La propension de la dématérialisation au sein des cabinets d’avocats (dont la dématérialisation des procédures en est l’illustration majeure) nécessite une plus grande vigilance sur le traitement qui est fait des données dans le numérique.
Vos ordinateurs débordent de courriers électroniques confidentiels et remplis de données sensibles appartenant à vos clients ou nécessaires à l’exercice de notre profession d’avocat. Le risque est important en matière de perte ou de fuite de ces données particulièrement sensibles.
Les avocats, particulièrement concernés, n’échappent pas au RGPD et à ses obligations.
Consentement, information, sécurité, archivage… Revenons sur quelques points clés à savoir pour se donner les moyens d’être en conformité.
Sommaire :
Consentement au traitement
L’information des clients
Processus d’échange d’information
Le site internet
Le contrôle CNIL, mythe ou réalité
- Faut-il un consentement du client à chaque fois ?
L’exercice de la profession d’avocat et le secret professionnel définis par le Règlement intérieur national de la profession d’avocat (RIN) confèrent à la collecte et au traitement un intérêt légitime.
Inutile donc de recueillir le consentement des clients pour vos missions classiques sauf dans l’hypothèse où un transfert des données hors de l’UE serait effectuée vers un tiers non agréé.
En revanche, il faut les informer de ce que vous traitez leurs données, et plus particulièrement de ce que vous en faites.
- Informer les clients, comment faire ?
En premier lieu, l’avocat doit informer par voie d’affichage (salle d’attente, pièce de réunion) une information précisant :
- L’existence d’une collecte et d’un traitement des données ;
- La finalité de cette collecte ( Par exemple en précisant « pour la rédaction d’actes juridique » ou encore « la défense des intérêts des clients ») ;
- La base légale de cette collecte ;
- La personne à contacter pour toute revendication ou information supplémentaire.
MENTION SUR LA PROTECTION DES DONNÉES PERSONNELLES
Le cabinet de Maître XXXXX dispose d’un traitement informatique pour l’accomplissement des activités d’avocat et notamment pour la rédaction d’actes juridique, l’activité judiciaire ou encore la défense des intérêts des clients c onformément au Règlement Intérieur National de la Profession d’Avocat et la loi du 31 décembre 1971.
Les informations que vous communiquez à notre cabinet font l’objet d’un traitement informatique, et, le cas échéant, communiquées à des tiers afin de mener à bien l’accomplissement de la mission que vous nous avez confiée.
Pour en savoir plus ou accéder à vos droits sur ces données, merci de nous solliciter directement par courrier ou par courrier électronique à : xxxx@avocat.fr
En second lieu, l’avocat doit insérer dans les documents qu’il remettra au client (dans ses conventions d’honoraires par exemple), une mention d’information sur la teneur de ce traitement.
Il y rappellera :
- L’existence et la finalité du traitement ;
- La base légale du traitement ;
- Le responsable de traitement ;
- La durée de conservation des données ;
- Les destinataires ;
- Les droits des personnes dont les données sont collectées ;
- La personne à contacter pour toute information supplémentaire ou réclamation.
Un modèle de ces mentions est disponible sur site du CNB à retrouver ici
- Sécurité : la nécessité de mettre en place une plateforme d’échange avec vos clients :
Le traitement constant de données sensibles par l’avocat requiert la mise en place de mesures de sécurité robustes. Aujourd’hui, une majorité d’avocats effectuent la quasi-intégralité de leurs correspondances (clients ou adversaire) par mail. Or, chaque envoi fait courir des risques pour les fichiers qui sont échangés.
L’échange par mail favorise l’erreur d’adressage des documents par l’écriture intuitive des adresses mail par les boites, ou les transferts au sein du cabinet. Il n’y a rien de plus dérangeant que d’adresser des données sensibles à un mauvais correspondant. D’autant plus que les serveurs de messagerie sont moins sécurisés qu’une autre base de données et la plupart du temps les courriels ne sont pas chiffrés.
Les courriels pourront donc facilement être accessibles et les mesures de sécurités sont insuffisantes en cas d’attaque. Un expert indiquait à ce propos en 2020 que les attaques ont augmenté de 30 000 % depuis la crise du COVID 19. Et le hacking du ministère de la Justice annoncé il y a quelques semaines, serait en réalité celui d’un cabinet d’avocats à Caen .
C’est pourquoi nous vous préconisons de vous servir d’un service de cloud avec une plateforme de partage sur laquelle les clients et les avocats pourront échanger leurs documents sans erreur d’adressage, puisque c’est sur un espace sécurisé que les échanges se font.
Le CNB propose gratuitement une solution aux avocats qui utilisent le RPVA. La solution retenue reste très peu performante, et difficile à manier. Les éditeurs de logiciels s’appuient sur les grands acteurs du cloud, à savoir Microsoft Azure, Amazon Cloud, etc... pour vous proposer ces plateformes. A vous de vérifier la compatibilité de l’offre avec votre budget et les garanties en matière de sécurité.
D’autres acteurs français proposent des outils similaires et très faciles d’utilisation, et notamment WIMI ou Netexplorer, pour un tarif d’une centaine d’euros à l’année.
Prudence cependant, le système cloud devra être choisi tant au regard des mesures de sécurité qu’il propose qu’au regard de la nationalité du prestataire et de l’emplacement des serveurs : le transfert vers les US devra ainsi faire l’objet a minima d’une information supplémentaire. Nous vous conseillons donc de sélectionner un prestataire situé sur un territoire de l’UE...
- Le choix du cloud comme mode d’archivage :
Le RGPD impose le respect de durées de conservation à la suite desquelles, les données devraient être supprimées.
Par exemple, s’agissant des prospects ou des personnes n’ayant pas donné suite à une consultation, vous devrez effacer leurs données au bout de 3 ans. Pour les dossiers archivés, vous devrez effacer les données au-delà de la prescription. Il reste possible pour le responsable de traitement d’archiver certaines données à des fins probatoires.
Pour plus d’information sur l’archivage électronique, voir la recommandation de la CNIL : Délibération 2005-213 du 11 octobre 2005 - Légifrance (legifrance.gouv.fr)
L’utilisation d’un cloud permet également un archivage électronique et une sauvegarde de vos dossiers, bienvenue en cas de problème informatique ou d’attaque. Autre avantage, il vous permet d’échanger des pièces volumineuses avec vos confrères sans échange de clef USB ou de cd. Et puis, disons-le, une action écologique. Car conserver un courriel consomme beaucoup d’énergie et imprimer participe à la déforestation.
- Mettre son site internet en conformité avec le RGPD :
Si vous disposez d’un site internet, divers éléments doivent répondre aux exigences du RGPD.
- Une mention d’information complète :
Les sites internet doivent contenir diverses mentions d’informations, regroupées dans une page « mention légale » et/ou « politique de confidentialité ».
- Ne pas négliger l’encadrement des cookies :
Votre site internet dépose vraisemblablement des cookies, même si vous ne le savez pas. Il s’agit de petits fichiers traceurs déposés sur le terminal du visiteur de votre site afin de le reconnaitre à chaque utilisation ultérieure de votre site. Les cookies des sites d’avocats sont généralement utilisés à des fin techniques ou statistiques (analyse de la fréquentation et des pages consultées).
Ils peuvent également (très rare sur les sites des cabinets d’avocats) être utilisés à des fins publicitaires.
Les cookies techniques (ou nécessaires) peuvent être déposés sans demander l’autorisation de l’utilisateur, sous réserver que celui-ci en soit informé. En revanche, les cookies statistiques et publicitaires sont soumis au consentement de l’utilisateur du site dès son arrivée sur la page .
La CNIL a très récemment considéré l’outil Google Analytics non conforme au RGPD et procédé à différentes mises en demeure à des gestionnaires de sites
- L’atout qu’apporte la mise en place d’un registre des traitements :
Le registre des traitements n’est pas obligatoire, notamment pour les cabinets individuels. Cependant sa mise en place peut renvoyer une image positive de volonté de protéger les données des clients.
Il permet également à l’avocat d’effectuer un bilan de ses pratiques concernant les données personnelles de ses clients.
La CNIL propose ses propres modèles mais ils peuvent également être personnalisés.
Nous en mettons en téléchargement une version modifiée destinée aux cabinets d’avocats
- Aucun risque de contrôle de la CNIL ? Pas si sûr :
Les structures individuelles et de petite taille peuvent se croire à l’abri d’un contrôle de conformité de la CNIL. Or, celle-ci a pu contrôler et sanctionner deux médecins (ici et là) en fin d’année 2020 dont les données n’étaient pas suffisamment protégées. Les avocats ne sont donc pas à l’abri d’un contrôle de la CNIL, et a fortiori lorsque l’organisation du cabinet expose à un risque de déperdition de données sensibles.
Les cabinets d'avocats ne sont donc pas à l’abri, loin de là.
