Obligations RGPD de l'avocat et secret professionnel : des exigences contradictoires?

 
edited.jpg
 
 

Permettez-moi de revenir aujourd’hui sur un sujet que j’ai déjà eu l’occasion d’aborder à plusieurs reprises (notamment à la RFDA et la RDUE), mais non moins intéressant : la question de la nécessaire conciliation entre le secret professionnel de l’avocat et les exigences du RGPD, notamment celles de transparence et celles relatives à l’exercice des droits des intéressés.

Cela n’a échappé à personne, la profession d’avocat est concernée par le règlement européen, au même titre que toutes les autres professions libérales d’ailleurs… Cela est d’autant plus vrai que les avocats sont souvent amenés à traiter des données personnelles sensibles à l’instar des médecins, de même que des données relatives à des condamnations pénales (articles 9 et 10 du RGPD).

Toutefois, a-t-on encore bien mesuré l’ampleur de l’impact qu’est susceptible d’avoir ce texte sur la profession ?

En effet, l’application des règles du RGPD à la profession est particulièrement problématique, en raison, notamment, de l’existence du secret professionnel, qui couvre l’ensemble des échanges entre l’avocat et son client (article 2 du RIN), lesquels échanges peuvent, bien sûr porter sur un large gamme de données. Bien qu’il serait tout à fait faux d’affirmer que le législateur de l’Union européenne a totalement méconnu un tel secret, force est de constater que la cohabitation entre les obligations qu’il implique et celles nées du RGPD est loin d’être évidente.

Les questions soulevées par l’application du RGPD à la profession d’avocat, et les réponses apportées par ce texte

Les contraintes RGPD: des obligations qui s’appliquent à la profession, quel que soit le type de pratique

Il est important de rappeler, tout d’abord que les avocats sont tous concernés par l’application du RGPD, quel que soit le type de leur structure et sa taille, ce texte n’ayant d’ailleurs prévu que peu de ventilation en fonction de ces critères.

En effet, dès lors qu’un cabinet d’avocat, même de petite taille, traite des données personnelles sensibles (relatives à la santé notamment, à l’appartenance syndicale, aux opinions politiques ou religieuses à l’orientation sexuelle, ou des données biométriques) ou des données relatives à des condamnations pénales, il ne peut se voir appliquer l’exception à l’obligation de tenir des registres de traitement formalisés, pourtant offerte aux structures de moins de 250 employés (article 30.5 du RGPD). De même, si l’on peut supposer que les plus petites structures échapperont à l’obligation de désigner un délégué à la protection des données ou DPO, il n’en va pas ainsi des cabinets qui procèdent au traitement, à grande échelle, de ces mêmes donnée sensibles, ou relatives à des condamnations pénales (article 37.1 du RGPD) – reste d’ailleurs à préciser ce que l’on entend par « grande échelle »…

Des obligations de transparence et de respect des droits des intéressés particulièrement problématiques au regard des obligations déontologiques de secret

Parmi les obligations en matière de protection des données personnelles auxquelles sont soumis les avocats, les obligations de transparence (article 13 et 14 du RGPD), et celles relatives à l’exercice des droits des intéressés (articles 15 à 23 du RGPD) apparaissent particulièrement problématiques au regard des exigences de secret professionnel.

En effet, les données personnelles dont il  est question dans la pratique de l’avocat concernent, bien sûr, les clients de celui-ci, mais également tous les tiers dont l’identité, ainsi qu’un large éventail d’informations personnelles, sont susceptibles d’être versées aux dossiers.

Dès lors, on peut craindre que ces tiers ne se saisissent un jour des droits qui leur sont offerts par le règlement européen, et ne les revendiquent, ce qui placera les avocats dans un dilemme particulièrement embarrassant: respecter à la lettre les obligations du RGPD et risquer de violer le secret professionnel… ou à l’inverse faire prévaloir le secret au risque de violer le RGPD…

Une prise en compte du secret professionnel dans le RGPD

Certes, il est tout à fait faux d’affirmer que le Règlement européen a totalement méconnu l’existence du secret professionnel. Le RGPD a prévu un certain nombre de garanties minimales, propres à en assurer l’exercice. Ainsi, l’article 14.5 d° de ce texte fait heureusement exception à l’obligation d’information en cas de collecte indirecte, et permet à l’avocat qui s’est vu communiquer des informations personnelles sur un tiers par l’intermédiaire son client de ne pas délivrer à ce tiers toutes les informations exigées par l’article 14.1 et 14.2 du RGPD: notamment les finalités du traitement auquel sont destinées les données à caractère personnel, sa base juridique, les catégories de données à caractère personnel concernées, les destinataires ou les catégories de destinataires des données, ou bien encore, la source d’où elles proviennent. En effet, le contraire eût confronté l’avocat désireux de respecter la lettre de l’article 14 précité à un risque majeur de violation du secret, de telles informations, qui touchent au fond des échanges entre l’avocat et son client étant potentiellement couvertes par celui-ci.

De même, en vertu de l’article 17.3 e° du règlement, le droit à l’effacement des données, ou « droit à l’oubli » trouve une limite lorsque les données sont nécessaires à la constatation, à l'exercice ou à la défense de droits en justice.

Enfin, l’on peut raisonnablement penser que cette même nécessité de la défense des droits en justice constituera un intérêt légitime impérieux prévalant sur le droit d’opposition des intéressés (article 21.1 du RGPD).

Vers une meilleure affirmation des spécificités de la profession d’avocat dans le corpus RGPD

Les insuffisances du RGPD en matière de prise en compte du secret professionnel

Toutefois, est-on certain que cette prise en compte soit suffisante ?

En effet, tout d’abord, l’exception précitée à l’obligation d’information tirée de l’article 14.5 d° n’est applicable qu’en cas de collecte indirecte, lorsque l’avocat s’est vu communiquer les données personnelles concernant l’intéressé par l’intermédiaire d’un tiers, par exemple son client, ou l’avocat de la partie adverse. Or, il peut arriver que l’avocat se voit confier des données personnelles directement par la partie adverse, dans le cadre du débat contradictoire. Dans un tel cas, il pourrait être tenu de souscrire à l’obligation d’information…

Ensuite, si le droit à l’effacement, ou droit à l’oubli connaît effectivement une exception dans le cas des données qui sont nécessaire à la défense d’intérêts en justice, les autres droits offerts aux intéressés en application du RGPD ne connaissent pas de telles limites. Ainsi, théoriquement, le droit d’accès aux données personnelles détenues par un avocat trouve pleinement à s’appliquer au bénéfice de quiconque (article 15 du RGPD), de même que le droit à la rectification (article 16 du RGPD), le droit à la limitation du traitement (article 18 du RGPD), ou bien encore le droit à la portabilité des données (article 20 du RGPD).

Au-delà du caractère particulièrement contraignant, et potentiellement abusif de telles demandes, tendant à l’exercice des droits RGPD – l’on peut d’ailleurs légitimement se demander si une telle possibilité ne pourra pas faire l’objet d’un usage détourné à des fins dilatoires, de la part de la partie adverse en cas de contentieux – la possibilité, pour l’avocat, d’y donner suite, tout en respectant ses obligations déontologiques de secret est loin d’aller de soi. En effet, comme on l’a vu avec l’article 14, l’on peut se demander si les jeux de données exigés au titre de l’article 15 du RGPD ne toucheront pas des informations tenant au fond du dossier, et couvertes par le secret professionnel, ce qui placera effectivement l’avocat dans le dilemme dont il a précédemment été question (article 15 du RGPD).

Les autres contraintes RGPD s’appliquant à la profession

La problématique du secret professionnel n’est pas le seul point de friction qui pourrait apparaître entre les obligations RGPD et les spécificités de la profession d’avocat. Dans le même domaine, l’on peut encore penser à la non moins épineuse question des durées de conservation. L’on sait en effet que, dans le sillage du règlement européen, la CNIL n’a pas manqué de renforcer ses exigences tenant à la limitation de ces durées de conservation des données en base active, puis en base d’archivage intermédiaire.

Or, de telles exigences de limitation se marient mal avec les règles de prescription en matière de responsabilité civile professionnelle de l’avocat (voir notamment Cass, 1ère civ, 14 janvier 2016, n°14-23.200)…

De la même manière, en tant que Responsable du traitement, l’avocat se voit désormais tenu responsable de toute violation des règles de protection des données… tant sur le plan civil que pénal.

***

Face aux difficultés d’interprétation précédemment évoquées, l’on espère que les institutions ordinales pourront apporter des éclaircissements sur la façon dont les obligations RGPD peuvent être conciliées avec les obligations déontologiques de la profession. En particulier, il serait souhaitable de préciser la manière dont les avocats peuvent et doivent donner satisfaction aux demandes d’exercice du droit à l’accès aux données, ainsi qu'à leurs obligations en matière de transparence, sans méconnaître le secret professionnel: faut-il vraiment livrer d’emblée à l’intéressé les éléments exigés par les articles 14 et 15 RGPD? Si tel est le cas, ne faut-il pas, a minima, en avertir le client? — qui d’ailleurs est lui-aussi concerné par ces données…

Si l’on peut saluer l’initiative du guide RGPD proposé par le Conseil national des barreaux français, force est de constater que ce document, qui reprend d’une façon assez générale les obligations RGPD est encore loin d’apporter toutes les réponses attendues.

A ce titre, le code de conduite, dont il a été question dans un précédent article, pourrait fournir un outil intéressant permettant d’établir des règles harmonisées de conciliation entre le secret professionnel et les obligations RGPD s’appliquant à la profession d’avocat.

Reste aux institutions ordinales de se saisir de cet instrument…

Sur le même thème

 
Mis en avant
Le secret professionnel dans le règlement général sur la protection des données
Le secret professionnel dans le règlement général sur la protection des données

Article paru à la Revue française de droit administratif (RFDA), Dalloz, 2018, n°6 (novembre-décembre)

"RGPD : les avantages du recours à un délégué à la protection des données externalisé ? "
"RGPD : les avantages du recours à un délégué à la protection des données externalisé ? "

Article paru dans Le Journal du management juridique, n°67, novembre-décembre 2018, éditions du Village de la justice

RGPD et secret professionnel des avocats
RGPD et secret professionnel des avocats

Article paru à la Revue du droit de l’Union européenne (RDUE), Clément Juglar, 2018, n°1 (janvier-mars)

RGPD, avocatsAlexis DeroudilleRGPD, secret professionnel, avocats