1
Registre des activités de traitement
Art. 30 RGPD
L'article 30 du RGPD impose à tout responsable de traitement de tenir un registre écrit de toutes les activités de traitement effectuées sous sa responsabilité. Pour un cabinet d'avocats, cela inclut : la gestion des dossiers clients, la facturation, le recrutement, la gestion des collaborateurs et toute communication électronique contenant des données personnelles.
Ce registre doit mentionner : les finalités du traitement, les catégories de personnes concernées, les catégories de données, les éventuels destinataires, les transferts hors UE et les délais de conservation prévus.
Point de contrôle APD : le registre doit être disponible sur simple demande de l'Autorité de protection des données. Son absence ou son caractère incomplet constitue une violation directement sanctionnable.
2
Base légale documentée pour chaque traitement
Art. 6 RGPD
L'article 6 du RGPD exige qu'aucun traitement de données personnelles ne soit effectué sans base légale valide. Pour un cabinet d'avocats, les bases légales les plus fréquentes sont : l'exécution d'un contrat (art. 6.1.b), l'obligation légale (art. 6.1.c — ex. obligations comptables) et l'intérêt légitime (art. 6.1.f — ex. prospection B2B).
La base légale doit être déterminée avant le début du traitement et documentée dans le registre des traitements. Invoquer le consentement (art. 6.1.a) pour des données clients contractuels est une erreur fréquente.
Erreur fréquente : faire signer un consentement RGPD au client lors de l'ouverture de dossier alors que la base légale applicable est l'exécution du contrat. Un consentement inutile crée une obligation de gestion du retrait de consentement.
3
Information des personnes concernées
Art. 13–14 RGPD
Les articles 13 (collecte directe) et 14 (collecte indirecte) du RGPD imposent d'informer les clients et tiers dès la collecte de leurs données. Cette information doit couvrir : l'identité du cabinet, les finalités et bases légales, les durées de conservation, les droits des personnes et la possibilité d'introduire une réclamation auprès de l'APD.
En pratique, cette obligation se matérialise par une clause RGPD dans la convention d'honoraires, une politique de confidentialité sur le site web et une mention dans les communications électroniques.
La politique de confidentialité du site web doit mentionner explicitement le traitement des données issues du formulaire de contact. L'absence de cette mention est l'infraction RGPD la plus fréquemment relevée sur les sites de cabinets belges.
4
Privacy by design et privacy by default
Art. 25 RGPD
L'article 25 du RGPD impose d'intégrer la protection des données dès la conception des systèmes et outils (privacy by design) et de configurer par défaut les paramètres les plus protecteurs (privacy by default).
Pour un cabinet, cela signifie concrètement : chiffrement des dossiers clients en stockage et en transit, accès aux dossiers limité au personnel nécessaire, suppression automatique des données à l'expiration des délais de conservation.
L'utilisation d'un logiciel de gestion de cabinet (Kleos, Jurismedia, etc.) ne dispense pas de vérifier que les paramètres par défaut respectent le principe de minimisation des données.
5
Mesures de sécurité techniques et organisationnelles
Art. 32 RGPD
L'article 32 du RGPD impose de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Pour un cabinet d'avocats traitant des données sensibles (données de santé, données pénales), le niveau d'exigence est élevé.
Mesures minimales attendues : authentification forte (MFA) sur tous les accès aux dossiers, chiffrement des emails contenant des pièces confidentielles, politique de mots de passe documentée, plan de continuité en cas de cyberattaque.
Un cabinet ayant subi une fuite de données et ne pouvant pas démontrer l'existence de mesures de sécurité préalables s'expose à une sanction APD majorée par l'absence de diligence préventive.
6
Notification des violations de données
Art. 33–34 RGPD
L'article 33 du RGPD impose de notifier toute violation de données à l'APD dans les 72 heures suivant la découverte, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits des personnes. L'article 34 impose en outre d'informer les personnes concernées si le risque est élevé.
Un cabinet doit donc disposer d'une procédure interne documentée permettant de détecter, qualifier et notifier une violation dans ce délai très court. L'absence de procédure est elle-même sanctionnable.
Un ransomware chiffrant les dossiers clients constitue une violation de données à notifier à l'APD. Le délai de 72h court dès la détection, pas depuis la résolution de l'incident.
7
Désignation d'un délégué à la protection des données
Art. 37–39 RGPD
L'article 37 du RGPD impose la désignation d'un DPD lorsque le traitement porte sur des données sensibles à grande échelle ou implique un suivi systématique à grande échelle. La plupart des cabinets individuels ou de taille modeste ne sont pas soumis à cette obligation légale, mais une désignation volontaire est recommandée.
Les cabinets spécialisés en droit pénal, en droit de la famille (données de santé, données d'enfants) ou gérant plus de 250 collaborateurs doivent évaluer rigoureusement leur obligation de désignation.
Même en l'absence d'obligation légale, documenter la décision de non-désignation et ses motifs protège le cabinet en cas de contrôle APD.
8
Contrats avec les sous-traitants
Art. 28 RGPD
L'article 28 du RGPD impose de conclure un accord de traitement des données (DPA) avec tout sous-traitant accédant aux données personnelles du cabinet. Cela inclut : les éditeurs de logiciels de gestion (Kleos, Clio), les prestataires d'hébergement, les services de messagerie et les outils de signature électronique.
Le DPA doit notamment stipuler : la nature et la finalité du traitement, l'interdiction de sous-traiter sans accord préalable, les mesures de sécurité attendues et les obligations de notification des violations.
Utiliser Google Workspace ou Microsoft 365 sans DPA signé constitue une violation de l'art. 28 RGPD. La plupart des éditeurs proposent des DPA standardisés — leur absence dans le dossier de conformité est un signal d'alerte immédiat.
9
Transferts de données hors Union européenne
Art. 44–49 RGPD
Les articles 44 à 49 du RGPD encadrent strictement les transferts de données personnelles vers des pays tiers (hors EEE). L'utilisation d'outils cloud américains (AWS, Google Cloud, Microsoft Azure) implique potentiellement un transfert vers les États-Unis, soumis à des garanties spécifiques.
Depuis l'adoption du Data Privacy Framework UE-États-Unis (décision d'adéquation de juillet 2023), les transferts vers des entités américaines certifiées sont à nouveau facilités — sous réserve de vérifier la certification effective du prestataire.
Vérifier la certification DPF de chaque fournisseur cloud américain et documenter cette vérification dans le registre des traitements est une précaution minimale pour tout cabinet utilisant des outils SaaS.
10
Procédure de réponse aux droits des personnes
Art. 15–22 RGPD
Les articles 15 à 22 du RGPD accordent aux personnes concernées un ensemble de droits : accès, rectification, effacement (art. 17), limitation, portabilité et opposition. Le cabinet doit disposer d'une procédure documentée pour répondre à ces demandes dans un délai d'un mois (art. 12 §3 RGPD).
Pour un cabinet d'avocats, le droit à l'effacement entre parfois en tension avec les obligations légales de conservation des dossiers. Cette tension doit être anticipée et documentée.
L'absence de canal identifié pour réceptionner les demandes de droits (adresse email dédiée, formulaire) est relevée comme défaillance organisationnelle dans les contrôles APD. Un simple alias privacy@cabinet.be suffit à matérialiser le dispositif.
11
Durées de conservation documentées
Art. 5.1.e RGPD · Principe de limitation de la conservation
L'article 5.1.e du RGPD impose que les données personnelles soient conservées sous une forme permettant l'identification des personnes pendant une durée n'excédant pas celle nécessaire aux finalités du traitement. Pour les dossiers de clients d'un cabinet d'avocats, les durées légales applicables varient selon la matière (droit civil, pénal, fiscal).
La recommandation de l'APD belge est de documenter explicitement, pour chaque catégorie de traitement, la durée de conservation retenue et son fondement légal ou contractuel.
Conserver des dossiers clôturés indéfiniment (pratique fréquente dans les cabinets sans politique de purge) constitue une violation du principe de limitation de la conservation, même en l'absence de toute autre défaillance.
12
Formation et sensibilisation du personnel
Art. 29 RGPD · Principe d'accountability
L'article 29 du RGPD dispose que les personnes agissant sous l'autorité du responsable de traitement n'agissent que sur instruction de ce dernier. Le principe d'accountability (art. 5.2 RGPD) impose de pouvoir démontrer que le personnel a été formé aux obligations RGPD applicables à ses fonctions.
Pour un cabinet, cela couvre : les secrétaires et assistants juridiques traitant des données clients, les collaborateurs utilisant des outils cloud, les stagiaires accédant aux dossiers.
En cas de violation causée par une erreur humaine (mauvais destinataire d'un email confidentiel), l'APD vérifiera systématiquement si le personnel concerné avait reçu une formation documentée. L'absence de formation aggrave la sanction.