L’actualité se télescope parfois avec des changements de réglementation ! Le scandale Cambridge Analytics / Facebook de détournement de données personnelles est là pour nous le rappeler. Le RGPD pourrait bien être une réforme majeure non seulement pour la localisation des données, mais aussi pour la protection des utilisateurs (c’est-à-dire vous et moi). Pour l’instant néanmoins, il s’agit d’un chantier compliqué pour toutes les entreprises, notamment les cabinets d’avocats.
Le RGPD en bref
Le Règlement Général pour la Protection des Données (RGPD) est un règlement européen voté en 2016. Il entre en vigueur au sein des Etats-membres le 25 mai 2018.
Le RGPD concerne tous les organismes privés ou publics qui sont amenés à collecter et traiter des données de résidents de l’U.E. dites personnelles, voire sensibles.
Les données personnelles comprennent vos coordonnées personnelles ou professionnelles, habitudes de vie, données économiques et financières, données de connexion et géolocalisation. Les données dites sensibles sont relatives à vos origines ethniques, convictions religieuses, opinions politiques, appartenance syndicale, génétique, biométrie, santé, condamnations pénales et numéro d’identification national.
Dans un contexte dématérialisation et de décentralisation des données, le RGPD a pour objectif de garantir la sécurité et la confidentialité de vos données et celles de vos clients.
Quels impacts pour votre cabinet ?
En tant qu’avocat, vous êtes amené à collecter et traiter des données à la fois personnelles et sensibles. A ce titre, vous êtes dans l’obligation d’être en conformité avec le RGPD. Cela implique de désigner un Data Protection Officer, collecter un minimum de données personnelles, garantir les droits de vos clients concernant leurs données, faire un audit de vos systèmes internes en terme de sécurité et confidentialité ou vous assurez que vos éventuels sous-traitants soient en conformité avec le RGPD (cf. Se préparer en 6 étapes-CNIL).
Vos obligations dépendent aussi de votre rôle dans le traitement des données. En effet, il y a une distinction importante dans le RGPD entre la personne qui collecte les données (i.e. Data Controller) et celle qui les traitent (i.e. Data Processor). Ainsi, si vous stockez vous-même les données que vous collectez (sur votre ordinateur, clé USB, disque dur externe, serveur local, etc.), vous êtes considéré à la fois comme Data Controller et Data Processor. Dans ce cas, vous devez garantir vous-même la sécurité et la confidentialité de vos données. Il s’agit alors de mettre par exemple en place une redondance, des sauvegardes, un cryptage de vos données, etc.
Cela peut être complexe mais surtout loin de votre domaine d’expertise. Par ailleurs, en cas de non-respect du RGPD, vous vous exposez à une amende pouvant aller à 20 millions d’euros ou 4% de votre CA mondial (cf. Article 83 du RGPD).
Jarvis, votre Data Processor attitré
Heureusement chez Jarvis Legal, la sécurité et la confidentialité de vos données a toujours été au coeur de nos préoccupations, et ce, bien avant l’arrivée du RGPD. Nous avons toujours veillé à héberger vos données en France de façon ultra-sécurisée
Avec Jarvis, vous n’avez plus à vous soucier de ces obligations de sécurité et de confidentialité de vos données. C’est en effet nous qui assumons ce rôle de Data Processor pour vous. Jarvis vous apporte toutes les garanties en matière de sécurité et confidentialité en stricte conformité avec le RGPD. Vous pouvez vous concentrer sur la gestion de vos dossiers et échanger avec vos clients l’esprit tranquille. Jarvis s’occupe du reste.
Logiciels installés en local : faites attention !
Nombre d’avocats utilisent toujours des logiciels installés en local (sur leur disque dur ou leur serveur local). Attention : ces logiciels font automatiquement de vous le Data Processor. Ils vous délèguent ainsi la gestion quotidienne de la sécurité et confidentialité de vos données ! Encore un autre argument de taille en faveur de Jarvis par rapport aux logiciels de gestion installés en local. Pour paraphraser John Bowden Connally, secrétaire d’Etat au Trésor de Nixon à propos du dollar : « RGPD ? notre logiciel, votre problème ! »
De fait, les solutions, sont les mieux placées pour vous permettre d’être en conformité, sans investissement de votre part. Pour autant, il vous faut éviter les solutions non européennes, donc non respectueuses de la législation. On peut citer les solutions basées sur Sharepoint ou Microsoft, ou les solutions russes ou américaines (dont certaines son disponibles sur le marché français). Les données de vos clients ainsi que les vôtres ne sont pas sécurisées dans les conditions voulues par le législateur !
En conclusion, choisissez des éditeurs de solutions qui soient français ou de l’Union Européenne et impérativement Saas ou Cloud. Vous n’avez ainsi pas de difficultés à être vous-même en règle !