Rappel sur le RGPD
Depuis le 25 mai dernier, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur. Il concerne tous les organismes publics ou privés qui sont amenés à traiter des données personnelles de résidents de l’Union Européenne.
De facto, votre cabinet d’avocats est soumis à cette nouvelle réglementation et il vous faut vous mettre en conformité si ce n’est pas déjà le cas.
Chaîne de responsabilité
Parmi vos obligations liées au RGPD, vous devez notamment réaliser une cartographie de vos traitements de données, faire un audit de vos systèmes en internes et vous assurer que vos sous-traitants soient en conformité avec le Règlement européen. Ces derniers, eux aussi concernés par le RGPD, sont soumis aux mêmes obligations et doivent réaliser les mêmes vérifications en interne comme auprès de leurs sous-traitants.
C’est ce qu’on appelle la chaîne de responsabilité : chaque organisme soumis au Règlement s’assure de la conformité de son sous-traitant qui lui-même s’assure de celle de son sous-traitant et ainsi de suite.
Responsable de traitement et/ou Sous-traitant ?
Vos obligations diffèrent si vous êtes Responsable du traitement ou Sous-traitant.
Selon le RGPD, vous êtes Responsable du traitement (i.e. Data Controller) lorsque vous collectez des données personnelles de façon directe ou indirecte dans une finalité donnée. Dans ce cas, vous êtes tenus d’informer la personne sur la finalité précise de cette collecte, sur ses droits applicables et vous devez limiter cette collecte à un minimum de données.
Au contraire, vous êtes Sous-traitant (i.e. Data Processor) si vous ne faites que traiter des données pour le compte et sous l’autorité du Responsable du traitement. Dans ce cas, vous devez mettre en œuvre des mesures techniques et organisationnelles garantissant la sécurité et de la confidentialité des données traitées pour le compte et sous l’autorité de ce Responsable de traitement.
Dans la pratique, la majorité des organismes réalisent des traitements à la fois en tant que Responsable de traitement (i.e. pour leur propre compte comme les traitements liés au RH ou à la gestion de la clientèle) et en tant que Sous-traitant pour le compte de leurs clients.
Responsabilité et risques encourus pour l’Avocat
Dans le cadre RGPD, vous devez prendre toutes les mesures techniques et organisationnelles nécessaires pour garantir l’intégrité, la sécurité et la confidentialité des données que vous collectez ou traitez.
Ainsi, si vous stockez vous-même les données que vous collectez (sur votre ordinateur, clé USB, disque dur externe, serveur local, etc.) vous êtes considéré à la fois comme Data Controller et Data Processor. Dans ce cas, vous devez garantir vous-même la sécurité et la confidentialité de vos données en mettant en place par exemple une sauvegarde, une redondance et un cryptage de vos données, une sécurisation de l’accès à vos terminaux informatiques, etc.
En cas de non-respect du RGPD, vous vous exposez à une amende pouvant atteindre 20 millions d’euros ou 4% de votre CA mondial (cf. Article 83 du RGPD).
Logiciels hébergés vs. installés en local
Si vous êtes équipé d’un logiciel de gestion de cabinet installé en local (i.e. sur votre ordinateur ou votre serveur local) vous êtes donc 100% responsable de la gestion de la sécurité et confidentialité de vos données.
Sécuriser vos données peut être un processus long, complexe et coûteux mais surtout très loin de votre domaine d’expertise. Nombre d’avocats qui utilisent des logiciels installés en local ont subi des pertes de données suite au vol, au piratage, à la détérioration volontaire (malveillance) ou involontaire (dégâts des eaux, incendie) ou à l’obsolescence de leur matériel informatique.
Au contraire, si vous êtes équipés d’un logiciel 100% hébergé (i.e. dans le Cloud), comme Jarvis, vous déléguez ce rôle de Data Processor et n’avez plus à vous soucier de la gestion en direct de la sécurité et de confidentialité de vos données. En effet, c’est votre sous-traitant qui assumera ce rôle pour vous mais toujours sous votre autorité.
Autres avantages des logiciels hébergés
Le fait de travailler avec un logiciel hébergé vous apporte bien d’autres avantages et le tout à moindre coût. En premier lieu, cela vous donne accès à niveau d’équipement professionnel et à des technologies de pointe. Chez Jarvis, vos données sont stockées dans des data centres équipés de baies de stockage ultra performantes répondant à la norme Très Haute Disponibilité (THD) et fonctionnant sur des équipements et technologies développés par les plus grands acteurs du marché : Hewlett-Packard, Cisco, CheckPoint, VMWare.
Deuxièmement, cela vous donne accès à un niveau de sécurité quasi-militaire. Vos données sont hébergées dans des centres de données (NB : chez OVH en France si vous êtes utilisateurs de Jarvis) qui sont munis d’onduleurs et de groupes électrogènes, de systèmes de vidéo-surveillance et de détection de mouvements ainsi que de personnels de sécurité. Leur accès est strictement contrôlé et limité à des personnels habilités munis de badges RFID et/ou identifiés par reconnaissance biométrique.
De plus, vos données sont sauvegardées automatiquement plusieurs fois par jour et répliquées dans des centres de données géographiquement distants (NB : les centres de données d’OVH de Roubaix, Strasbourg et Gravelines si vous êtes utilisateurs Jarvis). Vos données sont de même cryptées selon un protocole de chiffrement de niveau bancaire avec une clé de chiffrement de 4096 bits.
Enfin, les logiciels hébergés vous apportent la mobilité si importante aujourd’hui dans la profession d’avocat. Au cabinet, chez vous, chez votre client, à la Cour, dans la rue ou dans un taxi, vous avez accès à toutes les données de votre cabinet depuis n’importe quel terminal et à tout moment.
Hébergement des données et Privacy Shield
Si les logiciels hébergés apportent beaucoup d’avantages, il n’en reste pas moins de votre responsabilité de vérifier le pays dans lequel vos données sont traitées. Selon le Règlement, vos données doivent être traitées dans un pays dit adéquat, c’est-à-dire membre de l’UE ou de l’EEE ou tout autre pays bénéficiant d’un mécanisme de protection des données jugé équivalent au RGPD par l’UE. Chez Jarvis, nous avons toujours hébergé vos données chez OVH en France ou dans votre pays d’exercice quand cela est possible.
Attention aux logiciels hébergés qui traitent vos données aux USA dans le cadre du EU-US Privacy Shield. Cet accord, qui a remplacé le Safe Harbour, a récemment été jugé encore insuffisant par les autorités de contrôle des libertés informatiques des États-membres (dont la CNIL et regroupées au sein du Groupe de travail Article 29 ou G29). En effet, sous la pression de ce G29, le parlement européen a demandé le 14 juin dernier la suppression du Privacy Shield si le gouvernement américain n’apporte pas plus de garanties sur la protection des données transférées vers les US d’ici au 1er septembre 2018.
Tranquillité d’esprit
Les logiciels hébergés comme Jarvis vous apportent toutes les garanties en matière de sécurité et confidentialité de vos données en conformité avec le RGPD. De plus, ils vous donnent accès au nec plus ultra en termes d’équipement, de sécurité et de mobilité. Vous pouvez vous concentrer sur la gestion de vos dossiers et échanger avec vos clients l’esprit tranquille. Jarvis s’occupe du reste.
