Les cabinets d’avocats aussi doivent respecter la réglementation relative à la protection des données puisqu’ils réalisent aussi des traitements de données personnelles (de leurs clients, de leur personnel, de leurs fournisseurs, etc.). Nous avons analysé dans un premier texte les différents fondements juridiques qui permettent/permettront au cabinet de traiter les données personnelles de ses clients. Le Règlement général européen en matière de protection des données personnelles oblige les cabinets à nommer, dans certaines circonstances, un Data Protection Officer. Voyons pourquoi et les différentes activités de ce DPO.
Obligation de parfois nommer un DPO
Une des nouveautés les plus importantes du Règlement européen est l’obligation de nommer, dans certaines circonstances, un délégué à la protection des données (un Data Protection Officer (DPO)) qui chapeautera la conformité par le cabinet de ses droits et obligations issues du GDPR (General Data Protection Regulation).
Tous les cabinets n’auront pas l’obligation de nommer un DPO. Les cabinets n’en auront l’obligation que si :
- les activités de traitement de données personnelles des clients du cabinet par celui-ci sont une de ses « activités de base » , une de ses activités principales ;
- les traitements en question ne sont pas anecdotiques mais « consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ».
On le voit, l’examen sera à réaliser cabinet par cabinet. Est-ce que votre cabinet réalise des traitements de données personnelles qui du fait de leur nature, de leur portée et/ou de leurs finalités exigent un suivi régulier et systématique à grande échelle des personnes concernées par les traitements ?
Si la réponse est positive, le cabinet aura l’obligation (il n’en aura plus le choix comme jusqu’à présent) de nommer un DPO. Si tel n’est pas le cas, le cabinet peut en nommer un. Toutefois, vu les conséquences de la nomination d’un DPO pour une société, il serait peut-être préférable, si la société n’a pas l’obligation de nommer un DPO, qu’elle nomme une personne qui aura la responsabilité de veiller à la conformité au GDPR de ses activités mais qui ne portera pas le titre de DPO. Car sinon, dès qu’il portera le titre, la société devra satisfaire à toutes les obligations liées au DPO issues du GDPR.
Les conséquences de la nomination d’un DPO
Justement, voyons maintenant, quelles sont les conséquences de la nomination pour un cabinet d’un DPO.
Il est utile de savoir que le cabinet d’avocats peut nommer, comme DPO, un des membres de son personnel mais aussi qu’il peut faire appel à une personne externe qui exrcera la fonction de DPO sur la base d’un contrat de service. Le cabinet devra publier sur son site web les coordonnées de son DPO. Il devra communiquer les coordonnées de son DPO à l’autorité de contrôle, autrement dit chez nous à la Commission Vie Privée. Dans le cas où le DPO est un employé du cabinet, il pourra aussi exercer d’autres missions et tâches en dehors de ses activités de DPO. Toutefois, le cabinet devra veiller à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts avec son indépendance en tant que DPO.
Le DPO doit être associé à toutes les questions du cabinet qui sont relatives à la protection des données à caractère personnel. Le cabinet devra fournir au DPO toutes les ressources nécessaires pour exercer ses missions. La personne en question devra avoir toujours accès aux données à caractère personnel et aux opérations de traitement, et, la matière évoluant constamment, il devra avoir la possibilité d’entretenir ses connaissances sur le sujet.
L’indépendance du DPO
Le cabinet d’avocats devra veiller à ce que le DPO ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le DPO devra donc agir de manière totalement indépendante (tout en étant parfois un membre du personnel et donc soumis à des règles de travail comme un horaire). Pour garantir son indépendance, le GDPR prévoit qu’il ne pourra pas être relevé de ses fonctions ou pénalisé par le cabinet qui l’emploit pour l’exercice de ses missions de DPO. Il devra faire rapport au niveau le plus élevé de la direction du cabinet.
Les tâches du DPO d’un cabinet d’avocats
Les missions du DPO sont décrites à l’article 39 du GDPR. Elles sont (au moins) les suivantes:
a) informer et conseiller le cabinet ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du GDPR (awareness);
b) contrôler le respect des règles qui existent en matière de protection des données personnelles (dont le GDPR) par le cabinet, y compris en ce qui concerne la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant (monitoring);
c) dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci. Le cabinet devra réaliser une analyse d’impact dans le cas où un traitement envisagé, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques;
d) coopérer avec la Commission Vie Privée;
e) faire office de point de contact pour la Commission Vie Privée les questions relatives au traitement.
Axel Beelen
0 commentaires