31 Mar 2017 | Avocats, Général, Nouveauté

Privacy- Les cabinets d’avocats aussi doivent se préparer au grand GDPR (1re partie)

Par Jubel

Opgelet: dit artikel werd gepubliceerd op 31/03/2017 en kan daardoor verouderde informatie bevatten.

La protection des données personnelles est réglementée en Belgique par la loi du 8 décembre 1992 relative à la protection des données personnelles. Cette loi est la transposition belge d’une directive européenne datant de 1995. L’Europe s’est, récemment, dotée d’un Règlement (appelé General Data Protection Regulation ou GDPR) ayant pour objectif de mettre à jour les règles en la matière. Puisqu’il s’agit d’un Règlement, les Etats membres ne devront pas le transposer dans leur droit national. Le Règlement entrera en vigueur le 25 mai 2018. Les cabinets d’avocats, puisqu’ils réalisent aussi des traitements de données personnelles (de leurs clients, de leur personnel, de leurs fournisseurs, etc.), sont aussi concernés par le GDPR. Voyons pourquoi et comment.

Un Règlement plutôt qu’une directive

Le Règlement, dont la proposition de texte date de 2012 et qui a été publié en avril 2016 au Journal Officiel de l’Union Européenne, est le fruit de nombreux compromis. Il s’agit du texte législatif européen qui a eu le plus de propositions d’amendements. En effet, depuis internet et les succès fulgurant de Google, Facebook, Twitter et des différents réseaux sociaux, la gestion et la valorisation des données personnelles sont devenues essentielles. Et une véritable mine d’or.

Une donnée personnelle est définie comme « toute information se rapportant à une personne physique identifiée ou identifiable ».

Sont considérés comme des données personnelles les noms et prénoms des clients du cabinet, leur adresse (physique et électronique), leur numéro de téléphone, etc. Sachez que même l’adresse IP de votre ordinateur est une donnée personnelle et cela suite à une récente décision jurisprudentielle européenne. Chaque fois que le cabinet traite (càd collecte, enregistre, conserve, modifie, utilise, etc.) des données personnelles relatives à ses clients, il doit tenir compte des règles qui protègent le titulaire de ces données autrement dit ici les clients du cabinet d’avocats.

Quelles sont les points à retenir du GDPR pour les cabinets d’avocats ?

Le cabinet doit déjà, rappelons-le, respecter la loi du 8 décembre 1992. Le GDPR n’est pas une révolution des principes existants mais plutôt une évolution en la matière même si, à la différence des règlements européens habituels, ils laissent parfois aux Etats membres la possibilité de préciser plusieurs de ses dispositions.

Tout traitement de données personnelles doit se réaliser sur la base d’un fondement juridique. Pour l’instant, ces fondements se retrouvent à l’actuel article 5 de la loi du 8 décembre 1992. Passons en revue les fondements juridiques qui permettent le traitement des données personnelles des clients d’un cabinet d’avocats.

Le consentement

Les cabinets peuvent traiter les données personnelles dans le cas où la personne concernée a indubitablement donné son consentement. Lorsque le GDP entrera en vigueur en 2018, ce sera toujours le cas. Avec toutefois quelques précisions supplémentaires.

En effet, le cabinet devra pouvoir démontrer à tout moment (en cas de demande de renseignement de la part de la Commission Vie privée par exemple) qu’il a bien obtenu le consentement de la personne concernée. Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande du consentement devra être présentée sous une forme qui la distingue clairement de ces autres questions. La demande de consentement devra aussi être exprimée sous une forme compréhensible et aisément accessible, et surtout formulée en des termes clairs et simples.

Au moment de déterminer si le consentement est donné librement, il y aura lieu de tenir compte de la question de savoir, entre autres, si l’exécution du contrat du client avec le cabinet n’a pas été subordonnée ou conditionnée au consentement par le client à un ou des traitements futurs de ses données à caractère personnel par le cabinet, traitement(s) qui n’est/sont pas forcément nécessaire(s) à l’exécution dudit contrat.

Traitements nécessaires à l’exécution du contrat avec le cabinet

Les cabinets peuvent aussi traiter les données personnelles si ces traitements sont nécessaires à l’exécution d’un contrat que la personne concernée a signé avec les cabinets ou à l’exécution de mesures précontractuelles prises à la demande de la personne concernée. Cette possibilité n’est pas modifiée par le GDPR.

Traitements nécessaires au respect d’un obligation légale

Les cabinets sont aussi obligés de traiter certaines données personnelles lorsque ces derniers sont nécessaires au respect d’une obligation légale comme une demande policière ou judiciaire. Pareillement, ce point n’est nullement modifié par le Règlement de 2016.

Traitements nécessaires à la sauvegarde de l’intérêt vital du client

Le traitement est actuellement autorisé lorsqu’il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée. Ou « d’une autre personne physique » vient juste préciser le Règlement européen.

Traitements nécessaires pour l’intérêt légitime du cabinet

Les cabinets pourront aussi traiter les données personnelles lorsque ces traitements sont nécessaires à « la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le tiers auquel les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée. ». Cette possibilité existe toujours dans le Règlement.

 

Axel Beelen (www.ipnews.be)

Restez au courant

S’abonner à la newsletter

0 Commentaires

0 commentaires

Soumettre un commentaire

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.