En une phrase. Les avocats combinent RGPD + secret professionnel absolu (loi du 31 décembre 1971, RIN art. 2) + règles ordinales (CNB, ordres locaux). Le secret professionnel prime sur l’accès tiers (CNIL et tribunaux) sauf exceptions strictement encadrées (consentement client, ordre exprès). Le CNB a publié en 2018 et actualisé en 2023 son « Guide pratique de mise en conformité RGPD pour les cabinets d’avocats ». Spécificités : DPO recommandé dès 10 collaborateurs, cloud souverain privilégié (avis CNB 2020 défavorable Google Workspace), archivage durée prescription + 10 ans, lutte anti-blanchiment depuis 2009.
70 000 avocats inscrits aux barreaux français en 2024 (CNB). Les cabinets traitent données très sensibles : famille, pénal, fiscal, santé, vie privée. La compromission d’un cabinet a un impact disproportionné — voir l’affaire Mossack Fonseca (Panama Papers, 2016), Appleby (Paradise Papers, 2017).
Pour approfondir : PSSI ANSSI, SecNumCloud, PCA ANSSI.
Points clés
- Le secret professionnel est absolu sauf exceptions strictement encadrées.
- Le CNB publie un guide RGPD avocats (2018, mise à jour 2023).
- Cloud souverain privilégié : avis CNB défavorable sur Google Workspace (2020).
- DPO recommandé dès 10 collaborateurs ; obligatoire pour cabinet majeur (> 50).
- Conservation : 5 ans mandat courant, prescription + 10 ans pour certains dossiers.
1. Articulation RGPD / secret professionnel
Le secret professionnel (loi 31 déc. 1971 art. 66-5) couvre « en toutes matières, que ce soit dans le domaine du conseil ou dans celui de la défense » :
- Correspondances avocat-client
- Pièces du dossier
- Notes et stratégie
- Identité du client (dans certains cas)
Le RGPD ne lève pas le secret. Pour le DPO ou la CNIL : accès aux traitements (logs, mesures), pas au contenu du dossier.
2. Guide CNB RGPD : référence sectorielle
Le CNB a publié :
- Guide RGPD avocats v1 (2018)
- Mise à jour (2020) post-Schrems II
- Recommandations cloud (2020) — défavorable Google Workspace
- Charte sécurité numérique avocat (2022)
- Guide CNB 2023 actualisé
Documents disponibles sur cnb.avocat.fr.
3. Bases légales applicables
| Traitement | Base légale |
|---|---|
| Mandat client | Exécution contrat (art. 6.1.b) |
| Pièces dossier | Mission d’intérêt public ? Obligation légale ? |
| Facturation | Exécution contrat |
| Compta + LCB-FT | Obligation légale (art. 6.1.c) |
| Newsletter cabinet | Consentement (B2C) / intérêt légitime (B2B) |
| Recrutement collaborateurs | Intérêt légitime |
| Vidéosurveillance accueil | Intérêt légitime + délibération CNIL |
4. Cloud et logiciels métier
Le CNB recommande la souveraineté. Solutions métier conformes :
- Avocat Solutions (groupe LexisNexis France)
- Secib (France)
- Diapaz / Cicéron (France)
- Polyact (France)
- Cleanlaw / Doxallia (France)
- Affinitas, Avocats.fr (FR)
À éviter ou encadrer strictement : Google Workspace, Microsoft 365 (cas par cas avec garanties), Dropbox grand public.
Cloud souverain certifié SecNumCloud pour stockage sensible : Outscale, OVHcloud, Oodrive.
5. Communication client : sécurité
Le RGPD + secret imposent :
- Pas d’envoi en clair de pièces sensibles (mail standard insuffisant)
- Plateforme sécurisée : RPVA (Réseau Privé Virtuel Avocat) pour échanges judiciaires
- Messagerie chiffrée : Olvid, ProtonMail Business, Tutanota
- Envoi de fichiers volumineux : FromSmash, WeTransfer Pro (chiffré), Olvid
- Visioconférence sécurisée : Tixeo (qualifié), Whereby, BlueJeans (cas)
6. RPVA : usage obligatoire judiciaire
Le Réseau Privé Virtuel Avocat (RPVA) est :
- Obligatoire pour les communications juridictionnelles civiles (RPC art. 730)
- Sécurisé par certificat avocat (clé Lex)
- Intégration logiciels métier
- Pas d’usage commercial (réservé judiciaire)
Coût : ~150 €/an + clé Lex (~80 €).
7. Conservation : durées spécifiques
| Type document | Durée |
|---|---|
| Dossier client courant | Mandat + 5 ans |
| Dossier prescription civile (10 ans) | 10 ans + 5 = 15 ans |
| Dossier pénal (lourd) | Variable, souvent 30 ans |
| Acte d’avocat (acte privé) | 25 ans (loi 28 mars 2011) |
| Compta cabinet | 10 ans |
| KYC LCB-FT | 5 ans après fin relation |
| Notes personnelles | Libre, recommandé alignement |
Archivage électronique probatoire (NF Z42-013, eIDAS qualifié archivage) recommandé.
8. LCB-FT pour avocats
Depuis l’ordonnance 30 janvier 2009 (transposition 3e directive AML), les avocats sont assujettis :
- Pour les transactions financières/immobilières où ils participent
- Pas pour la mission de conseil/défense pure (sauf si soupçon)
- Déclaration de soupçon : via Bâtonnier (filtre)
- Identification client + bénéficiaire effectif
- Conservation 5 ans
Le secret cède devant l’obligation LCB-FT mais avec filtre Bâtonnier (jurisprudence CEDH Michaud c. France 2012).
9. Vidéosurveillance et badges cabinet
Comme tout employeur :
- Vidéosurveillance accueil et zones communes : intérêt légitime + délibération
- Pas dans bureaux individuels avocats
- Pas dans salle de réunion client (secret)
- Durée conservation : 1 mois maximum
- Information personnel + clients
10. Collaborateurs et stagiaires
Le secret professionnel s’étend aux collaborateurs (RIN art. 2.3) :
- Engagement de confidentialité signé
- Sensibilisation RGPD + secret
- Accès au SI cloisonné par dossier (idéalement)
- Procédure départ : révocation immédiate accès, restitution équipements
11. Sanctions et cas
Sanctions CNIL sur cabinets : peu publiques (souvent procédure simplifiée non publiée nominativement). Cas connus :
- 2022 : cabinet avocats anglais (Mossack Fonseca successor), notification massive
- 2023 : cabinet francilien (avertissement, exercice droits)
- 2024 : cabinet (PS 10 K€) — sécurité cloud
- 2024 : cabinet US (notification massive après ransomware)
Les attaques ransomware ciblent activement les cabinets d’avocats depuis 2022 (rançon + revente données).
12. Checklist avocat 2026
À vérifier :
- Désignation DPO (interne ou externe mutualisé)
- Registre des traitements (clients, prospects, RH, marketing, compta)
- Mentions information sur site cabinet + accusé réception client
- DPA avec sous-traitants (logiciel métier, hébergement, compta)
- Cloud souverain ou justification rigoureuse
- Politique mots de passe + MFA + chiffrement
- RPVA opérationnel
- Procédure LCB-FT documentée + Bâtonnier
- Politique archivage par typologie
- Cyber-assurance avocat (RCP cyber)
- Plan de continuité (vol matériel, ransomware)
- Charte numérique signée par collaborateurs
FAQ
Le RGPD prime-t-il sur le secret professionnel ?
Non. Le secret professionnel reste absolu (sauf exceptions LCB-FT, autorisation client). La CNIL peut contrôler les traitements (registre, sécurité, durées) mais pas accéder au contenu des dossiers. Le DPO interne ou externe est aussi soumis à confidentialité.
Un cabinet d’avocat doit-il désigner un DPO ?
Non systématiquement, mais recommandé dès 10 collaborateurs et obligatoire pour les très grands cabinets (> 50 + traitements importants). DPO externe mutualisé spécialisé barreau : ~500-1500 €/mois.
Peut-on utiliser Google Workspace dans un cabinet ?
Le CNB a émis un avis défavorable (2020). En pratique : fortement déconseillé pour les dossiers sensibles. Acceptable uniquement avec : DPA renforcé, chiffrement client (BYOK), justification documentée, pas de stockage dossiers les plus sensibles. Préférer solutions souveraines françaises.
Combien de temps conserver un dossier client ?
Mandat courant : mission + 5 ans. Selon nature : peut aller jusqu’à 30 ans (pénal lourd, immobilier). Acte d’avocat : 25 ans (loi 2011). Toujours conserver l’accord client par écrit pour la destruction ou la conservation prolongée.
Quelle messagerie sécurisée pour échanger avec clients ?
Pour échanges sensibles : Olvid (E2EE qualifié SecNumCloud, gouvernement français), ProtonMail Business, Tutanota. Pour échanges judiciaires : RPVA. Pour envois ponctuels chiffrés : WeTransfer Pro avec mot de passe, FromSmash, Olvid transferts. Jamais en clair par email standard.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial