RGPD : les cabinets d’avocats sont-ils prêts ?
Le règlement général de protection des données entre en vigueur le 25 mai 2018. Si nombre d’avocats assistent en ce moment leurs clients pour les préparer à se conformer au règlement, qu’en est-il au sein de leurs propres cabinets ?
Les avocats feront-ils mentir l’adage selon lequel le cordonnier est le plus mal chaussé ? Le Conseil national des barreaux (CNB) s’est saisi de la question et a édité une fiche technique à télécharger.
Le CNB donne également sur son site les coordonnées de deux délégués à la protection des données (DPO) qu’il recommande et indique que la prochaine édition du Guide de l’avocat numérique, publié chez Lexis Nexis, sera à jour du RGPD.
Côté Barreau de Paris, il a été rappelé, sur le site internet de l’Ordre, dans un post du 15 février 2017, que la nouvelle réglementation ne s’appliquera pas aux avocats exerçant à titre individuel (sic), mais est susceptible de s’appliquer aux structures d’avocats.
Anne Renard, avocate au sein du cabinet Lexing Alain Bensoussan, est l’une des deux DPO (Data protection officer) ou DPD (délégué à la protection des données) recommandées par le CNB.
« Certains avocats sont sensibilisés au sujet, mais d’autres estiment que le secret professionnel suffit et les dispense de se conformer au RGPD. En réalité, c’est parce qu’ils sont soumis au secret professionnel que cela les astreint d’autant plus à une protection renforcée des données personnelles », estime-t-elle.
Elle souligne en outre que le RGPD s’inscrit dans la continuité de la loi de 1978 et de la directive de 1995 et renforce les obligations imposées en matière de protection des données personnelles qui existaient déjà depuis de nombreuses années.
Xavier Leclerc, gérant de Anaxil (groupe DPMS), partenaire de CMS Francis Lefebvre Avocats, est l’autre DPO recommandé par le CNB. Labellisée par la CNIL, l’entreprise a déjà préparé le notariat et les géomètres experts au RGPD.
« Beaucoup d’avocats qui nous ont contacté étaient un peu perdus. Soit ils ne sont pas assez informés, soit ils se disent que cela ne les concerne pas ». Xavier Leclerc aussi explique que les cabinets sont surpris par la mise en place du RGPD alors qu’ils ne devraient pas l’être. « Il n’y a rien de bien nouveau par rapport à la loi de 1978 modifiée en 2004, mais l’arrivée du RGPD fait du bruit, car les sanctions sont plus importantes ».
Il constate que ce battage est finalement l’occasion d’attirer l’attention sur les questions de protection des données dont on se préoccupait moins auparavant. « Ce qui doit être compris, avertit Anne Renard, c’est que dès lors qu’ils traitent de la donnée client, les avocats sont concernés par le RGPD. Ils le sont tout autant pour leur gestion RH ».
L’avocate évoque notamment l’information des personnes concernées et la nécessité d’une mention dans les contrats et notamment dans les conventions d’honoraires, la sous-traitance, la gestion de l’accès aux locaux et au système informatique, l’archivage des dossiers et la durée de conservation des données.
Sur toutes ces questions, même si les critères de désignation d’un DPO, relatifs à un traitement à grande échelle et à la sensibilité des données concernées, ne sont pas remplis, les avocats doivent prendre en compte le RGPD et procéder à un diagnostic de l’état de conformité du cabinet.
Anne Bassi, gérante de l’agence Sachinka, constate, sur cette question, que les cabinets français sont moins prêts et organisés que les cabinets anglo-saxons. « Tous les cabinets ne sont pas confrontés aux mêmes enjeux, et même s’ils n’exploitent pas commercialement les données du client, il sont susceptibles de les partager, en France ou à l’étranger ». Elle cite par exemple le partage de données avec l’administration fiscale pour les cabinets qui assurent le suivi fiscal de leurs clients et des salariés du cabinet. Certains avocats, peu pour l’instant, ont ainsi désigné des DPO, soit en interne soit en externe. Xavier Leclerc estime, au vu des recommandations du G29, qui regroupe l’ensemble des autorités de protection des données européennes, qu’il est impossible de désigner un associé DPO en raison du risque de conflit d’intérêts. Par ailleurs, au regard des garanties d’indépendance exigées du DPO, celui-ci peut être un salarié, mais il devra être bien classé.
« Le CIL (correspondant informatique et libertés) était un scribe, le DPO est un superviseur », résume Xavier Leclerc. « La sensibilisation des avocats au nécessaire respect du RGPD progresse même si la prise de conscience n’est pas encore suffisante. Je pense qu’on avance, malgré tout, en particulier grâce aux Ordres et aux écoles d’avocats qui se saisissent peu à peu de cette question » conclut Anne Renard. L’ensemble des acteurs incite cependant les avocats à procéder à des diagnostics des traitements existants et encourage les Ordres à mettre en place des formations ainsi qu’à désigner un DPO externe que les cabinets pourraient consulter ou, le cas échéant, désigner.