Les avocats et le réglement général sur la protection … · conseil national des barreaux...

CONSEIL NATIONAL DES BARREAUX BARREAU DE PARIS

CONFRENCE DES BTONNIERS

MARS 2018

GUIDE PRATIQUE LES AVOCATS ET

LE REGLEMENT GENERAL SUR LA PROTECTION DES DONNEES (RGPD)

www.cnb.avocat.fr

1re DITION

2

GUIDE PRATIQUE - LES AVOCATS ET LE REGLEMENT GENERAL SUR LA PROTECTION DES DONNEES (RGPD)

TABLE DES MATIRES

AVANT-PROPOS ...........................................................................................................................................5

CADRE GNRAL DE LA PROTECTIONDES DONNES CARACTRE PERSONNEL .................................................................7

1. La protection des donnes personnelles, un enjeu particulirement sensible pour les avocats ..................................................... 72. Glossaire ..................................................................................................................................................... 83. Les principes cls ................................................................................................................................... 9

3.1. Principes raffirms .......................................................................................................93.1.1. Le principe de finalit : une utilisation encadre des donnes caractre personnel ..................................................................................................................................93.1.2. Le principe de proportionnalit ...........................................................................................................93.1.3. Le principe dune dure de conservation limite des donnes ................................93.1.4. Les principes de scurit et de confidentialit ....................................................................103.1.5. Le principe du respect des droits des personnes ..............................................................10

3.2. Nouvelles mesures de conformit ....................................................................123.2.1. Notification de toute violation de donnes caractre personnel ....................133.2.2. Minimisation des donnes ......................................................................................................................133.2.3. Droit loubli ......................................................................................................................................................133.2.4. Analyses dimpact ..........................................................................................................................................143.2.5. Portabilit des donnes ............................................................................................................................143.2.6. Capacit suivre les destinataires de donnes caractre personnel .........163.2.7. Tenue dun registre des activits de traitement..................................................................16

FICHES PRATIQUES ...............................................................................................................................17

FICHE N1. LE TRAITEMENT RH (RESSOURCES HUMAINES)....................................................................................................18

1. Quest-ce quun traitement RH ? ......................................................................................................................18

2. Quelles sont les donnes que lavocat peut collecter dans le cadre dun traitement RH ? .................................................................................................................18

3. Lavocat doit-il procder des formalits en cas de traitement RH ? .......................................................................................................................................19

4. Combien de temps les donnes peuvent-elles tre conserves ? ......................................20

5. Doit-il y avoir une information des personnes concernes ? ...................................................20

FICHE N2. GESTION DES CLIENTS .............................................................................22

1. Quelles donnes lavocat peut-il collecter dans le cadre de la gestion de ses clients ? ...............................................................................................................................22

2. Lavocat doit-il procder des formalits ? ............................................................................................23

3. Combien de temps les donnes peuvent-elles tre conserves ? ......................................24

4. Doit-il y avoir une information des personnes concernes ? ...................................................24

5. La scurit des dossiers clients ........................................................................................................................25

6. Sollicitation personnalise ....................................................................................................................................25

3

FICHE N3. VIDOSURVEILLANCE ET VIDEOPROTECTION ................................................................................................................26

1. Quest-ce que la vidosurveillance et la vidoprotection ? .......................................................26

2. Quel est lobjectif de linstallation de camras ? ................................................................................26

3. Quelles sont les formalits accomplir ? .................................................................................................27

3.1. Avant lentre en vigueur du RGPD .............................................................................273.2. Aprs lentre en vigueur du RGPD ...............................................................................27

4. Est-il ncessaire dinformer les personnes concernes ? .........................................................28

5. Qui peut accder aux images des camras ? .........................................................................................28

6. Combien de temps les images peuvent-elles tre conserves ? .........................................29

FICHE N4. FOURNISSEURS ET PRESTATAIRES .............................................................................30

1. Quest-ce quun sous-traitant ? .........................................................................................................................30

2. Que faire en cas de sous-traitance ? .............................................................................................................30

3. Que faire avec les sous-traitants avec lesquels le cabinet est dj en relation commerciale ? .......................................................................................31

FICHE N5. LA GESTION DES ACCES AU CABINET ...........................................................................................................31

1. Lutilisation de badges sur le lieu de travail ..........................................................................................32

2. Les dispositifs biomtriques ................................................................................................................................33

FICHE N6. LA LUTTE CONTRE LE BLANCHIMENT ET LE FINANCEMENT DU TERRORISME ..........................................................................34

FICHE N7. SITES INTERNET ...............................................................................................36

1. Quelles sont les formalits accomplir si lavocat collecte des donnes caractre personnel via son site internet ? .......................................................36

2. Quelles sont les mentions qui doivent tre obligatoirement prsentes sur le site Internet de lavocat ? .............................................................................................37

3. Que doivent contenir les diffrentes mentions ? ................................................................................37

4. Quest-ce quun cookie ? ..........................................................................................................................................39

5. Comment rendre conforme lutilisation des cookies sur le site Internet de lavocat ? ........................................................................................................................39

FICHE N8. BONNES PRATIQUES DE SECURITE DES DONNEES ................................................................................................41

1. Pourquoi la scurit des donnes caractre personnel est particulirement importante dans les traitements oprs par lavocat ? ................................................................41

2. Quelles mesures de scurit physiques dois-je mettre en place ? ....................................41

3. Quelles mesures de scurit logiques/numriques dois-je mettre en place ? .......41

4. Comment notifier et communiquer sur une violation des donnes caractre personnel ? ..........................................................................................................................................................................42

4


FICHE N9. PROCEDURE EN CAS DE VIOLATION DE DONNEES .............................................................................................43

FICHE N10. LE REGISTRE DES ACTIVITES DE TRAITEMENT ......................................................................................45

FICHE N11. LE DELEGUE LA PROTECTION DES DONNEES ..............................................................................47

1. Obligation des cabinets davocats de dsigner un dlgu la protection des donnes ..................................................................................................................................472. Obligations et missions du dlgu la protection des donnes ........................................48

3. Avocat agissant en qualit de dlgu la protection des donnes ................................49

FICHE N12. AUTORITE DE CONTROLE ET SANCTIONS .......................................................................................51

FICHE N13. DROIT DACCES AUX DONNEES .....................................................................................................................................52

MTHODOLOGIE DE MISE EN CONFORMIT..........................................................541. La dsignation dun pilote ............................................................................................................542. La cartographie des traitements de donnes personnelles ....................................543. Identifier les actions prioritaires ...............................................................................................564. La gestion des risques .....................................................................................................................565. La mise en place de processus de protection de donnes personnelles au sein du cabinet davocats ......................................................................................................566. La documentation de la conformit ........................................................................................57

POUR EN SAVOIR PLUS ...................................................................................................................58

5

AVANT-PROPOS

L e Rglement (UE) 2016/679 relatif la protection des donnes (RGPD) sera directement applicable dans lensemble des Etats membres le 25 mai 2018. Il reste deux mois aux cabinets davocats pour anticiper ce nouveau texte qui va modifier en profondeur les rgles applicables leur environnement digital.

Le traitement des donnes caractre personnel des clients du cabinet davocats est particulirement sensible. Il obit une logique spcifique, qui nest pas celle dune entreprise purement commerciale : la protection des donnes sensibles dont il a connaissance est inhrente au lien de confiance unissant lavocat son client et au respect de ses obligations dontologiques.

Le Conseil national des barreaux, le Barreau de Paris et la Confrence des btonniers sont aux cts des avocats pour les accompagner dans la mise en conformit au RGPD, la scurisation de leurs donnes et celles de leurs clients.

Ce guide pratique apporte des rponses concrtes aux questions des avocats et leur permettra de jouer un rle essentiel en matire de protection des donnes et de la vie prive, tant comme responsable de traitement que comme conseil auprs de leurs clients.

En effet, le RGPD est non seulement de nature renforcer la confiance et la scurit ncessaires dans les relations avec les clients, mais aussi une formidable opportunit pour les avocats dinvestir un nouveau champ dintervention auprs de leurs clients.

Lavocat apparat comme un technicien du droit particulirement comptent pour aider ses clients se mettre en conformit avec le RGPD et exercer la fonction de dlgu la protection des donnes. Bien que les avocats CIL soient encore peu nombreux, lavocat a pleinement sa place dans ce march qui souvre aujourdhui dans un trs grand nombre dentreprises. Cette nouvelle fonction permet la profession dlargir naturellement son offre de services et de conseils, inscrivant sa relation avec le client dans une perspective durable et full service dans le strict respect de nos rgles professionnelles.

Les nombreuses recommandations contenues dans ce guide doivent permettre aux avocats doccuper une place toujours plus importante dans ce domaine du droit.

Christiane Fral-Schuhl, prsidente du Conseil national des barreaux

Marie-Aime Peyron, vice-prsidente

du Conseil national des barreaux,

Btonnier du Barreau de Paris

Jrme Gavaudan, vice-prsident

du Conseil national des barreaux,

prsident de la Confrence des Btonniers

CADRE GNRAL DE LA PROTECTION DES DONNES CARACTRE PERSONNEL

7


CADRE GNRAL DE LA PROTECTION DES DONNES CARACTRE PERSONNEL

Le rglement n 2016/679 du Parlement europen et du Conseil du 27 avril 2016 relatif la protection des personnes physiques lgard du traitement des donnes caractre personnel et la libre circulation des donnes (rglement gnral sur la protection des donnes RGPD) entre en vigueur le 25 mai 2018. Il abroge la directive 95/46/CE.

Le RGPD est une rglementation europenne obligatoire qui refond et renforce les droits et la protection des donnes caractre personnel des personnes physiques.

Le RGPD sapplique tous les cabinets davocats, quelle que soit leur taille, leur structure et leur domaine dactivit.

1. La protection des donnes personnelles, un enjeu particulirement sensible pour les avocats

Les donnes auxquelles lavocat a accs dans lexercice de ses fonctions relvent trs souvent de la vie prive de leurs clients et sont par nature trs sensibles : donnes relatives la sant, casier judiciaire, opinions politiques et religieuses, situation familiale, etc...

Leur divulgation peut porter atteinte aux droits et liberts des personnes concernes. Les informations traites par les avocats pour lexercice de leur profession doivent tre protges de manire particulire.

Le respect du secret professionnel, tel que dfini par larticle 66-5 de la loi du 31 dcembre 1971, larticle 4 du dcret du 12 juillet 2005, larticle 2 du Rglement intrieur national (RIN) et protg par larticle 226-13 du code pnal, doit conduire lavocat tre particulirement vigilant lgard de la protection des donnes caractre personnel de ses clients et, par consquent, se conformer aux obligations lgales et rglementaires applicables en la matire.

Protger les donnes caractre personnel de son client est essentiel pour garantir le secret professionnel.

Le respect par les avocats des rgles de protection des donnes caractre personnel est un facteur de transparence et de confiance lgard de ses clients.

Cest galement un gage de scurit juridique pour les avocats eux-mmes qui, responsables des traitements mis en uvre, doivent notamment veiller ce que :

la finalit de chacun des traitements et les ventuelles transmissions dinformations sont clairement dfinies ;

les dispositifs de scurit informatiques et physiques sont prcisment dtermins ;

les mesures dinformation des personnes concernes sont appliques.

8

Le traitement des donnes caractre personnel des clients du cabinet davocats est particulirement sensible. Il obit une logique spcifique, qui nest pas celle dune entreprise purement commerciale : la protection des donnes sensibles dont il a connaissance est inhrente au lien de confiance unissant lavocat son client et au respect de ses obligations dontologiques.

Si le croisement des nouvelles technologies et de la dontologie peut apparatre dlicat, il convient davoir lesprit un principe simple : lavocat est, en toutes circonstances, tenu de respecter les rgles dontologiques. En dautres termes, lvolution des modalits pratiques dexercice de la profession induite par les nouvelles technologies que chaque avocat met en uvre au sein de son cabinet ne peut laffranchir, ni du respect des dispositions du Rglement intrieur national (RIN), ni du rglement intrieur de chaque barreau, ni de lobligation de faire respecter ces rgles par lensemble des membres de son cabinet et par les prestataires extrieurs auxquels il fait appel pour les besoins de son activit.

Cette rgle imprative concerne aussi bien lexternalisation de certains services du cabinet (standard dport, secrtariat distance, traducteur, etc.), que lexternalisation de lhbergement des donnes du cabinet (Cloud Computing) ou de lexploitation de ses outils de communication (site Internet, blog, sites de rfrencement, site tiers, consultation en ligne, etc.).

Cest par ce souci constant du respect de leurs obligations dontologiques dans lunivers du numrique, et en assurant particulirement la protection des donnes du cabinet et du respect du secret professionnel, que les avocats pourront serainement prendre le virage du numrique sans perdre leur valeur et la confiance de leurs clients.

L avocat, garant du secret professionnel, cl de vote de la profession, se doit dtre particulirement exemplaire en la matire.

2. Glossaire

Donnescaractrepersonnel: toute information se rapportant une personne physique identifie ou identifiable (ci-aprs dnomme personne concerne) ; est rpute tre une personne physique identifiable une personne physique qui peut tre identifie, directement ou indirectement, notamment par rfrence un identifiant, tel quun nom, un numro didentification, des donnes de localisation, un identifiant en ligne, ou un ou plusieurs lments spcifiques propres son identit physique, physiologique, gntique, psychique, conomique, culturelle ou sociale.

Traitement : toute opration ou tout ensemble doprations effectues ou non laide de procds automatiss et appliques des donnes ou des ensembles de donnes caractre personnel, telles que la collecte, lenregistrement, lorganisation, la structuration, la conservation, ladaptation ou la modification, lextraction, la consultation, lutilisation, la communication par transmission, la diffusion ou toute autre forme de mise disposition, le rapprochement ou linterconnexion, la limitation, leffacement ou la destruction.

Responsabledutraitement: la personne physique ou morale, lautorit publique, le service ou un autre organisme qui, seul ou conjointement avec dautres, dtermine les finalits et les moyens du traitement ; lorsque les finalits et les moyens de ce traitement sont dtermins par le droit de lUnion ou le droit dun tat membre, le responsable du traitement peut tre dsign ou les critres spcifiques applicables sa dsignation peuvent tre prvus par le droit de lUnion ou par le droit dun tat membre.

9


Sous-traitant: la personne physique ou morale, lautorit publique, le service ou un autre organisme qui traite des donnes caractre personnel pour le compte du responsable du traitement.

Destinataire:la personne physique ou morale, lautorit publique, le service ou tout autre organisme qui reoit communication de donnes caractre personnel, quil sagisse ou non dun tiers. Toutefois, les autorits publiques qui sont susceptibles de recevoir communication de donnes caractre personnel dans le cadre dune mission denqute particulire conformment au droit de lUnion ou au droit dun tat membre ne sont pas considres comme des destinataires ; le traitement de ces donnes par les autorits publiques en question est conforme aux rgles applicables en matire de protection des donnes en fonction des finalits du traitement.

3. Les principes cls

Le RGPD vient raffirmer des principes essentiels en vigueur sous lempire de la Directive 95/46. Des mesures nouvelles de conformit ont en outre t introduites.

3.1. Principes raffirms

3.1.1. Le principe de finalit : une utilisation encadre des donnes caractre personnel

Lesdonnescaractrepersonnelnepeuventtrerecueilliesettraitesquepourunefinalitdtermineexpliciteetlgitime,correspondantauxobjectifspoursuivisparlavocatresponsabledutraitement.

Ainsi, titre illustratif, lorsquil accde au serveur professionnel des donnes cadastrales de la direction gnrale des impts, un avocat ne doit pas porter atteinte la vie prive de la personne concerne par ces informations, notamment en utilisant ces informations des fins de prospection commerciale, de dmarchage politique ou lectoral.

Tout dtournement de finalit est passible de 5 ans demprisonnement et de 300 000 euros damende (article 226-21 du code pnal).

3.1.2. Le principe de proportionnalit

Seules les informations adquates, pertinentes et ncessaires la finalit du traitement peuvent faire lobjet dun traitement de donnes caractre personnel.

Par exemple, il nest pas utile denregistrer des informations sur lentourage familial dune personne lorsque, au regard des finalits dun traitement et de la nature de laffaire traite, seuls sont ncessaires des lments relatifs sa vie professionnelle.

3.1.3. Le principe dune dure de conservation limite des donnes Les informations figurant dans un fichier ne peuvent tre conserves indfiniment. Une dure de conservation doit tre tablie en fonction de la finalit de chaque fichier.

10

Les enregistrements de vidosurveillance ou de vidoprotection, par exemple, ne doivent pas, en principe, tre conservs au-del dun mois. Les donnes caractre personnel ayant trait des clients, quant elles, ne doivent pas tre conserves au-del dun an lissue de la relation contractuelle au sein des dossiers courants. Toutefois, cette obligation de fixer une dure de conservation limite dans le temps ne prive pas les responsables de traitements de la possibilit darchiver des informations, notamment des fins probatoires. Lorsque cet archivage est ralis sous forme lectronique, il convient de respecter la recommandation n 2005-213 de la CNIL du 11 octobre 2005 relative larchivage lectronique de donnes caractre personnel dans le secteur priv.

3.1.4. Les principes de scurit et de confidentialit Les donnes contenues dans les fichiers ne peuvent tre consultes que par les personnes habilites y accder en raison de leurs missions. Les dossiers des avocats ne peuvent tre communiqus qu des personnes autorises en connatre, notamment en application de dispositions lgislatives particulires et sous rserve du respect du secret professionnel.

Lavocat, en qualit de responsable du traitement, est astreint une obligation de scurit. Il doit ainsi prendre toutes les mesures ncessaires pour en garantir la confidentialit et viter toute divulgation dinformation.

Il convient, par exemple, de veiller ce que chaque personne habilite accder aux informations dispose dun mot de passe individuel (compos, si lauthentification repose uniquement sur un identifiant et un mot de passe, de 12 caractres minimum et de majuscules, minuscules, chiffres et caractres spciaux et renouvel rgulirement) et que les droits daccs soient prcisment dfinis en fonction des besoins rels.

3.1.5. Le principe du respect des droits des personnes Larticle 13 du RGPD exige que soient communiques les informations suivantes lorsque les donnes sont collectes auprs de la personne concerne :

les coordonnes du responsable du traitement et, le cas chant, celles du reprsentant du responsable du traitement ;

le cas chant, les coordonnes du dlgu la protection des donnes ; les finalits du traitement auquel sont destines les donnes caractre personnel ; la base juridique du traitement ; les intrts lgitimes poursuivis par le responsable du traitement ou par un

tiers lorsque ces intrts lgitimes sont la condition de licit du traitement ; le fait que le responsable de traitement a lintention deffectuer un transfert

de donnes caractre personnel vers un pays tiers ; le cas chant, lexistence ou labsence dune dcision dadquation rendue par

la CNIL, la rfrence aux garanties appropries ou adaptes et les moyens den obtenir une copie ou lendroit o elles ont t mises disposition ;

la dure de conservation des donnes caractre personnel ou, lorsque ce nest pas possible, les critres utiliss pour dterminer cette dure ;

11


lexistence du droit de demander au responsable du traitement laccs aux donnes caractre personnel, la rectification ou leffacement de celles-ci, ou une limitation du traitement relatif la personne concerne, ou du droit de sopposer au traitement et du droit la portabilit des donnes ;

lorsque le traitement est fond sur le consentement de la personne concerne, lexistence du droit de retirer son consentement tout moment, sans porter atteinte la licit du traitement fond sur le consentement effectu avant le retrait de celui-ci ;

le droit dintroduire une rclamation auprs dune autorit de contrle ; des informations sur la question de savoir si lexigence de fourniture de

donnes caractre personnel a un caractre rglementaire ou contractuel ou si elle conditionne la conclusion dun contrat et si la personne concerne est tenue de fournir les donnes caractre personnel, ainsi que sur les cons-quences ventuelles de la non-fourniture de ces donnes ;

lexistence dune prise de dcision automatise, y compris un profilage et, au moins en pareil cas, des informations utiles concernant la logique sous-jacente, ainsi que limportance et les consquences prvues de ce traitement pour la personne concerne.

Larticle 14 du RGPD numre quant lui les informations communiquer lorsque les donnes caractre personnel ne sont pas directement collectes auprs de la personne concerne. Cest le cas notamment lorsque dans le cadre dun dossier, le client transmet des informations sur la partie adverse lavocat. Ces informations contiennent des donnes caractre personnel de la partie adverse qui seront ds lors indirectement collectes par lavocat.

Larticle 14 du RGPD prvoit donc que la personne doit tre informe des lments prvus larticle 13 du RGPD mais galement les catgories de donnes caractre personnel concernes et la source do proviennent les donnes caractre personnel et, le cas chant, une mention indiquant quelles sont issues ou non de sources accessibles au public.

Une telle information poserait difficult lavocat puisque le respect de cette obligation impliquerait dinformer la partie adverse de la constitution du dossier par lavocat et donc de mettre en pril les intrts de son client. Cest pourquoi, le RGPD prvoit larticle 14 alina 5, d) une exception linformation des personnes dont les donnes caractre personnel sont indirectement collectes, ds lors que lesdites donnes doivent rester confidentielles en vertu dune obligation de secret professionnel rglemente.

Les avocats, lorsquils agissent en qualit de responsable de traitement, sont libres de dterminer les moyens mettre en uvre pour assurer linformation des personnes.

Toute personne a le droit de sopposer, pour un motif lgitime, ce que des donnes la concernant soient traites, sauf si le traitement concern prsente un caractre obligatoire.

Par ailleurs, toute personne physique justifiant de son identit a le droit dinterroger le responsable dun traitement de donnes caractre personnel notamment pour :

12

savoir si des donnes qui la concernent y figurent ou non ; obtenir la communication des donnes qui la concernent sous une forme

comprhensible, dune part, et de toutes les informations disponibles quant leurs origines, dautre part ;

obtenir des informations sur la finalit du traitement, les donnes collectes et les destinataires.

3.2. Nouvelles mesures de conformit

Le RGPD a pour objectif de moderniser le cadre europen de la protection des donnes caractre personnel afin de prendre en compte les avances technologiques et dharmoniser les lgislations des tats membres de lUnion europenne. En pratique, il vise :

Renforcer les droits des personnes, notamment par la cration de droits la limitation, loubli, la portabilit des donnes caractre personnel et par la cration de dispositions propres aux personnes mineures ;

Responsabiliser les acteurs traitant des donnes (responsables de traitement et sous-traitants) ;

Favoriser la rgulation grce une coopration renforce entre les autorits de protection des donnes, qui pourront notamment adopter des sanctions renforces et des dcisions communes concernant des traitements transnationaux.

Avec le RGPD, la responsabilit des organismes se trouve renforce : ceux-ci devront tout moment assurer une protection optimale des donnes et tre en mesure de dmontrer la conformit de leur traitement, ce qui implique de documenter cette conformit.

Les principales mesures imposes par le RGPD sont les suivantes :

Intgrer les concepts de protection des donnes ds la conception de nouveaux produits ou services et par dfaut. Lorsque lavocat fait voluer ses pratiques, il doit sinterroger ab initio sur limpact de lvolution sur les donnes quil traite. Cela implique notamment lintgration de dispositifs techniques de protection des donnes caractre personnel et de mesures organisationnelles permettant de limiter les risques datteinte aux droits et liberts des individus ;

Se conformer au principe daccountability qui impose aux cabinets de se pr-constituer la preuve de leur conformit ;

Notifier la CNIL toute violation de donnes caractre personnel ; Dsigner, lorsque les conditions sont remplies, un Dlgu la protection des

donnes ou Data Protection Officer (DPO).

Lavocat, lorsquil agit en qualit de responsable du traitement, a lobligation, aux termes de larticle 28 du RGPD, de sassurer que son prestataire informatique, en qualit de sous-traitant, a mis en place des mesures techniques et organisationnelles adaptes lui permettant de respecter la scurit et la confidentialit des donnes. La conclusion dun contrat est obligatoire entre lavocat et ses sous-traitants et doit rserver une facult daudit pour permettre de vrifier la mise en uvre conforme des mesures prcites.

13


3.2.1. Notification de toute violation de donnes caractre personnel

En vertu des articles 33 et 34 du RGPD, un cabinet davocats agissant en tant que responsable de traitement doit notifier toute violation de donnes caractre personnel lautorit de contrle et communiquer auprs des personnes concernes en cas de risque lev pour les droits et liberts des personnes.A cet gard, il est renvoy la fiche pratique n9 Procdure en cas de violation de donnes .

3.2.2. Minimisation des donnes

Le principe de minimisation des donnes, ou limitation des donnes au minimum est le principe selon lequel des donnes caractre personnel ne peuvent faire lobjet dun traitement que si, et pour autant que, les finalits du traitement ne peuvent tre atteintes par le traitement dinformations ne contenant pas de donnes caractre personnel.

Il consiste :

sinterroger sur la ncessit de traiter des donnes caractre personnel pour atteindre les finalits recherches par le traitement ;

si le traitement de donnes caractre personnel savre ncessaire, limiter le traitement des donnes au minimum, en ce qui concerne :

les catgories de donnes traites ; le volume ou la quantit de donnes traites ; la question de savoir si les donnes collectes sont plus ou moins ncessaires

au traitement.

3.2.3. Droit loubli

Larticle 17 du RGPD prvoit le droit leffacement ( droit loubli ) : les personnes concernes ont le droit dobtenir du responsable du traitement, dans les meilleurs dlais, leffacement des donnes caractre personnel les concernant.

Cette disposition trouve sa source dans laffaire Google Spain SL, Google Inc. c. Agencia Espaola de Proteccin de Datos (AEPD), Mario Costeja Gonzlez, dans laquelle la Cour a jug que les personnes physiques sont en droit (sous rserve de certaines conditions et garanties) de demander un moteur de recherche de supprimer les liens renvoyant des donnes caractre personnel les concernant. Le droit loubli ou droit leffacement, inscrit dans le RGPD va bien au-del du drfrencement vis dans larrt Google prcit. Il est cependant relatif et suppose que soit effectu un contrle de proportionnalit entre les intrts de la personne concerne et ceux du responsable du traitement, ou, le cas chant du public en gnral (droit linformation ou intrt historique).

Pour lavocat, leffacement irrversible des donnes dun client ne pourra tre mis en uvre avant lexpiration de la dure de prescription de la responsabilit civile professionnelle de lavocat. Il est en effet important de noter que le droit loubli ne prvaut videmment pas sur certaines obligations darchivage de donnes pendant des priodes dtermines, par exemple pour des raisons de conformit aux obligations fiscales ou de prescription.

14

3.2.4. Analyses dimpact

En vertu de larticle 35 du RGPD, lorsquun type de traitement est susceptible dengendrer un risquelevpourlesdroitsetlibertsdespersonnesphysiques, notamment le traitement grande chelle de catgories particulires dedonnes, le responsable du traitement doit effectuer, avant toute mise en uvre, une analyse dimpact.

Il est important de noter que le considrant91duRGPDprcisequeletraitementde donnes caractre personnel de clients par un avocat exerant titreindividuel ne devrait pas tre considr comme constituant un traitement grandechelle.

Nanmoins, quand bien mme il ne traiterait pas des donnes grandechelle,uncabinetdavocats,quelquesoitsataille,pourraitavoirraliserdesanalysesdimpactsilestraitementsmisenuvrerpondentcertainescaractristiques.

En effet, ds lors quil rpondra plus de deux des neuf critres dtermins par la CNIL et par le G29 (valuation/scoring, dcision automatique avec effet lgal ou similaire ; surveillance systmatique ; collecte de donnes sensibles ; collecte de donnes caractre personnel large chelle ; croisement de donnes ; personnes vulnrables ; usage innovant ; exclusion du bnfice dun droit / contrat), le traitement sera, par principe, soumis analyse dimpact.

Bien quelles reprsentent une charge supplmentaire, les analyses dimpact visent permettre aux responsables de traitements didentifier et de traiter les risques qui nauraient pas t dtects en dautres temps et dempcher des violations qui se seraient autrement produites.

Pour expliquer larticle 35 et en proposer une interprtation commune, les autorits de protection des donnes europennes (le G29) ont adopt des lignes directrices sur les DPIA et les traitements susceptibles dengendrer des risques : https://www.cnil.fr/fr/reglement-europeen/lignes-directrices

Le 29 janvier 2018, la CNIL a mis en ligne sur son site la nouvelle version de son logiciel open source PIA facilitant la conduite et la formalisation danalyses dimpact sur la protection des donnes telles prvues par le RGPD : https://www.cnil.fr/fr/outil-pia-nouvelle-version-beta-du-logiciel.

La CNIL a galement publi trois catalogues de bonnes pratiques destines traiter les risques que les traitements de donnes caractre personnel (DCP) peuvent faire peser sur les liberts et la vie prive des personnes concernes : https://www.cnil.fr/fr/PIA-privacy-impact-assessment

3.2.5. Portabilit des donnes

Dfinition.Le droit la portabilit des donnes permet aux personnes concernes dexiger des responsables de traitement la transmission de leurs donnes caractre personnel un autre responsable de traitement, sans que le responsable de traitement ayant initialement collect les donnes puisse sy opposer.

https://www.cnil.fr/fr/reglement-europeen/lignes-directrices https://www.cnil.fr/fr/outil-pia-nouvelle-version-beta-du-logiciel. https://www.cnil.fr/fr/PIA-privacy-impact-assessment

15


La portabilit emporte :

le droit de recevoir les donnes caractre personnel les concernant quelles ont fournies un responsable de traitement, dans un format structur, couramment utilis et lisible par machine, et de les transmettre un autre responsable de traitement [] ;

le droit dobtenir que les donnes soient transmises directement dun responsable de traitement un autre lorsque cela est techniquement possible1 .

Conditions.Cela signifie donc que lavocat qui a initialement trait les donnes caractre personnel est tenu de communiquer les donnes caractre personnel relatives son client ou un confrre, lorsque le traitement initial repose sur lun des fondements suivants :

le client a exprim son consentement au traitement de ses donnes caractre personnel ou le traitement est ncessaire lexcution dun contrat auquel le client est partie ou lexcution de mesures prcontractuelles prises la demande du client ;

et le traitement est effectu laide de procds automatiss.

Lavocat devra donc faire droit la demande de son client si celui-ci demande la transmission de ses donnes caractre personnel un confrre et les transmettre dans un format structur, couramment utilis et lisible par machine.

En revanche, le droit la portabilit des donnes ne sexerce pas lorsque le traitement est ncessaire lexcution dune mission dintrt public ou relevant de lexercice de lautorit publique dont est investi le responsable du traitement2.

Lexception des dossiers papiers. Selon le G293 le droit la portabilit des donnes sapplique uniquement si le traitement des donnes est effectu laide de procds automatiss et, par consquent, ne couvre pas la plupart des dossiers papier . Les dossiers papiers des avocats sembleraient donc exclus du droit la portabilit des donnes personnelles.

Successiondavocatsdansunmmedossier. En tout tat de cause, les avocats sont soumis des rgles spcifiques sagissant de la succession davocats dans un mme dossier. En effet, larticle 9.2 du Rglement intrieur national de la profession davocat prvoit que lavocat dessaisi, ne disposant daucun droit de rtention, doit transmettre sans dlai tous les lments ncessaires lentire connaissance du dossier .

1.Rgl. (UE) n2016-679 du 27-4-2016 relatif la protection des personnes physiques lgard du traitement des donnes caractre personnel et la libre circulation de ces donnes, article 202.

2.Rgl. (UE) n2016-679 du 27-4-2016 relatif la protection des personnes physiques lgard du traitement des donnes caractre personnel et la libre circulation de ces donnes, article 203.

3.Lignes directrices WP 242 du G29, p 11.

16

3.2.6. Capacit suivre les destinataires de donnes caractre personnel

Les responsables du traitement de donnes doivent tre en mesure de suivre et didentifier les destinataires des donnes caractre personnel quils traitent.

3.2.7. Tenue dun registre des activits de traitement

Le RGPD impose, dans certains cas, aux responsables de traitement de tenir un registre des activits de traitement effectues sous leur responsabilit.

A cet gard, il est renvoy la fiche pratique n10 Le registre des activits de traitement .

FICHESPRATIQUES

18


FICHE N1. LE TRAITEMENT RH (RESSOURCES HUMAINES)

1. Quest-ce quun traitement RH ?

Dans le cadre du recrutement dun collaborateur ou encore du personnel support (par exemple un informaticien ou une secrtaire), de la gestion de la paie et de la gestion administrative du personnel, lavocat employeur est amen effectuer des traitements de donnes caractre personnel.

Ainsi, les avocats doivent ncessairement effectuer ces traitements de donnes conformment au RGPD.

A cet gard, il convient de noter que larticle 88 du RGPD qui concerne le traitement de donnes caractre personnel dans le cadre des relations au travail, dispose que les Etats membres conservent une marge de manuvre quant aux rgles dicter.

2. Quelles sont les donnes que lavocat peut collecter dans le cadre dun traitement RH ?

Recrutement.Dans le cadre du recrutement, les donnes ne doivent servir qu valuer la capacit du candidat occuper lemploi propos.

Seules des donnes relatives la qualification et lexprience du collaborateur peuvent tre collectes (exemples : diplmes, emplois prcdents, etc.)

Il est donc interdit de :

Demander un candidat son numro de scurit sociale ; Collecter des donnes sur la famille du candidat ; Collecter des donnes sur les opinions politiques ou lappartenance syndicale

du candidat.

Gestion administrative du personnel. Dans le cadre de la gestion de ses collaborateurs et de manire plus gnrale, de son personnel, lavocat employeur peut collecter principalement deux types de donnes :

Des donnes ncessaires au respect dune obligation lgale. Des donnes utiles la (i) gestion administrative du personnel, (ii) lorga-

nisation du travail et (iii) laction sociale.

19

Respecterlaminimisation.Dans le cadre des traitements RH et conformment larticle 5 du RGPD, lavocat ne doit collecter que des donnes adquates, pertinentes et strictement ncessaires la finalit du traitement.

Contrle de lactivit du personnel. Lavocat employeur peut mettre en place diffrents outils afin de contrler lactivit des collaborateurs ou du personnel.

Par exemple, le cabinet davocats pourrait encadrer les conditions dutilisation dInternet par les collaborateurs et le personnel sur leur lieu de travail. Il peut mettre en place des filtres afin de bloquer certains contenues (pornographie, pdophilie, etc.). Il est galement possible de limiter lutilisation dInternet pour des raisons de scurit par exemple le tlchargement de logiciels, la connexion un forum, etc.

Contrledutempspass.Un cabinet peut mettre en place un logiciel permettant de calculer le temps pass par lavocat sur un dossier ou une affaire. Cependant, ce logiciel ne peut tre dtourn afin de contrler lactivit des collaborateurs.

Gestionetcontrlede laccsaucabinetdavocats.Un cabinet davocats peut mettre en place des dispositifs afin de contrler les horaires et laccs des collaborateurs et du personnel.

3. Lavocat doit-il procder des formalits en cas de traitement RH ?

Avantle25mai2018. En application de la loi Informatique et liberts du 6 janvier 1978, les responsables de traitement devaient effectuer des dclarations auprs de la CNIL pralablement la mise en uvre dun traitement de donnes caractre personnel.

En matire de ressources humaines, la CNIL avait dict des normes et autorisations pour simplifier ce processus, notamment la norme simplifie n46 qui concerne la gestion des ressources humaines des organismes publics et privs ainsi que la dispense DI-002 relative la paie des personnels du secteur priv. Ces normes peuvent servir aux cabinets davocats pour les aider dterminer les limites aux traitements des donnes personnelles.

Aprsle25mai2018. Le RGPD allge grandement les formalits mais introduit en contrepartie de nouvelles obligations pour le responsable de traitement.

Leregistredesactivitsdetraitement. Le registre des activits de traitement rpertorie les informations relatives aux caractristiques des traitements mis en uvre par le responsable de traitements.

Cette obligation ne simpose que dans certains cas. A priori, le cabinet davocats doit tenir un registre des activits de traitements dans la mesure o il traite de manire non occasionnelle des donnes caractre personnel et en particulier

20


des donnes sensibles (ex : donnes de sant, donnes sur lorigine raciale, etc.) ou des donnes se rapportant des condamnations et des infractions pnales.

Il convient donc dinsrer dans le registre des activits de traitement, une fiche ddie la gestion des ressources humaines qui doit comporter les lments suivants :

Identit et coordonnes du responsable de traitement ; Finalits ; Catgories de personnes concernes ; Catgories de donnes caractre personnel ; Catgories de destinataires ; Transferts vers un pays tiers ou une organisation internationale ; Dlais prvus pour leffacement ; Description gnrale des mesures de scurit techniques et organisationnelles.

4. Combien de temps les donnes peuvent-elles tre conserves ?

Lavocat responsable de traitement doit dfinir une politique de dure de conservation des donnes au sein de son cabinet. Les donnes caractre personnel ne peuvent tre conserves que le temps ncessaire laccomplissement de lobjectif poursuivi lors de leur collecte. Gnralement, les donnes relatives aux collaborateurs ou au personnel sont conserves le temps de leur prsence dans le cabinet davocats augment des dures de prescriptions lgales.

5. Doit-il y avoir une information des personnes concernes ?

Conformment aux exigences de larticle 13 du RGPD, les collaborateurs et le personnel du cabinet davocats doivent tre informs :

De lidentit et des coordonnes du responsable de traitement ; Des coordonnes du dlgu la protection des donnes lorsquil y en a un ; De lobjectif poursuivi (gestion administrative du personnel et du recrutement) ; De la base juridique du traitement ; De lintrt lgitime sil sagit de la base lgale du traitement ; Des destinataires des donnes (des sous-traitants de la gestion de paie, etc.) ; Des flux transfrontires ; De la dure de conservation ; Des conditions dexercice de leurs droits dopposition, daccs, de rectification

et de limitation, etc. ; Du droit de retirer son consentement sil sagit de la base lgale du traitement ; Du droit dintroduire une rclamation auprs dune autorit de contrle ; Des informations sur le caractre rglementaire ou contractuel du traitement

lorsquil sagit de la base lgale du traitement.

21

Ces informations peuvent figurer sur le contrat de collaboration ou sur le contrat de travail. Ces informations peuvent galement faire lobjet dun affichage ou dune communication par courriel, notamment pour rgulariser la situation auprs des collaborateurs et du personnel qui nont pas t correctement informs.

FAIRE

Vrifier que les donnes collectes ne sont pas excessives au regard de la finalit du traitement

Vrifier quil y a une base lgale au traitement de donnes personnelles

Respecter le principe de minimisation

Vrifier les dispositifs de contrle de lactivit du personnel et leur pertinence

Avant le 25 mai 2018 : procder aux formalits ncessaires

Aprs le 25 mai 2018 : procder la tenue du registre des traitements

Dfinir une politique de dure de conservation

Informer les personnes concernes sur le traitement de leurs donnes personnelles

22


FICHE N2. GESTION DES CLIENTS 1. Quelles donnes lavocat peut-il collecter dans le cadre

de la gestion de ses clients ?

Dans le cadre de lexercice de la profession davocat, les donnes caractre personnel relatives la gestion de la clientle correspondent toutes les donnes caractre personnel ncessaires dans la constitution du dossier du client et dans la dfense de ses intrts.

Au regard de la diversit des domaines dintervention des avocats, ces donnes peuvent tre trs diverses et peuvent concerner des donnes relatives tant la vie personnelle qu la vie professionnelle mais peuvent concerner galement des donnes dune particulire sensibilit.

Donnesrelativesauxcondamnationspnalesetauxinfractions. Lavocat peut tre amen collecter des donnes relatives aux condamnations pnales et aux infractions. Le caractre particulier de ces donnes appelle des garanties spcifiques de traitement. Ainsi, larticle 10 du RGPD prvoit quun tel traitement ne peut tre effectu que sous le contrle de lautorit publique, ou si des garanties spcifiques et adaptes sont prvues par le droit national4.Toutefois, la loi Informatique et liberts5 prvoit que le traitement de telles donnes peut tre effectu par les auxiliairesdejusticepourexercerlesmissionsquelaloileurconfie.Le projet de loi relatif la protection des donnes personnelles, en ltat actuel de sa rdaction, maintient cette exception permettant aux auxiliaires de justice de traiter des donnes relatives aux condamnations pnales, aux infractions ou aux mesures de sret connexes.

Catgories particulires de donnes. Lavocat peut tre amen traiter des donnes personnelles dites particulires qui rvlent lorigine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou lappartenance syndicale, ainsi que le traitement des donnes gntiques, des donnes biomtriques aux fins didentifier une personne physique de manire unique, des donnes concernant la sant ou des donnes concernant la vie sexuelle ou lorientation sexuelle dune personne physique.

Or, larticle 9, al.1, du RGPD prvoit linterdiction de principe du traitement de telles donnes. Ce traitement de donnes particulires peut concerner un grand nombre davocats, notamment ceux spcialiss en droit de la sant ou encore en droit du dommage corporel.

4.Rgl. (UE) 2016/679 du 27-4-2016, art. 10 et considrant 195.Loi n 78-17 du 6-1-1978 modifie, art. 9.

23

Cependant, larticle 9 prvoit une exception lalina 2.f) pour le traitement ncessaire la constatation, lexercice ou la dfense dun droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle . Il semble donc que les avocats jouissent dune exception leur permettant de traiter de donnes particulires afin dexercer leur profession pour autant que la donne concerne soit strictement ncessaire la constatation, lexercice ou la dfense du droit de son client en justice. Une apprciation stricte de cette ncessit est bien entendu recommande.

Respect du principe de minimisation. Conformment larticle 5 du RGPD, lavocat ne doit collecter que des donnes adquates, pertinentes et strictement ncessaires la finalit du traitement.

Or, il nest pas rare que lavocat reoive beaucoup dinformations de ses clients. Afin de respecter le principe de minimisation, il convient, autant que faire se peut, dorienter son client lorsquil fournit des donnes personnelles lavocat sur les documents qui sont ncessaires pour le reprsenter et le conseiller.

2. Lavocat doit-il procder des formalits ?

Avantle25mai2018.En application de la loi Informatique et liberts du 6 janvier 1978, les responsables de traitement devaient effectuer des dclarations auprs de la CNIL pralablement la mise en uvre dun traitement de donnes caractre personnel.

En matire de gestion des clients, la CNIL avait dict des dispenses et normes pour simplifier ce processus, notamment la norme simplifie n48 qui concerne la gestion des fichiers clients et prospects ainsi que la dispense DI-007 relative linformation et la communication externe. Ces normes peuvent servir aux cabinets davocats pour les aider dterminer les limites aux traitements des donnes personnelles.

Aprsle25mai2018.Le RGPD allge grandement les formalits mais introduit en contrepartie de nouvelles obligations pour le responsable de traitement.

Leregistredesactivitsdetraitement. Le registre des activits de traitement rpertorie les informations relatives aux caractristiques des traitements mis en uvre par le responsable de traitements.

Cette obligation ne simpose que dans certains cas. A priori, le cabinet davocats doit tenir un registre des activits de traitements dans la mesure o il traite de manire non occasionnelle des donnes caractre personnel et en particulier des donnes sensibles (ex : donnes de sant, donnes sur lorigine raciale, etc.) ou des donnes se rapportant des condamnations et des infractions pnales.

Il convient donc dinsrer dans le registre des activits de traitement, une fiche ddie la gestion des clients qui doit comporter les lments suivants :

Identit et coordonnes du responsable de traitement Finalits ;

24


Catgories de personnes concernes ; Catgories de donnes caractre personnel ; Catgories de destinataires ; Transferts vers un pays tiers ou une organisation internationale ; Dlais prvus pour leffacement ; Description gnrale des mesures de scurit techniques et organisationnelles.

3. Combien de temps les donnes peuvent-elles tre conserves ?

Lavocat responsable de traitement doit dfinir une politique de dure de conservation des donnes au sein de son cabinet. Les donnes caractre personnel ne peuvent tre conserves que le temps ncessaire laccomplissement de lobjectif poursuivi lors de leur collecte.

Gnralement, les donnes relatives aux clients peuvent tre conserves le temps de la relation contractuelle entre lavocat et son client. Au-del, les donnes devraient tre archives pour la priode o la responsabilit de lavocat pourrait tre mise en cause avant suppression dfinitive des donnes.

4. Doit-il y avoir une information des personnes concernes ?

Conformment aux exigences de larticle 13 du RGPD, les clients et prospects du cabinet davocats doivent tre informs :

De lidentit et des coordonnes du responsable de traitement (le cabinet) ; Des coordonnes du dlgu la protection des donnes lorsquil y en a un ; De lobjectif poursuivi (gestion et suivi des dossiers de ses clients) ; De la base juridique du traitement (excution contractuelle ou prcontractuelle

la demande du client) ; De lintrt lgitime sil sagit de la base lgale du traitement ; Des destinataires des donnes (des sous-traitants, des huissiers, etc.) ; Des flux transfrontires ; De la dure de conservation ; Des droits dont ils disposent ; Des conditions dexercice de ces droits ; Du droit de retirer son consentement sil sagit de la base lgale du traitement ; Du droit dintroduire une rclamation auprs dune autorit de contrle ; Des informations sur le caractre rglementaire ou contractuel du traitement

lorsquil sagit de la base lgale du traitement.

Ces informations peuvent figurer au sein de la convention dhonoraires. Ces informations peuvent galement faire lobjet dune communication par courriel ou loccasion de la transmission dune note dhonoraires, notamment pour rgulariser la situation auprs des clients qui nont pas t correctement informs.

25

5. La scurit des dossiers clients

Il est ncessaire de prendre des mesures de scurit adaptes la sensibilit des traitements. Au-del de cette exigence du RGPD, lavocat est soumis au secret professionnel absolu et se doit, encore plus pour cette raison, dassurer la scurit des donnes qui lui sont confies par ses clients.

Pour ce faire, il est ncessaire de vrifier que laccs aux locaux dans lesquels sont stocks les dossiers est suffisamment scuris (bureaux ferms clefs, accs par badge, etc.). Il convient galement de vrifier la scurit du systme dinformation sur lequel sont stocks les dossiers sous format numrique (pare-feu, mots de passe robustes pour y accder, habilitations, etc.).

6. Sollicitation personnalise

Au-del du respect des exigences prcites, des rgles particulires sappliquent en matire de sollicitation personnalise par voie lectronique ou par voie postale.

A cet gard, il est renvoy au Vademecum de la communication des avocats publi en 2016 par le Conseil national des barreaux :

http://encyclopedie.avocats.fr/GED_BWZ/107763592594/CNB-2016-03-17_Ru_Communication-des-avocats-Vade-mecum[Version-2016-03-16].pdf

FAIRE

Vrifier que les donnes collectes ne sont pas excessives au regard de la finalit du traitement

Vrifier quil y a une base lgale au traitement de donnes personnelles

Respecter le principe de minimisation

Avant le 25 mai 2018 : procder aux formalits ncessaires

Aprs le 25 mai 2018 : procder la tenue du registre des traitements

Dfinir une politique de dure de conservation

Informer les personnes concernes sur le traitement de leurs donnes personnelles

Vrifier que les dossiers clients numriques et physiques sont correctement protgs

Vrifier la scurit du systme dinformation auprs de son prestataire informatique

http://encyclopedie.avocats.fr/GED_BWZ/107763592594/CNB-2016-03-17_Ru_Communication-des-avocats-Vadehttp://encyclopedie.avocats.fr/GED_BWZ/107763592594/CNB-2016-03-17_Ru_Communication-des-avocats-Vade

26


FICHE N3. VIDOSURVEILLANCE ET VIDEOPROTECTION

1. Quest-ce que la vidosurveillance et la vidoprotection ?

Selon le lieu o les camras sont installes, le rgime applicable diffre. En effet, il est ncessaire de distinguer la vidoprotection de la vidosurveillance puisque chacune a son propre rgime :

La vidoprotection vise les camras situes dans les locaux ouverts au public, savoir par exemple les SAS dentre, les abords directs dun immeuble et de laccueil dun immeuble o serait situ le cabinet davocats.

La vidosurveillance vise les camras installes dans les zones rserves aux membres du cabinet comme par exemple les bureaux, les rserves ou les couloirs du cabinet davocats, etc.

Quel que soit le rgime applicable, la CNIL est comptente pour oprer des contrles sur les dispositifs de vidoprotection comme sur les dispositifs de vidosurveillance.

2. Quel est lobjectif de linstallation de camras ?

Linstallation de camras de vidoprotection et de vidosurveillance doit avoir pour finalit la scurit des biens et des personnes lorsque ces lieux sont particulirement exposs des risques dagression ou de vol, titre dissuasif ou pour permettre lidentification des auteurs de vols, de dgradations ou dagressions.

En vertu du droit au respect de la vie prive (article 9 du Code civil), la vidosurveillance ne peut en aucun cas servir filmer les membres du cabinet sur leur poste de travail, dans les zones de pause ou de repos, dans les toilettes ou encore dans les locaux syndicaux ou des reprsentants du personnel.

27

3. Quelles sont les formalits accomplir ?

3.1. Avant lentre en vigueur du RGPD

Les dispositifs de vidoprotection et de vidosurveillance sont trs encadrs et ne peuvent tre mis en uvre quaprs laccomplissement de certaines formalits.

Les formalits sont diffrentes selon le type de dispositif mis en place.

Si les camras sont soumises aux dispositions du Code de la scurit intrieure, alors une autorisation de la prfecture du dpartement (Prfet de police Paris) est ncessaire (art. L251-1 et suivants du Code de la scurit intrieure).

Si les camras sont soumises aux dispositions de la loi Informatique et liberts, alors elles doivent faire lobjet dune dclaration normale auprs de la CNIL.

TYPEDEDISPOSITIF EXEMPLE FORMALITSACCOMPLIR

La camra est situe dans le cabinet davocats ferm au public

Bureaux, rserves, salle de reprographie, couloirs du cabinet davocats, etc.

Formalits pralables auprs de la CNIL

La camra est situe dans un lieu public ou ouvert au public et lesimagessontenregistresouconserves dans des traitements informatiss ou des fichiers structurs qui permettent didentifier des personnes physiques Salle dattente,

immeuble du cabinet davocats, hall dentre, etc.

Autorisation prfectorale

La camra est situe dans un lieu public ou ouvert au public et aucuneimagenestenregistreniconserve dans des traitements informatiss ou des fichiers structurs qui permettent didentifier des personnes physiques

3.2. Aprs lentre en vigueur du RGPD

Le RGPD introduit de nouvelles obligations pour le responsable de traitement.

Leregistredesactivitsdetraitement. Le registre des activits de traitement rpertorie les informations relatives aux traitements mis en uvre.


28


Il convient donc dinsrer dans le registre des activits de traitement une fiche ddie la vido surveillance/ la vidoprotection qui doit comporter les lments suivants :

Identit et coordonnes du responsable de traitement ; Finalits ; Catgories de personnes concernes ; Catgories de donnes personnelles ; Catgories de destinataires ; Transferts vers un pays tiers ou une organisation internationale ; Dlais prvus pour leffacement des donnes ; Description gnrale des mesures de scurit techniques et organisationnelles.

4. Est-il ncessaire dinformer les personnes concernes ?

Les personnes concernes, savoir par exemple les clients, les membres du cabinet, les confrres ou encore les prestataires, doivent tre informs de lexistence du dispositif mis en place.

Cette information doit tre assure au moyen dun panneau affich de faon visible dans les lieux et locaux concerns (entre de ltablissement). Cette information doit porter a minima sur :

lexistence du dispositif ; le nom de son responsable ; la procdure suivre pour demander laccs aux enregistrements visuels les

concernant ; le numro de tlphone.

Les instances reprsentatives du personnel, si elles existent au sein du cabinet, devront tre consultes avant la mise en uvre du systme de vidosurveillance.

En tout tat de cause, chaque membre du cabinet devra tre inform individuellement, au moyen dune note de service qui peut prendre la forme dun courriel par exemple, et qui est conforme aux exigences des articles 13 et 14 du RGPD.

5. Qui peut accder aux images des camras ?

Les images enregistres par les camras de vidoprotection et de vidosurveillance ne peuvent tre visionnes que par les seules personnes habilites dans le cadre de leurs fonctions (associ fondateur ou la personne responsable de la scurit par exemple). Ces personnes doivent tre particulirement formes et sensibilises aux rgles encadrant la mise en place dun tel systme.

29

6. Combien de temps les images peuvent-elles tre conserves ?

Sagissant de la dure de conservation, la CNIL indique que les images ne devraient pas tre conserves plus de quelques jours et quen tout tat de cause, leur dure de conservation ne peut pas excder un mois.

Si des procdures sont engages, les images doivent alors tre extraites du dispositif (aprs consignation de cette opration dans un cahier spcifique) et conserves pour la dure de la procdure.

THME FAIRE

GNRAL

Identifier les camras

Dterminer la localisation des camras et les lieux films

Limiter laccs aux images enregistres

Aprs le 25 mai 2018 : mettre en place un registre des activits de traitements (recommand)

Afficher un panneau visible dans les lieux et locaux concerns

Consulter les instances reprsentatives du personnel avant linstallation des camras

Informer individuellement le personnel (notamment par courriel)

Limiter la dure de conservation des images un mois

VIDOPROTECTIONProcder une demande dautorisation auprs de la prfecture du dpartement

VIDOSURVEILLANCEAvant le 25 mai 2018 : Dclaration normale auprs de la CNIL en prsence de traitement de donnes personnelles

Pourensavoirplus:

https://www.cnil.fr/sites/default/files/atoms/files/_videosurveillance_au_travail.pdf

https://www.cnil.fr/sites/default/files/atoms/files/_videosurveillance_au_travail.pdf

30


FICHE N4. FOURNISSEURS ET PRESTATAIRES 1. Quest-ce quun sous-traitant ?

En vertu de larticle 4, al. 8, du RGPD, le sous-traitant est la personne physique ou morale, lautorit publique, le service ou un autre organisme qui traite des donnes caractre personnel pour le compte du responsable de traitement .

En pratique, il sagit donc de la personne qui traite des donnes caractre personnel pour le compte du cabinet davocats comme par exemple un comptable, un diteur de logiciel, un hbergeur, etc.

2. Que faire en cas de sous-traitance ?

Larticle 28, al. 3, du RGPD maintient lobligation de souscrire un contrat liant le sous-traitant au responsable du traitement, tout en prcisant ses contours et en fixant des exigences strictes et plus importantes. Ainsi, le contrat liant le cabinet au sous-traitant doit comporter :

lobjet ; la dure ; la nature ; la finalit ; le type de donnes caractre personnel ; les catgories de personnes concernes ; les droits et obligations du responsable de traitement ; les mesures de scurit mises en uvre concernant le traitement de donnes

caractre personnel qui sera ralis. Lacte juridique en question doit galement dfinir les obligations du sous-traitant relatives :

la possibilit de ne traiter les donnes que sur instruction documente du responsable du traitement, mme en ce qui concerne les flux transfrontires ;

la confidentialit des donnes ; lexercice des droits des personnes concernes ; laide quil doit fournir au responsable de traitement par des mesures

techniques et organisationnelles appropries, dans toute la mesure du possible, pour sacquitter de lobligation de donner suite aux demandes des personnes concernes ;

31

laide fournie au responsable de traitement pour garantir le respect de ses obligations compte tenu de la nature du traitement et des informations la disposition du sous-traitant ;

la suppression des donnes concernes lissue du traitement, ou leur renvoi au responsable de traitement ou leur conservation sil en est tenu par une disposition nationale ou europenne ;

la mise disposition du responsable du traitement de toutes les informations ncessaires pour dmontrer le respect de ces obligations et pour permettre la ralisation daudits, y compris des inspections, par le responsable du traitement ou un autre auditeur quil a mandat, et contribuer ces audits ;

lventuel recrutement par le sous-traitant dun sous-traitant ultrieur, dun nouveau sous-traitant, et lobtention de lautorisation pralable crite du responsable de traitement relative ce recrutement qui doit tre formalis par un contrat mentionnant lensemble des obligations ci-dessus numres.

Les clauses contractuelles liant sous-traitants et responsables de traitement vont donc devoir tre beaucoup plus prcises tant sur les modalits de traitement que sur la gestion de leurs relations et lchange dinformations entre eux.

En vertu de larticle 28, al.1, du RGPD, le responsable de traitement a lobligation de ne recourir qu des sous-traitants qui prsentent des garanties suffisantes quant la mise en uvre de mesures techniques et organisationnelles appropries de manire ce que le traitement rponde aux exigences du RGPD et garantisse la protection des droits de la personne concerne .

3. Que faire avec les sous-traitants avec lesquels le cabinet est dj en relation commerciale ?

Les cabinets davocats devront interroger leurs sous-traitants sur les garanties quils ont mises en place afin de garantir leur conformit au RGPD.

Dans le cas o le cabinet davocats identifie des lacunes dans les mesures mises en place par le sous-traitant, ils devront conclure un avenant au contrat afin de combler lesdites lacunes.

FAIRE

Identifier les diffrents sous-traitants

Vrifier la conformit des sous-traitants et les mesures mises en place dans le contrat de sous-traitance

Conclure un avenant au contrat de sous-traitance si ncessaire

32


FICHE N5. LA GESTION DES ACCES AU CABINET

Sur le lieu de travail, les associs agissant en qualit demployeur peuvent tre amens contrler les accs aux locaux ou la gestion de la restauration (badges lectroniques, dispositifs biomtriques). De la mme manire, des contrles daccs peuvent tre mis en place pour les visiteurs du cabinet davocats.

1. Lutilisation de badges sur le lieu de travail

Des badges lectroniques (cartes magntiques ou puce) peuvent servir au contrle des accs aux locaux ou la gestion de la restauration. Ces dispositifs, qui traitent des donnes permettant lidentification des personnes concernes, sont soumis au RGPD et doivent offrir toutes les garanties offertes par celui-ci aux personnes faisant lobjet dune collecte et dun traitement de leurs donnes personnelles.

Quellesgarantiesprvoir?

Chaque passage du badge dans un lecteur permet lenregistrement de donnes relatives son dtenteur. Ces enregistrements prsentent des risques dutilisation dtourne et sont susceptibles de tracer les dplacements des avocats et salaris des fins de surveillance.

Des garanties particulires doivent donc tre apportes par le cabinet pour viter de tels dtournements. Il convient notamment de prciser :

la finalit du dispositif (ex : contrle des accs, gestion des temps de prsence des salaris, gestion de la restauration ) ;

les informations collectes ; les services destinataires des donnes ; les modalits dexercice des droits daccs aux donnes et de rectification

des donnes. Les membres dun cabinet davocats doivent tre parfaitement informs de ces modalits, pralablement la mise en uvre du systme.

Les cabinets davocats peuvent se rfrer aux prconisations de la norme NS 42 de la CNIL pour ce type de traitement :

https://www.cnil.fr/fr/declaration/ns-042-badges-sur-le-lieu-de-travail

https://www.cnil.fr/fr/declaration/ns-042-badges-sur-le-lieu-de-travail

33

FAIRE

Informer les membres du cabinet des modalits

Se rfrer aux prconisations de la norme NS 42 de la CNIL

2. Les dispositifs biomtriques

La gestion des accs peut se faire par lintermdiaire de dispositifs biomtriques qui permettent didentifier une personne par ses caractristiques physiques, biologiques, voire comportementales (squence gntique, reconnaissance faciale, empreintes digitales, etc.). Larticle 9 du RGPD considre ce type de donnes comme particulirement sensible. Le traitement de ce type de donnes est par principe interdit, sauf exceptions : ces donnes ne peuvent tre traites que si des conditions spcifiques ont t remplies et doivent tre traites avec des prcautions supplmentaires et des mesures de scurit.Les personnes concernes par un dispositif biomtrique doivent tre clairement informes de ses conditions dutilisation, de son caractre obligatoire ou facultatif, des destinataires des informations et des modalits dexercice de leurs droits dopposition, daccs et de rectification.La CNIL a adopt deux autorisations uniques qui encadrent dsormais lensemble des dispositifs de contrle daccs biomtrique sur les lieux de travail, quels que soient les types de biomtries utilises.Elles distinguent : Les dispositifs biomtriques permettant aux personnes de garder la matrise

de leur gabarit biomtrique (AU-052). Les dispositifs biomtriques ne garantissant pas cette matrise (AU-053).

Les autorisations uniques adoptes sinscrivent dans la logique du RGPD. Elles intgrent les prrequis de lanalyse dimpact sur la vie prive et les concepts de protection des donnes ds la conception du produit et par dfaut ( privacy by design et privacy by default ), auxquels les responsables de traitement devront se conformer dici mai 2018. La CNIL entend accompagner ds prsent les organismes dans leur mise en conformit ces nouvelles rgles.

FAIRE

Informer les personnes concernes

Se rfrer aux autorisations uniques adoptes par la CNIL

34


FICHE N6. LA LUTTE CONTRE LE BLANCHIMENT ET LE FINANCEMENT DU TERRORISME

La rglementation qui encadre la lutte contre le blanchiment et le financement du terrorisme, met la charge des avocats un certain nombre dobligations, dont certaines consistent en des oprations de collecte et de traitement de donnes caractre personnel au sens du RGPD.

La collecte des donnes et leur traitement ralis sur ce fondement, qui est impos par la loi, obit en grande partie un rgime particulier et spcifique.

Lavocat qui noue une relation daffaires avec un client doit exercer une vigilance constante pendant toute sa dure et doit pratiquer un examen attentif des oprations effectues en veillant ce quelles soient cohrentes avec la connaissance actualise quil a de la relation daffaires (art. L. 561-6 et R. 561-12 CMF).

Il doit en outre recueillir les informations relatives lobjet et la nature de cette relation et tout autre lment dinformation pertinent sur ce client .

Il actualise ces informations pendant toute la dure de la relation daffaires (art. L. 561-5-1, al. 1er CMF).

Ainsi, concernant une personne physique, lavocat doit se voir prsenter loriginal dun document officiel en cours de validit comportant la photographie du client (art. R. 561-5, 1 et R. 561-6 CMF).

FAIRE

Photocopier ou scanner le document didentit du client, en conserver la copie et vrifier autant que possible sil sagit dun faux

Relever et conserver dans un document spcifique les mentions suivantes :

nom prnoms date et lieu de naissance de la personne nature, date et lieu de dlivrance du document, nom et qualit de lautorit ou de la personne

qui a dlivr le document et, le cas chant, la authentifi

35

Le Conseil national des barreaux met la disposition des avocats un formulaire-type pouvant tre remis au client et permettant dappuyer de manire objective la demande de documents et renseignements :

https: / /www.cnb.avocat . f r /s i tes/defaul t / f i les/documents/cahier_blanchiment_2ed.pdf.

Les mesures de vigilance et didentification doivent tre renforces lorsque lopra-tion parat particulirement complexe ou dun montant inhabituellement lev ou ne parat pas avoir de justification conomique ou dobjet licite (art. L. 561-10-2 CMF). Il faut alors se renseigner et obtenir des lments complmentaires en posant des questions complmentaires.

Si les informations obtenues ne sont pas juges suffisantes, lavocat doit consigner par crit et conserver les caractristiques de lopration, cest--dire les renseignements recueillis et documents concernant en particulier :

lorigine et la destination des sommes ayant servi financer lopration, lobjet de lopration, les caractristiques de lopration au regard des quatre conditions cumulatives

nonces ci-dessus, lidentit du client donneur dordre et du ou des ayants droit conomiques, en

prcisant pour chacun deux le nom, ladresse, la nationalit et la profession.

Eu gard au pouvoir de contrle dont dispose le conseil de lOrdre en application de larticle 17, 13, de la loi du 31 dcembre 1971, lavocat doit pouvoir justifier auprs du conseil de lOrdre, le cas chant, que ltendue des mesures quil a prises est approprie au degr de risque (art. L. 561-5 CMF, art. L.561-9, I CMF). La bonne observation des prescriptions rglementaires ci-dessus, tant dj un lment de preuve des diligences accomplies et du respect de son devoir de vigilance.

Les documents et informations, quel quen soit le support, relatifs lidentit des clients habituels ou occasionnels doivent tre conservs pendant cinqans compter de la cessation des relations avec eux (art. L. 561-12 CMF).

Il en va de mme, sous rserve des obligations lies lexercice professionnel de lavocat, pour les documents relatifs aux oprations quil a effectues et pour les documents consignant les caractristiques des oprations pour son compte propre ou pour le compte de tiers effectues avec des personnes physiques ou morales, y compris leurs filiales ou tablissements, domicilis, enregistrs ou tablis dans un tat ou un territoire dont la lgislation en matire de lutte contre le blanchiment est juge insuffisante (art. L. 561-12 CMF).

Les traitements en question identifiant des personnes susceptibles de participer des infractions graves tant en effet particulirement sensibles, lobligation de scurit des donnes ainsi collectes, mise la charge des responsables de traitement par le RGPD, doit ici sexprimer pleinement.

https://www.cnb.avocat.fr/sites/default/files/documents/cahier_blanchiment_2ed.pdf.https://www.cnb.avocat.fr/sites/default/files/documents/cahier_blanchiment_2ed.pdf.

36


FICHE N7. SITES INTERNET

Les avocats peuvent crer des sites Internet dans le cadre de leur activit professionnelle afin de promouvoir leur cabinet, prsenter les membres du cabinet, exposer leurs comptences ou publier des articles mais le site Internet peut aussi permettre de collecter des donnes caractre personnel par divers moyens :

un questionnaire en ligne ; une consultation en ligne ; un formulaire de contact ; la cration dun compte en ligne ; des cookies, etc

1. Quelles sont les formalits accomplir si lavocat collecte des donnes caractre personnel via son site internet ?

Avantle25mai2018, le fichier peut faire lobjet dune dclaration auprs de la CNIL :

Si le fichier est conforme une norme simplifie, alors il faut procder une dclaration de conformit cette norme. Par exemple, la norme simplifie n48 pour les fichiers clients-prospects ;

Si le fichier nest conforme aucune norme, il faut procder une dclaration normale.

Aprsle25mai2018.Le RGPD allge grandement les formalits mais introduit, en contrepartie, de nouvelles obligations pour le responsable de traitement.

Leregistredesactivitsdetraitement.Le registre des activits de traitement rpertorie les informations relatives aux caractristiques des traitements mis en uvre par le responsable de traitement.


Il convient donc dinsrer dans le registre des activits de traitement, une fiche ddie aux traitements de donnes sur le site Internet qui doit comporter les lments suivants :

37

Identit et coordonnes du responsable de traitement ; Finalits ; Catgories de personnes ; Catgories de donnes caractre personnel ; Catgories de destinataires ; Transferts vers un pays tiers ou une organisation internationale ; Dlais prvus pour leffacement ; Description gnrale des mesures de scurit techniques et organisationnelles.

2. Quelles sont les mentions qui doivent tre obligatoirement prsentes sur le site Internet de lavocat ?

Plusieurs informations doivent figurer sur le site Internet de lavocat :

Les mentions lgales en vertu de la loi n 2004-575 du 21 juin 2004 pour la confiance dans lconomie numrique ;

Les mentions obligatoires en vertu des articles 10.2 et 10.3 du RIN (Fiche n4 du vade-mecum de la communication des avocats : http://encyclopedie.avocats.fr/GED_BWZ/107763592594/CNB-2016-03-17_Ru_Communication-des-avocats-Vade-mecum[Version-2016-03-16].pdf ) ;

Les mentions dinformations issues des articles 13 et 14 du RGPD ; Les mentions dinformations relatives aux cookies.

3. Que doivent contenir les diffrentes mentions ?

MENTIONS TEXTES INFORMATIONS

MENTIONSLGALESArticle 6 de la Loi n 2004-575 du 21 juin 2004 pour la confiance dans lconomie numrique

Dnomination et raison sociale du cabinet

Adresse du cabinet principal

Numro dinscription au registre du commerce et des socits (quand cette inscription est requise)

Coordonnes postales, tlphoniques et lectroniques du cabinet

Nom et coordonnes du directeur de publication du site

Nom, raison sociale, adresse et numro de tlphone de lhbergeur du site

http://encyclopedie.avocats.fr/GED_BWZ/107763592594/CNB-2016-03-17_Ru_Communication-des-avocats-Vadehttp://encyclopedie.avocats.fr/GED_BWZ/107763592594/CNB-2016-03-17_Ru_Communication-des-avocats-Vadehttp://encyclopedie.avocats.fr/GED_BWZ/107763592594/CNB-2016-03-17_Ru_Communication-des-avocats-Vade

38



MENTIONS OBLIGATOIRES

Article 10.2 Dispositions communes toute communication du Rglement Intrieur National de la profession davocat - RIN.

Prcision de la qualit (avocat)

Identification (Me X, Cabinet X)

Fourniture des informations sur sa localisation (adresse professionnelle)

Elments permettant de le joindre (n tl, n fax, adresse courriel),

Mention du barreau auprs duquel lavocat est inscrit

Prcision de la structure dexercice laquelle il appartient

Le cas chant, prcision du rseau dont lavocat est membre

MENTIONSDINFORMATIONRGPD

Articles 13 et 14 du RGPD

Article 32 de la loi Informatique et liberts

Lidentit et les coordonnes du responsable du fichier

Les coordonnes du dlgu la protection des donnes

La finalit et la base juridique du traitement

Les intrts lgitimes poursuivis sil sagit de la base lgale du traitement

Les destinataires ou les catgories de destinataires

La dure de conservation des donnes

Les ventuels transferts de donnes vers des pays hors UE

Les droits des personnes concernes (droit daccs, de rectification, deffacement, dopposition, de limitation, etc.)

Le droit de retirer son consentement tout moment sil sagit de la base lgale du traitement

Le droit dintroduire une rclamation auprs dune autorit de contrle

Les informations sur le caractre rglementaire ou contractuel du traitement sil sagit de la base lgale du traitement

39


MENTIONSDINFORMATIONRELATIVESAUX

COOKIES

Les directives du 25 novembre 2011 dites Paquet tlcom 2009/136/CE et 2009/140/CE

Ordonnance Paquet tlcom du 24 aot 2011

Article 32 II de la loi du 6 janvier 1978

Le projet e-Privacy

Les finalits des cookies

Le recueil du consentement des utilisateurs via les bandeaux de consentement

Les possibilits de refus des cookies

4. Quest-ce quun cookie ?

Les cookies sont des traceurs dposs et lus lors de la consultation du site Internet du cabinet davocats, de la lecture dun courrier lectronique, de linstallation ou de lutilisation dun logiciel.

Les cookies et autres traceurs ont gnralement pour finalit danalyser la navigation et la frquentation du site Internet du cabinet davocats.

5. Comment rendre conforme lutilisation des cookies sur le site Internet de lavocat ?

Dans un premier temps, il est conseill aux avocats de vrifier la prsence effective de cookies sur leur site Internet par le biais du service informatique du cabinet, des prestataires ou en vrifiant les outils utiliss, etc.

Ensuite, il convient de dterminer les types de cookies utiliss sur le site Internet de lavocat. En effet, certains cookies ncessitent le consentement de lutilisateur, cest le cas pour :

les cookies publicitaires ; les cookies rseaux sociaux gnrs par les boutons de partage lorsquils

collectent des donnes caractre personnel sans consentement des personnes concernes ;

certains cookies de mesure daudience.

Dans ce cas, le consentement doit tre pralable linsertion ou la lecture de cookies. Tant que le client na pas donn son consentement, ces cookies ne peuvent tre dposs ou lus sur son terminal.

40


FAIRE

Intgration des mentions lgales et obligatoires

Intgration des mentions RGPD

Avant le 25 mai 2018 : Dclarations CNIL sil y a des traitements de donnes caractre personnel

Aprs le 25 mai 2018 : Registre des activits de traitements

Identification de la prsence de cookies mis en place sur le site Internet de lavocat

Identification du type de cookies prsents sur le site Internet

Mise en place dun bandeau de recueil du consentement

Intgration de mentions sur les cookies

41

FICHE N8. BONNES PRATIQUES DE SECURITE DES DONNEES

1. Pourquoi la scurit des donnes caractre personnel est particulirement importante dans les traitements oprs par lavocat ?

Il est essentiel dassurer la scurit et la confidentialit des donnes traites par les cabinets davocats en garantissant un niveau de scurit adapt au risque du traitement.

En effet, lavocat est soumis au secret professionnel. Cette obligation renforce la ncessit de mettre en place des mesures de scurit dans les cabinets davocats puisquen cas de violations des donnes caractre personnel des clients, cest le secret professionnel qui est viol. Lenjeu de la scurit nest donc pas anodin pour lavocat.

2. Quelles mesures de scurit physiques dois-je mettre en place ?

Il est ncessaire de mettre en place des mesures de scurit physique dans votre cabinet :

Limiter laccs au cabinet ; Ne pas stocker ou archiver des dossiers ou documents contenant des donnes

caractre personnel dans des bureaux accessibles tous ; Installer des alarmes dans les locaux du cabinet, etc.

3. Quelles mesures de scurit logiques/numriques dois-je mettre en place ?

La mise en uvre des mesures de scurit permet de garantir un niveau de scurit adapt au risque.

Il est notamment conseill de :

authentifierlesutilisateurs: mettre en place un mot de passe de minimum 8 caractres contenant une majuscule, une minuscule, un chiffre et un caractre spcial ; ne pas le partager ; ne pas le noter en clair sur une feuille ; viter de le prenregistrer ; le changer rgulirement.

42


grer les habilitations et sensibiliser les utilisateurs : dterminer les personnes qui sont habilites accder aux donnes caractre personnel ; supprimer les permissions daccs obsoltes ; rdiger une charte informatique et lannexer au rglement intrieur lorsquil en existe un.

scuriserlinformatiquemobile:prvoir des moyens de chiffrement pour les ordinateurs portables et les units de stockage amovibles (cls USB, CD, DVD), viter dy stocker des donnes caractre personnel sensibles des clients.

sauvegarderetprvoirlacontinuitdactivit:m

Les avocats et le réglement général sur la protection … · conseil national des barreaux...

Documents

Transcript of Les avocats et le réglement général sur la protection … · conseil national des barreaux...