La validation par le Conseil constitutionnel, le 18 février 2026, de la loi relative à la confidentialité des consultations des juristes d’entreprise ouvre un chapitre inédit pour la profession de délégué à la protection des données. Si ce texte, aboutissement d’une décennie de débats parlementaires, vise avant tout à renforcer la compétitivité des entreprises françaises en alignant leur droit sur le « legal privilege » anglo-saxon, ses répercussions sur l’écosystème RGPD pourraient être considérables.
Un bouclier juridique pour les consultations internes
Le nouvel article 58-1 de la loi du 31 décembre 1971 instaure un régime de confidentialité applicable aux consultations rédigées par les juristes d’entreprise. Pour bénéficier de cette protection, plusieurs conditions cumulatives doivent être réunies : le rédacteur doit être titulaire d’un master en droit et avoir suivi une formation spécifique aux règles éthiques ; la consultation doit contenir un avis ou un conseil fondé sur l’application d’une règle de droit ; elle doit être exclusivement destinée aux organes dirigeants de l’entreprise ; et enfin, elle doit porter la mention « confidentiel – consultation juridique – juriste d’entreprise », identifier son auteur et faire l’objet d’un archivage distinct.
Une fois ces conditions réunies, la consultation ne peut en principe faire l’objet d’aucune saisie ni d’aucune obligation de communication à un tiers, y compris une autorité administrative, dans le cadre de procédures civiles, commerciales ou administratives. L’entreprise conserve toutefois la possibilité de lever elle-même cette confidentialité.
Des limites importantes posées par le Conseil constitutionnel
Les Sages ont validé le dispositif tout en formulant deux réserves d’interprétation majeures qui en encadrent strictement la portée.
La première concerne les procédures administratives : le Conseil a précisé qu’une autorité administrative pourra saisir le juge des libertés et de la détention pour contester la confidentialité opposée par une entreprise, y compris en dehors d’une opération de visite. La loi, dans sa rédaction initiale, ne prévoyait cette possibilité que dans le cadre de visites sur place.
La seconde réserve porte sur les litiges civils et commerciaux : le président de la juridiction pourra ordonner la levée de la confidentialité non seulement lorsque les conditions formelles ne sont pas remplies, mais également lorsque la consultation semble avoir pour finalité de faciliter ou d’encourager une fraude.
Le texte exclut par ailleurs expressément son application en matière pénale et fiscale. Les procureurs et l’administration fiscale conservent l’intégralité de leurs pouvoirs d’investigation.
L’angle mort : la CNIL et les contrôles RGPD
C’est ici que le sujet devient particulièrement sensible pour les professionnels de la protection des données. La loi Informatique et Libertés prévoit, dans son article 19, que les agents de la CNIL peuvent obtenir communication de tous les documents nécessaires à l’accomplissement de leur mission. Le secret ne peut leur être opposé, à l’exception de trois cas limitativement énumérés : le secret professionnel applicable aux relations avocat-client, le secret des sources journalistiques et, dans certaines conditions, le secret médical.
La confidentialité des consultations des juristes d’entreprise ne figure pas parmi ces exceptions. Mais la situation est plus nuancée qu’il n’y paraît. La réserve du Conseil constitutionnel rappelle en effet que cette confidentialité ne saurait faire obstacle aux prérogatives des autorités administratives lorsqu’elles agissent dans le cadre de missions confiées par la loi. La CNIL, en tant qu’autorité administrative indépendante disposant de pouvoirs d’enquête légaux, pourrait donc être fondée à contester la confidentialité opposée par une entreprise lors d’un contrôle.
Reste une interrogation majeure : la portée exacte du mécanisme prévu par la loi. L’obligation pour l’autorité administrative de saisir un juge pour obtenir la levée de la confidentialité introduit nécessairement un délai et une lourdeur procédurale qui n’existaient pas jusqu’ici dans le cadre des contrôles CNIL. Pour une autorité habituée à accéder librement aux documents, ce filtre juridictionnel constitue un changement notable.
Le DPO interne juriste : un cumul à double tranchant
La question la plus délicate concerne le DPO interne qui cumule sa fonction avec celle de juriste d’entreprise. En théorie, une telle personne pourrait être tentée de placer l’ensemble de sa production sous le sceau de la confidentialité, rendant ainsi quasi impossible l’accès aux documents lors d’un contrôle.
Plusieurs livrables du DPO pourraient prétendre au statut de « consultation juridique » : les analyses d’impact relatives à la protection des données (AIPD), qui comportent nécessairement un avis ; les notes de position adressées au responsable de traitement en cas de violation de données ; les recommandations sur la conformité des traitements ; ou encore les avis rendus sur des projets impliquant des données personnelles.
En revanche, certains documents semblent difficilement qualifiables de « consultations » au sens de la loi : le registre des activités de traitement, qui relève d’une obligation légale de documentation ; la documentation des violations de données, qui constitue un enregistrement factuel ; le bilan annuel d’activité du DPO ; ou les procédures internes qui ne contiennent pas d’avis juridique à proprement parler.
Mais recourir systématiquement à cette protection serait profondément contradictoire avec la mission même du DPO. Le RGPD repose sur un principe fondamental de transparence. Le DPO est qualifié par la CNIL de « facilitateur » dans les échanges avec l’autorité de contrôle. Son rôle est précisément de coopérer avec la Commission, de jouer un rôle d’intermédiaire, pas de dresser des remparts procéduraux.
Une entreprise qui utiliserait massivement la confidentialité pour soustraire les travaux de son DPO au contrôle enverrait un signal désastreux en termes de conformité. Sans compter que la mention frauduleuse de la confidentialité est pénalement sanctionnée par la loi elle-même.
DPO non juriste : une espèce en voie de disparition ?
La question est légitime et mérite d’être posée sans détour. Si les entreprises réalisent qu’un DPO interne titulaire d’un master en droit peut placer ses analyses sous protection, tandis qu’un DPO non juriste ne dispose d’aucune couverture équivalente, le critère du diplôme juridique pourrait devenir un argument déterminant dans les recrutements.
Cette lecture serait toutefois réductrice. Le RGPD n’exige pas que le DPO soit juriste. L’article 37.5 du règlement européen impose qu’il soit désigné sur la base de ses « qualités professionnelles » et de ses « connaissances spécialisées du droit et des pratiques en matière de protection des données ». La certification CNIL, ouverte à tous les profils, ne requiert pas de diplôme en droit.
Surtout, la valeur ajoutée d’un DPO ne se mesure pas à sa capacité à soustraire des documents au contrôle. Elle réside dans sa compréhension opérationnelle des traitements, sa capacité à dialoguer avec les équipes techniques, sa connaissance sectorielle et son aptitude à faire vivre la conformité au quotidien. Ces compétences ne sont pas l’apanage des juristes.
Le risque serait plutôt de voir émerger une pratique consistant à adjoindre systématiquement un juriste d’entreprise à l’équipe du DPO, non pour renforcer la conformité, mais pour couvrir les livrables sensibles d’un voile de confidentialité.
Et le DPO externe ? La question du secret professionnel de l’avocat
Pour les DPO externes, la situation est différente selon leur statut. Un DPO externe consultant ne bénéficie d’aucune protection de confidentialité comparable. Il ne peut pas apposer la mention réservée aux juristes d’entreprise, et n’est pas couvert par le secret professionnel des avocats.
Le cas du DPO externe avocat est plus complexe. Le secret professionnel de l’avocat fait partie des exceptions expressément prévues par la loi Informatique et Libertés pour limiter les pouvoirs de contrôle de la CNIL. Un DPO avocat pourrait donc être tenté d’invoquer ce secret pour protéger les travaux réalisés dans le cadre de sa mission.
Mais la CNIL a rappelé dans son guide du DPO que le délégué ne peut pas représenter l’organisation qui l’a désigné, afin d’éviter tout conflit d’intérêts. Un avocat désigné comme DPO se trouve donc face à un choix : exercer pleinement son rôle d’avocat, avec le secret qui l’accompagne, mais en renonçant à se prévaloir de son mandat de DPO ; ou exercer pleinement sa mission de DPO, avec le devoir de coopération que cela implique, mais en ne pouvant opposer son secret professionnel comme moyen de défense pour son client.
Cette dualité existait avant la loi sur le legal privilege, mais le nouveau texte l’accentue en créant un niveau intermédiaire de protection qui brouille encore davantage les frontières entre conseil juridique et mission de conformité.
Le décret d’application : un rendez-vous crucial
La loi entrera en vigueur à la date fixée par décret en Conseil d’État, au plus tard dans les douze mois suivant sa promulgation. Ce décret devra notamment définir le référentiel de la formation éthique obligatoire et la composition de la commission chargée de l’élaborer.
C’est dans ce cadre réglementaire que beaucoup de questions trouveront leur réponse. La CNIL, en tant qu’autorité directement concernée par les implications du texte, dispose de leviers pour faire entendre sa voix. La question de l’articulation entre la confidentialité des consultations juridiques et les pouvoirs de contrôle prévus par le RGPD et la loi Informatique et Libertés devra être tranchée avec précision.
Les associations professionnelles de DPO ont un rôle essentiel à jouer dans ce débat. L’enjeu dépasse largement la question du diplôme ou du statut : c’est l’effectivité même du contrôle de la protection des données qui est en jeu.
Ce qu’il faut retenir
Pour les organisations, l’urgence n’est pas de chercher à « confidentialiser » les travaux du DPO. Elle est de comprendre que cette loi ne modifie en rien les obligations de conformité au RGPD, que le principe de transparence reste la pierre angulaire du système, et qu’une stratégie fondée sur l’opacité serait à la fois risquée juridiquement et contre-productive en termes de conformité.
Pour les DPO, quel que soit leur profil, cette loi est l’occasion de réaffirmer la valeur de leur mission : non pas protéger l’organisation contre les contrôles, mais la protéger par la conformité.
