RGPD en cabinet d'avocats : les 7 obligations concrètes.
- Le RGPD s'applique intégralement aux cabinets d'avocats — le secret professionnel n'y déroge pas, il s'y ajoute.
- 7 obligations concrètes : registre des traitements, mentions d'information, consentement / base légale, DPO le cas échéant, contrats sous-traitants, sécurité, gestion des droits des personnes.
- Les sanctions CNIL peuvent atteindre 20 M€ ou 4 % du CA, mais les sanctions applicables concrètement aux cabinets restent à des niveaux plus modestes.
- Au-delà des sanctions, le risque réputationnel en cas de fuite de données sensibles est très significatif.
Depuis 2018, le RGPD impose à toutes les organisations qui traitent des données personnelles un cadre de conformité. Les cabinets d'avocats sont particulièrement concernés : ils manipulent des données très sensibles (familiales, pénales, médicales, financières), avec une forte attente de confidentialité. Voici la check-list sans jargon.
1. Tenir un registre des traitements
Obligation centrale. Le registre recense tous les traitements de données personnelles effectués par le cabinet : gestion des dossiers clients, facturation, RH, newsletter, vidéosurveillance, etc.
Pour chaque traitement, le registre indique :
- Finalité (pourquoi on traite).
- Catégories de données (identité, coordonnées, données financières, données sensibles).
- Catégories de personnes concernées (clients, adversaires, collaborateurs, fournisseurs).
- Destinataires (parties, juridictions, experts, sous-traitants IT).
- Durée de conservation.
- Mesures de sécurité.
Un modèle simplifié CNIL est disponible gratuitement en ligne. Comptez 2 à 3 heures pour le compléter pour un petit cabinet.
2. Informer les personnes concernées
À chaque collecte de données (nouveau client, nouveau collaborateur, contact via le site web), une mention d'information doit être délivrée. Elle contient l'identité du responsable, la finalité, la base légale, les destinataires, la durée de conservation, les droits.
Pratique recommandée : une notice RGPD standard remise avec la convention d'honoraires au client, une politique de confidentialité publiée sur le site du cabinet, et une clause dans les contrats collaborateurs.
3. Identifier la base légale de chaque traitement
Six bases légales possibles (art. 6 RGPD). Pour un cabinet d'avocats, les principales :
- Exécution du contrat — pour le traitement des données du client dans le cadre de la mission.
- Obligation légale — pour l'archivage fiscal, la déclaration de créance, les obligations déontologiques.
- Intérêt légitime — pour certains traitements marketing limités (prospection douce auprès de clients existants).
- Consentement — pour la newsletter, les cookies non essentiels.
Le consentement est rarement la bonne base pour les données des clients du cabinet : l'exécution du contrat suffit. Inversement, pour la newsletter, consentement requis — case à cocher non pré-cochée.
4. Désigner un DPO si nécessaire
Le DPO (Délégué à la Protection des Données) est obligatoire dans trois cas : autorité publique, traitement à grande échelle et systématique, traitement à grande échelle de données sensibles ou pénales. La plupart des petits cabinets n'y sont pas tenus, mais beaucoup de cabinets moyens / grands (à partir de 15-20 personnes, ou traitant du pénal, du médical en matière de responsabilité) le désignent par précaution.
Le DPO peut être interne ou externalisé (prestataire mutualisé). Il doit être enregistré auprès de la CNIL.
5. Encadrer les sous-traitants
Tous les prestataires qui traitent des données personnelles pour votre compte doivent être encadrés par un contrat conforme à l'article 28 RGPD : hébergeur, éditeur logiciel, cabinet comptable, prestataire de sauvegarde, messagerie, service de signature électronique.
Points à vérifier :
- Localisation des serveurs — idéalement UE, avec des garanties renforcées hors UE (clauses contractuelles types, etc.).
- Clauses de sécurité — chiffrement, traçabilité des accès, gestion des incidents.
- Sous-traitance ultérieure — le sous-traitant ne peut recourir à un sous-sous-traitant sans votre autorisation.
- Assistance en cas de demande d'un client (droit d'accès, d'effacement, etc.).
6. Assurer la sécurité des données
Obligation de « mesures techniques et organisationnelles appropriées ». Concrètement :
- Mots de passe robustes, MFA sur toutes les apps sensibles (messagerie, logiciel métier, comptabilité).
- Chiffrement des sauvegardes et des appareils mobiles.
- Politique de purge des anciens postes avant recyclage.
- Mises à jour régulières des OS et logiciels.
- Formation annuelle des collaborateurs au phishing et à l'hygiène numérique.
- Procédure de violation : en cas de fuite, notification à la CNIL sous 72 heures.
7. Gérer les droits des personnes
Tout client (actuel, ancien, adversaire !) peut exercer ses droits : accès, rectification, effacement, limitation, portabilité, opposition. Le cabinet doit répondre sous 1 mois, prolongeable de 2 mois en cas de complexité.
Pour les avocats, une limite particulière : l'effacement peut être refusé s'il entre en conflit avec l'obligation de conservation (archivage fiscal 10 ans, secret professionnel, exercice d'un droit en justice). Motiver la réponse.
Le rôle d'un logiciel conforme
Kler est hébergé en France sur AWS Paris, chiffre les données au repos et en transit, journalise les accès, et propose un export structuré pour satisfaire les demandes de portabilité client. Les durées de conservation sont paramétrables par catégorie de données, et le cabinet peut purger d'un clic un dossier clôturé depuis plus de 10 ans — en conservant les factures associées pour la conformité fiscale.
Un logiciel conforme dès le premier jour.
Hébergement France AWS Paris, chiffrement, journalisation, purge pilotée. Kler est compatible RGPD par conception.
Questions fréquentes
Le cabinet doit-il nommer un DPO ?
Obligatoire en cas de traitement à grande échelle de données sensibles ou pénales. Recommandé pour les autres.
Le secret professionnel dispense-t-il du RGPD ?
Non, les deux régimes se cumulent et s'appliquent simultanément.
Combien de temps conserver les dossiers clôturés ?
10 ans à compter de la clôture, en cohérence avec l'archivage fiscal et la prescription de responsabilité professionnelle.
Sources et références
- Règlement (UE) 2016/679 (RGPD) — texte officiel
- CNIL — autorité de contrôle française
- CNIL — guide sous-traitants (article 28 RGPD)
- CNIL — espace dédié aux avocats
- Loi n° 2018-493 du 20 juin 2018 (Informatique et libertés modifiée)
Cet article a vocation pédagogique et ne constitue pas un avis juridique. Pour une situation précise, se référer aux textes en vigueur ou consulter un confrère spécialisé.
Maxime conçoit Kler avec des cabinets d'avocats pilotes pour résoudre les frictions opérationnelles du quotidien : gestion des dossiers, interventions, facturation électronique, conventions et pilotage. Articles co-rédigés à partir des retours terrain.
LinkedIn →