Blogpost

Responsabilité en vertu du RGPD : quel est le rôle d’un avocat ?

Responsabilité en vertu du RGPD : quel est le rôle d’un avocat ?

Le Règlement Général sur la Protection des Données (RGPD) introduit divers concepts utilisés pour qualifier les acteurs impliqués dans le traitement des données personnelles. Ces concepts incluent les responsables de traitement (conjoints ou séparés), les sous-traitants et les personnes agissant sous l’autorité du responsable du traitement ou du sous-traitant.

Bien qu’ils jouent un rôle fondamental dans la gestion des responsabilités en vertu du RGPD, ces qualifications sont souvent difficiles à distinguer. C’est pourquoi le soutien d’un expert en protection des données est essentiel pour éviter les problèmes de conformité qui pourraient découler d’une mauvaise qualification.

Chez CRANIUM, grâce à notre expérience dans l’aide apportée aux entreprises de divers secteurs pour mettre en œuvre les règles du RGPD, il est devenu clair que la qualification de ces différents acteurs peut poser problème, en particulier dans les cabinets d’avocats. En effet, le statut indépendant de la fonction d’avocat soulève des doutes quant aux qualifications juridiques à adopter.

Qui est derrière ces concepts ?

Le responsable du traitement décide des éléments essentiels du traitement des données ; en d’autres termes, cette personne détermine la finalité et les moyens du traitement : le pourquoi et le comment. À ce titre, il agit en tant que responsable du traitement. Bien que le responsable du traitement puisse être une personne physique, il s’agit le plus souvent d’une personne morale. Lorsque plusieurs acteurs agissent conjointement en tant que responsables du traitement, ils sont appelés responsables conjoints du traitement.

Un sous-traitant, en revanche, traite les données personnelles pour le compte du responsable du traitement. Le sous-traitant est généralement une entité distincte agissant pour le compte de ce dernier et selon ses instructions. Dans certains cas, le responsable du traitement peut agir en tant que sous-traitant pour une autre entreprise.

Si le responsable du traitement utilise ses propres ressources (comme des logiciels et des outils marketing) au sein de son organisation, il n’y a pas de sous-traitant. Les employés ou le personnel temporaire sont alors qualifiés pour agir sous l’autorité du responsable du traitement conformément à l’article 29 du RGPD.

Comment qualifier les membres d’un cabinet d’avocats ?

Les différents membres d’un cabinet d’avocats peuvent avoir différents rôles selon l’opération de traitement spécifique, nécessitant souvent une analyse au cas par cas.

Les responsables du traitement

Lorsqu’un avocat représente un client dans un litige et gère une affaire, des questions peuvent se poser quant à savoir si l’avocat agit en tant que responsable du traitement ou en tant que sous-traitant lié à l’affaire. Le CEPD (conformément au Groupe de travail Article 29) a traité cette question dans ses Lignes directrices 07/2020 sur les concepts de responsable du traitement et de sous-traitant dans le RGPD :

« La raison pour laquelle les données personnelles sont traitées est le mandat du cabinet d’avocats de représenter le client devant le tribunal. Ce mandat n’est cependant pas spécifiquement destiné au traitement des données personnelles. Le cabinet d’avocats agit avec un degré d’indépendance significatif, par exemple en décidant quelles informations utiliser et comment les utiliser, et il n’y a pas d’instructions de la part de l’entreprise cliente concernant le traitement des données personnelles. Le traitement effectué par le cabinet d’avocats pour remplir sa mission de représentant légal de l’entreprise est donc lié au rôle fonctionnel du cabinet, de sorte qu’il doit être considéré comme responsable du traitement pour ce traitement. »

Par conséquent, le cabinet d’avocats, dans ses relations avec les clients, doit être considéré comme le responsable du traitement des données personnelles.

En réalité, un cabinet d’avocats regroupe plusieurs avocats qui agissent séparément et ont un statut indépendant. Avons-nous donc affaire à un ou plusieurs responsables du traitement ?

Lorsqu’un cabinet d’avocats utilise un logiciel qui centralise les comptes des avocats, le cabinet sera responsable du traitement des données personnelles contenues dans le logiciel. Dans ce cas, le cabinet décide de l’accès, de la catégorisation et de la durée de conservation des dossiers.

En même temps, chaque avocat gère ses comptes de manière autonome, ce qui les rend responsables du traitement lorsqu’ils traitent des données personnelles dans le cadre de la préparation d’un dossier de défense ou de la rédaction d’un document procédural. Pour les avocats travaillant sous l’instruction d’un chef de département, la qualification en tant que responsable du traitement peut être discutée en fonction de la latitude dont dispose l’avocat dans la gestion des affaires dans lesquelles il est impliqué.

Les sous-traitants

Un cabinet d’avocats utilise presque toujours des sous-traitants, par exemple lorsqu’il utilise un logiciel de gestion pour les professionnels du droit.

Cependant, la question se pose de savoir si un avocat peut être un sous-traitant au sens du RGPD. L’indépendance de la profession juridique (article 444 du Code judiciaire) rend exceptionnel qu’un avocat soit considéré comme un sous-traitant.

Par exemple, un avocat peut être considéré comme tel lorsqu’il se voit confier un dossier à plaider par un collègue, à la stricte condition qu’il reste dans le cadre des instructions données par ce collègue.

En 2011, la CNIL a également considéré qu’un avocat intervenant dans un audit basé sur des instructions strictement définies par ses clients pouvait être considéré comme un sous-traitant.

Les personnes agissant sous l’autorité du responsable du traitement

Il ne fait guère de doute qu’une secrétaire ou une assistante juridique soit qualifiée comme telle, puisqu’elle traite des données personnelles dans le cadre d’un contrat de travail, au sein de l’entité du responsable du traitement, c’est-à-dire le cabinet d’avocats, et sous son autorité. Ces employés sont donc qualifiés de personnes agissant sous l’autorité du responsable du traitement.

L’analyse au cas par cas

Un cas qui soulève de nombreuses questions est la qualification du rôle du stagiaire avocat. Est-ce celui d’un responsable du traitement distinct, d’un sous-traitant qui suit les instructions de son responsable ou celui d’une personne agissant sous l’autorité du responsable du traitement ?

Bien que formellement soumis à l’obligation d’indépendance, comme tout avocat, la réalité pour les stagiaires est souvent différente. Encore une fois, la qualification dépend du cas. Certains stagiaires agissent avec plus de liberté que d’autres dans leurs activités quotidiennes, tout en étant plus ou moins étroitement supervisés.

Par conséquent, pour déterminer les rôles, il est important d’analyser les faits, c’est-à-dire quel acteur définit la finalité et les moyens du traitement. Il est possible qu’un même acteur ait plusieurs rôles, selon l’activité de traitement qu’il exerce.

Clauses contractuelles

L’existence de clauses contractuelles n’est pas en soi déterminante pour qualifier les rôles des parties. Cependant, ces clauses peuvent aider à identifier le responsable du traitement, à condition que le contrat reflète fidèlement la réalité sur le terrain.

Quelles sont les conséquences de l’attribution de certains rôles ?

L’attribution des rôles détermine les responsabilités de chaque partie en matière de conformité au règlement, ainsi que la manière dont les personnes concernées peuvent exercer leurs droits. En effet, le responsable du traitement et le sous-traitant n’ont pas les mêmes obligations en vertu du RGPD.

De plus, tout traitement de données personnelles par un sous-traitant doit être régi par un contrat ou un autre acte juridique établi par écrit et incluant les éléments énumérés à l’article 28 du RGPD. Selon l’article 29 du RGPD, les personnes agissant sous l’autorité du responsable du traitement ou du sous-traitant doivent également suivre les instructions du responsable du traitement ou du sous-traitant, bien qu’il ne soit pas nécessaire que la relation soit formalisée par un contrat spécifique.

Partager ceci :

Écrit par

Aucun résultat n'a été trouvé.

Hi ! Comment pouvons-nous vous aider ?

Vous avez besoin d’un responsable interne de la protection de la vie privée ou d’un DPD externe ? Prenez contact avec nous et nous chercherons ensemble la meilleure solution.