Les avocats sont soumis a un double imperatif : le respect du secret professionnel, pilier de leur deontologie, et la conformite au RGPD pour la protection des donnees personnelles de leurs clients. Ces deux obligations, loin de s’opposer, se renforcent mutuellement. Le cabinet d’avocat traite quotidiennement des informations hautement confidentielles qui necessitent des mesures de protection adaptees.
Les donnees personnelles traitees par un cabinet d’avocat
Un cabinet d’avocat collecte et traite de nombreuses categories de donnees personnelles. Les dossiers clients contiennent des informations d’identite, des coordonnees, des elements relatifs a la situation familiale, patrimoniale ou professionnelle, ainsi que des pieces de procedure. Selon le domaine de specialisation, le cabinet peut traiter des donnees sensibles : condamnations penales, opinions politiques (droit electoral), donnees de sante (droit du dommage corporel), appartenance syndicale (droit du travail).
Au-dela des dossiers contentieux, le cabinet traite aussi des donnees dans le cadre de sa gestion interne : fichier clients et prospects, facturation, comptabilite, gestion du personnel (collaborateurs, secretaires, stagiaires). Chacun de ces traitements entre dans le champ d’application du RGPD.
Secret professionnel et RGPD : deux protections complementaires
Le secret professionnel de l’avocat, garanti par l’article 66-5 de la loi du 31 decembre 1971, protege l’ensemble des echanges entre l’avocat et son client. Le RGPD ajoute une couche de protection supplementaire en encadrant la collecte, le traitement et la conservation de ces donnees. L’avocat peut invoquer le secret professionnel pour refuser de communiquer certaines informations, y compris dans le cadre de l’exercice du droit d’acces d’un tiers.
Le Conseil national des barreaux (CNB) a publie un guide pratique pour accompagner les avocats dans leur mise en conformite, soulignant que le RGPD ne remet pas en cause le secret professionnel mais impose des obligations supplementaires de securisation et de transparence envers les clients.
Obligations specifiques des cabinets d’avocats
Chaque cabinet doit tenir un registre des traitements listant l’ensemble des operations realisees sur les donnees personnelles. Les principales finalites a documenter sont : gestion des dossiers clients, facturation et recouvrement, prospection commerciale, gestion du personnel, lutte contre le blanchiment (obligations Tracfin) et archivage.
L’information des clients est obligatoire. Lors de l’ouverture d’un dossier, le client doit etre informe des traitements realises sur ses donnees, des destinataires eventuels et de ses droits. Cette information peut etre integree dans la convention d’honoraires ou dans un document separe remis au client.
Les cabinets de plus de 250 salaries ou traitant regulierement des donnees sensibles a grande echelle doivent designer un DPO. Mais meme pour les cabinets de taille plus modeste, la designation d’un referent RGPD est vivement recommandee par les instances ordinales.
Securite des donnees et outils numeriques
La securite des donnees est un enjeu crucial pour les cabinets d’avocats. Les dossiers numeriques doivent etre proteges par un chiffrement adapte, les acces limites aux seules personnes habilitees et les sauvegardes realisees regulierement. L’utilisation de solutions cloud pour le stockage des dossiers impose de verifier la localisation des serveurs et les garanties du prestataire en matiere de confidentialite.
Les communications electroniques avec les clients meritent une attention particuliere. L’envoi de documents sensibles par e-mail non chiffre presente des risques. Le recours a des plateformes d’echange securisees ou au RPVA (Reseau Prive Virtuel Avocat) est recommande pour les transmissions les plus sensibles.
En cas de violation de donnees (piratage, ransomware, perte de materiel), le cabinet doit notifier la CNIL dans les 72 heures et, si le risque est eleve, informer les clients concernes. Le batonnier doit egalement etre prevenu en cas d’atteinte au secret professionnel.
Sous-traitants et transferts de donnees
Les cabinets d’avocats collaborent avec de nombreux sous-traitants : editeurs de logiciels de gestion de cabinet, prestataires d’hebergement, societes de nettoyage de donnees, experts-comptables, traducteurs. Chaque sous-traitant ayant acces a des donnees personnelles doit etre lie par un contrat conforme a l’article 28 du RGPD, incluant des clauses de confidentialite renforcees compte tenu du secret professionnel.
Durees de conservation et archivage
Les durees de conservation des dossiers d’avocats sont encadrees par les regles deontologiques et les delais de prescription. Les dossiers cloturs sont generalement conserves cinq ans apres la fin de la mission, mais cette duree peut varier selon la nature de l’affaire. Les pieces comptables doivent etre conservees dix ans. A l’issue de ces delais, les dossiers doivent etre detruits de maniere securisee.
