage d’obligations : c’est la nouvelle philosophie du texte. Le nouveau régime RGPD remplace ainsi le système de déclaration préalable à la CNIL par un système répressif. Au 25 mai, une plus grande liberté est ainsi laissée à tous les acteurs, y compris aux avocats, de créer des traitements de données nominatives puisqu’aucune démarche ne s’impose plus.
Concernant le site, le cabinet doit toutefois insérer, au sein du registre des activités de traitement qui doit désormais être créé, une fiche dédiée aux traitements de données sur le site Internet du cabinet. Cette fiche comportera les éléments suivants :
- l’identité et les coordonnées du responsable du traitement
- les finalités du traitement
- les catégories de personnes concernées
- les catégories de destinataires
- les transferts éventuels vers un pays tiers ou une organisation internationale
- les délais prévus pour l’effacement
- la description générale des mesures de sécurité techniques et organisationnelles.
Par ailleurs, en cas de présence de cookies sur le site, le cabinet soit aussi prévoir sur son site que le site prévienne l’internaute de l’existence de cookies, identifie le type de cookies présent sur le site du cabinet et recueille le consentement du visiteur via l’ajout d’un bandeau.
…Sous peine de lourdes sanctions et amendes
Attention, si les formalités sont allégées, c’est parce que le cabinet doit pouvoir justifier, à tout moment, du respect des prescriptions du règlement.
La CNIL ne sera ainsi plus informée avant, mais pourra intervenir après pour sanctionner les responsables de traitement ne respectant pas le RGPD, ou non mesure de justifier avoir pris les mesures nécessaires pour respecter les principes de protection des données nominatives.
Les responsables de traitement doivent ainsi prendre les mesures effectives utiles de mise en œuvre des principes de protection pour démontrer, sur demande, que les actions appropriées ont été prises. A défaut, la CNIL peut prendre des sanctions administratives importantes (avertissement, mise en demeure de prendre une mesure, limitation temporaire ou définitive du traitement, suspension des flux de données, injonction de satisfaire aux demandes d’exercice des droits des personnes, obligation de rectifier, limiter ou effacer des données) et appliquer des amendes administratives pouvant atteindre, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% à 4% du chiffre d’affaires annuel mondial.
Au-delà de la CNIL, l’Ordre des avocats continue à exercer un contrôle sur les sites de cabinets d’avocats comme sur tous les outils de communication de la profession. Ainsi, le cabinet doit toujours déclarer le site à l’Ordre, avant sa mise en ligne. Et, à cette occasion, l’Ordre contrôle principalement le nom de domaine retenu ainsi que le contenu du site, notamment ses mentions légales pour demander au cabinet de corriger ou de compléter le cas échéant.