Données personnelles

RGPD avocats 2026 : secret professionnel, registre, sous-traitants + sanctions

RGPD pour cabinets d'avocats : articulation avec le secret professionnel, registre art. 30, DPA des logiciels métier, durées de conservation et risques réels.

Un cabinet d’avocats conforme au RGPD tient un registre des traitements (art. 30), signe un DPA (art. 28) avec chacun de ses logiciels métier et prestataires cloud, sécurise les dossiers clients (art. 32) et articule ses obligations avec le secret professionnel — lequel n’est pas levé par le RGPD. Le secret de l’article 66-5 de la loi du 31 décembre 1971 reste opposable : l’article 90 du RGPD réserve expressément les obligations de secret professionnel, et une convention CNIL/CNB encadre l’articulation entre contrôle CNIL et déontologie. Concrètement : un registre, des contrats de sous-traitance solides avec vos éditeurs, une politique de durées de conservation, une sécurité à la hauteur de la sensibilité des dossiers, et une information des personnes adaptée aux limites tenant au secret et à l’activité juridictionnelle.

Le vrai risque pour un cabinet n’est pas une amende « avocat » médiatisée — il n’y en a pas — mais la fuite de données via un logiciel métier mal sécurisé ou un sous-traitant qui outrepasse ses instructions. Voici le guide opérationnel.

Obligations RGPD spécifiques aux cabinets d’avocats

Secret professionnel et RGPD : deux régimes qui coexistent

Le secret professionnel de l’avocat (art. 66-5 de la loi n°71-1130 du 31 décembre 1971) est général, absolu et d’ordre public. Le RGPD ne le lève pas : l’article 90 du RGPD autorise les États à prévoir des règles spécifiques encadrant les pouvoirs de l’autorité de contrôle à l’égard des responsables soumis à un secret professionnel. En pratique, une convention entre la CNIL et le Conseil national des barreaux (CNB) organise l’articulation, notamment lors des contrôles : la CNIL ne peut pas se faire communiquer des éléments couverts par le secret dans les mêmes conditions qu’ailleurs. Le secret protège la relation client ; le RGPD protège toutes les données personnelles traitées par le cabinet, y compris celles de ses salariés, prospects et fournisseurs.

Registre des traitements (art. 30)

Aucune dispense sérieuse pour un cabinet : gestion des dossiers clients, comptabilité/facturation, RH, prospection, site web, vidéosurveillance éventuelle. Le registre des traitements recense chaque traitement avec sa finalité, sa base légale, les catégories de données, les destinataires et la durée. C’est la première pièce demandée en contrôle et le socle de votre accountability.

Sous-traitants : les logiciels métier au premier plan

C’est le point critique. Vos logiciels de gestion de cabinet, votre solution RPVA, votre messagerie, votre hébergement cloud, votre outil de signature ou de visio traitent des données pour votre compte : ce sont des sous-traitants au sens de l’article 28. Un DPA (accord de sous-traitance) est obligatoire pour chacun. Il encadre la confidentialité, la sécurité, la localisation des données, l’interdiction d’utiliser les données à d’autres fins et le recours à des sous-traitants ultérieurs. Vérifiez la localisation des serveurs et les éventuels transferts hors UE. Un éditeur qui accède aux dossiers pour une maintenance ou une migration doit agir uniquement sur vos instructions (art. 29) — nous verrons plus bas pourquoi ce point est décisif.

Droits des personnes : les limites tenant au secret et à la justice

Les droits d’accès, d’effacement et d’opposition s’appliquent, mais l’article 23 du RGPD et la loi Informatique et Libertés permettent de les limiter, notamment au titre de l’exception d’activité juridictionnelle et du secret professionnel. Un adversaire de votre client ne peut pas exercer un droit d’accès pour obtenir, via vous, des pièces couvertes par le secret ou relevant d’une procédure. Documentez ces refus motivés.

Prospection encadrée par la déontologie

La communication et la sollicitation personnalisée des avocats sont encadrées par le RIN (Règlement Intérieur National) et la déontologie, en plus des règles RGPD (art. L34-5 CPCE pour l’email/SMS) — un cumul déontologie/RGPD que connaissent aussi les experts-comptables. Prospection propre : information, base légale, désinscription.

Sécurité (art. 32)

La sensibilité des dossiers (données pénales, de santé, patrimoniales, familiales) impose un niveau de sécurité élevé : chiffrement des postes et des sauvegardes, authentification forte sur la messagerie et les outils, cloisonnement des accès, verrouillage des sessions. Une fuite sur un dossier pénal ou de divorce est un incident majeur, à la fois RGPD (art. 33-34) et déontologique.

Durées de conservation

Donnée / traitement Durée en base active Archivage / justification
Dossier client Durée du mandat / de la mission Conservation ~5 ans après la fin du dossier au titre de la responsabilité civile professionnelle (prescription)
Facturation, comptabilité Exercice en cours 10 ans (Code de commerce)
Images de vidéosurveillance 1 mois maximum Extraction uniquement sur incident
Prospection / contacts 3 ans après le dernier contact Réactualiser la base ensuite

Les archives de dossiers doivent passer en archivage intermédiaire à accès restreint, distinct de la base active, une fois la mission close. Pour le cadre général, voir notre guide des durées de conservation.

Bases légales par traitement

Traitement Base légale (art. 6 / art. 9) Commentaire
Gestion du dossier client Exécution du contrat / mission (art. 6-1-b) Convention d’honoraires = contrat
Comptabilité, facturation Obligation légale (art. 6-1-c) Code de commerce, obligations fiscales
Données sensibles au dossier Exceptions art. 9-2 (constatation/exercice de droits en justice) Données de santé, vie sexuelle, opinions figurant dans les pièces
Données pénales au dossier Cadre de l’art. 10 Traitement licite dans le cadre de la défense
Vidéosurveillance / prospection Intérêt légitime (art. 6-1-f) Mise en balance + désinscription

Les données sensibles (art. 9) et pénales (art. 10) sont omniprésentes dans les dossiers : elles relèvent des exceptions liées à la constatation, l’exercice ou la défense d’un droit en justice. Voir notre guide des données sensibles (art. 9).

Sanctions CNIL réelles du secteur

Soyons honnêtes : la CNIL n’a pas prononcé de sanction médiatisée contre un cabinet d’avocats. Le secteur est protégé par l’articulation avec le CNB, et la CNIL y privilégie l’accompagnement. Le risque réel n’est donc pas une amende « avocat », mais deux scénarios très concrets, illustrés par des sanctions réelles hors secteur mais directement applicables.

1. La fuite via l’éditeur du logiciel métier — DEDALUS BIOLOGIE, 1 500 000 €, 15 avril 2022. Hors secteur mais applicable : cet éditeur de logiciel de santé, agissant comme sous-traitant, a provoqué la fuite des données de santé de près de 500 000 patients (NIR, pathologies : VIH, cancers, grossesses). La cause : lors d’une migration, il a extrait plus de données que ce qui lui avait été demandé, outrepassant ainsi les instructions du responsable de traitement (art. 29). C’est l’archétype du risque d’un cabinet d’avocats : votre éditeur de logiciel de gestion ou votre prestataire de migration accède à des dossiers ultra-sensibles ; sans DPA solide et sans instructions écrites, une fuite chez lui devient votre incident. Détails sur la sanction DEDALUS BIOLOGIE.

2. La vidéosurveillance excessive des salariés. La CNIL sanctionne régulièrement, y compris via la procédure simplifiée (amendes jusqu’à 20 000 €), la surveillance disproportionnée des salariés — caméras filmant en continu les postes de travail, conservation excessive des images. Un cabinet qui équipe l’accueil ou les bureaux de caméras s’expose au même grief.

Voir la page thématique CNIL sur le RGPD pour le cadre général.

Erreurs courantes

  • Croire que le secret professionnel dispense du RGPD : les deux régimes coexistent ; le secret couvre la relation client, le RGPD couvre tous les traitements du cabinet.
  • Utiliser des logiciels métier et du cloud sans DPA signé (art. 28), alors qu’ils accèdent aux dossiers les plus sensibles.
  • Ne pas encadrer les migrations et maintenances : sans instructions écrites, un prestataire qui aspire trop de données vous expose (leçon DEDALUS, art. 29).
  • Négliger la sécurité : postes non chiffrés, messagerie sans authentification forte, sauvegardes non protégées, sessions non verrouillées.
  • Répondre sans discernement à un droit d’accès exercé par un tiers pour contourner le secret : ces demandes se refusent et se motivent (art. 23).
  • Installer une vidéosurveillance excessive des salariés ou de l’accueil, au-delà d’un mois de conservation.

FAQ

Le secret professionnel me dispense-t-il du registre et du RGPD ?

Non. Le secret professionnel (art. 66-5 de la loi de 1971) protège la confidentialité des échanges avocat-client, mais il ne vous exonère d’aucune obligation RGPD structurelle : registre (art. 30), DPA (art. 28), sécurité (art. 32), information des personnes. L’article 90 du RGPD et la convention CNIL/CNB aménagent seulement les modalités de contrôle, pas les obligations de fond.

Dois-je signer un DPA avec mon éditeur de logiciel de gestion de cabinet ?

Oui, impérativement. L’éditeur, l’hébergeur cloud et tout prestataire qui accède aux dossiers sont des sous-traitants (art. 28) : un DPA est obligatoire. Il doit prévoir la sécurité, la confidentialité, la localisation des données, l’interdiction de tout usage détourné et les modalités des maintenances/migrations. C’est votre meilleure protection contre un scénario type DEDALUS.

Un cabinet doit-il désigner un DPO ?

Ce n’est pas automatique. La désignation est obligatoire en cas de traitement à grande échelle de données sensibles ou de suivi systématique (art. 37) ; un petit cabinet n’y est pas nécessairement tenu, mais doit documenter sa décision. Beaucoup optent pour un DPO mutualisé au niveau du barreau ou externalisé. Voir notre guide sur le rôle et les missions du DPO.

Que faire en cas de fuite de données d’un dossier ?

Appliquer la procédure de notification de violation : évaluer le risque, notifier la CNIL sous 72 h si le risque est avéré (art. 33), informer les personnes concernées si le risque est élevé (art. 34), et documenter l’incident dans le registre des violations. Sur un dossier sensible, l’information des clients est quasi systématique.

Conclusion

Pour un cabinet d’avocats, le RGPD ne s’oppose pas au secret professionnel : il s’y superpose. Tenez un registre, sécurisez vos dossiers, et surtout verrouillez la sous-traitance — vos logiciels métier et votre cloud sont votre principale surface de risque. La sanction DEDALUS montre ce qui se passe quand un éditeur outrepasse ses instructions : dans votre cas, ce sont des dossiers pénaux, familiaux ou patrimoniaux qui fuiteraient. Un outil comme Legiscope, qui automatise le registre des traitements, les AIPD et la documentation de sous-traitance, permet de tenir ce socle sans mobiliser un associé. Le reste relève de la rigueur que votre déontologie vous impose déjà. Voir aussi le texte intégral du RGPD.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →