Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/RGPD/RGPD et cabinet d'avocats : guide pratique
RGPD

RGPD et cabinet d'avocats : guide pratique

RGPD pour cabinet d'avocats : secret professionnel, dossiers clients, registre, archivage, sous-traitance. Guide pratique et obligations.

Par Thiebaut DevergrannePublie le 17 avril 2026Mis a jour le 17 avril 202613 min de lecture
Sommaire
  1. Pourquoi les avocats sont particulièrement exposés
  2. Le régime applicable : responsable de traitement, pas sous-traitant
  3. Les bases légales mobilisables
  4. Le registre des traitements du cabinet
  5. Durées de conservation : la question la plus complexe
  6. Gérer les sous-traitants du cabinet
  7. Les droits des personnes concernées
  8. Désigner un DPO : obligatoire ou pas ?
  9. Sécurité et mesures techniques
  10. CNIL et contrôles : ce qu’il faut anticiper
  11. Ce qu’il faut retenir
  12. FAQ

Un cabinet d’avocats traite tous les jours des données parmi les plus sensibles qui soient : identité, santé, patrimoine, procédures judiciaires, conflits familiaux. Pourtant, dans les audits que je mène, les cabinets sont souvent ceux qui ont le plus de retard sur leur conformité RGPD — un paradoxe d’autant plus risqué que la CNIL a explicitement annoncé en 2024 un durcissement des contrôles sur les professions juridiques. Voici ce qu’il faut mettre en place concrètement.

Pourquoi les avocats sont particulièrement exposés

Le secret professionnel de l’avocat (article 66-5 de la loi du 31 décembre 1971) ne dispense pas de l’application du RGPD. Les deux régimes se superposent : le secret protège le client contre la divulgation, le RGPD encadre le traitement des données. Un cabinet peut donc parfaitement respecter son secret professionnel tout en étant en violation du RGPD, et inversement.

La particularité de la profession tient à trois éléments. D’abord, la nature des données manipulées : données d’identification, données de santé dans les dossiers pénaux ou de droit social, données patrimoniales et bancaires, antécédents judiciaires, informations sur la vie privée des clients et des tiers. La plupart relèvent de l’Art. 9 ou de l’Art. 10 du RGPD.

Ensuite, la diversité des personnes concernées : le cabinet traite les données de ses clients, mais aussi de leurs adversaires, de témoins, d’enfants dans les dossiers familiaux, de salariés de l’entreprise cliente. Toutes ces personnes disposent des mêmes droits au titre du RGPD.

Enfin, la durée de conservation : un dossier d’avocat ne se détruit pas à la fin de la prestation. L’archivage des archives professionnelles, la conservation des fonds de dossier, les obligations déontologiques et les délais de prescription conduisent à des conservations longues qui doivent être justifiées.

Le régime applicable : responsable de traitement, pas sous-traitant

Contrairement à une idée reçue, l’avocat n’est jamais sous-traitant de son client au sens de l’Art. 4(8) du RGPD. L’avocat est responsable de traitement (Art. 4(7)) : il détermine seul les finalités et les moyens du traitement des données de son client, dans le cadre de son mandat.

Cette qualification a des conséquences pratiques importantes :

  • Le cabinet n’a pas à signer d’accord de sous-traitance (DPA) avec le client ; l’Art. 28 du RGPD ne s’applique pas à cette relation.
  • Le cabinet répond directement de la conformité du traitement devant les personnes concernées et la CNIL.
  • Les obligations d’information incombent au cabinet, pas au client.
  • En cas de violation de données, c’est le cabinet qui notifie la CNIL si les conditions de l’Art. 33 sont remplies.

En revanche, lorsque le cabinet fait appel à des prestataires (hébergeur, logiciel de gestion de cabinet, secrétariat externalisé), il devient lui-même responsable de traitement vis-à-vis de ces prestataires qui sont, eux, ses sous-traitants au sens RGPD.

Les bases légales mobilisables

La question de la base légale est plus subtile qu’il n’y paraît pour un cabinet. Il faut distinguer plusieurs situations.

Pour les données du client : la base légale est généralement l’exécution du contrat (Art. 6(1)(b)) — le mandat conclu avec le client. Pour certains traitements (facturation, comptabilité, déclarations ordinales), il faut ajouter l’obligation légale (Art. 6(1)©).

Pour les données des tiers au dossier (adversaires, témoins, etc.) : aucun contrat ne lie le cabinet à ces personnes. La base légale est alors l’intérêt légitime (Art. 6(1)(f)) : défendre les intérêts du client. Cet intérêt légitime doit être mis en balance avec les droits des personnes concernées, ce qui suppose une analyse documentée.

Pour les données sensibles de l’Art. 9 (santé, orientation sexuelle, opinions, etc.) : l’une des exceptions de l’Art. 9(2) doit être trouvée. En pratique, l’Art. 9(2)(f) est le fondement central pour un avocat : « le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ». Ce fondement couvre l’essentiel de l’activité contentieuse.

Pour les données relatives aux condamnations pénales (Art. 10) : le traitement est réservé aux autorités publiques ou encadré par le droit de l’Union ou de l’État membre. La loi française autorise les avocats à traiter ces données dans le cadre de leur mission (article 9 de la loi Informatique et Libertés modifiée).

Le registre des traitements du cabinet

L’exonération de registre pour les structures de moins de 250 salariés (Art. 30(5)) ne s’applique pas dès lors qu’il y a traitement régulier ou données sensibles — autant dire jamais pour un cabinet d’avocats. Le registre des traitements est donc obligatoire.

Pour un cabinet type, le registre comporte généralement les fiches suivantes :

  • Gestion des dossiers clients (coeur de métier)
  • Gestion de la clientèle et prospection
  • Comptabilité et facturation
  • Gestion des salariés et collaborateurs
  • Site web et formulaire de contact
  • Vidéosurveillance des locaux (le cas échéant)
  • Archivage des dossiers clôturés
  • Outils de travail collaboratif (messagerie, cloud, visioconférence)

Chaque fiche doit indiquer : la finalité, les catégories de données (attention à identifier les données sensibles), les catégories de personnes concernées, les destinataires internes et externes, les durées de conservation, les mesures de sécurité, et l’existence éventuelle de transferts hors UE.

Dans mon expérience, le point sur lequel les cabinets pèchent le plus est la documentation des durées de conservation et la cartographie des sous-traitants — deux éléments qui font pourtant l’objet d’un examen prioritaire en cas de contrôle.

Durées de conservation : la question la plus complexe

La durée de conservation des dossiers d’avocats est une source récurrente de difficultés. Plusieurs régimes coexistent :

Dossier actif — Le dossier peut être conservé pendant toute la durée de la prestation, sans limite particulière liée au RGPD (base légale : exécution du contrat).

Dossier clôturé — La règle professionnelle retient une conservation de 5 ans à compter de la clôture du dossier, correspondant au délai de prescription de la responsabilité civile professionnelle (article 2225 du Code civil). Cette durée est généralement admise par la CNIL.

Archives définitives — Certains documents présentent un intérêt historique ou probatoire justifiant une conservation plus longue : jugements, décisions fondatrices, accords-cadres. Une politique d’archivage doit distinguer ce qui relève de l’archive intermédiaire (accès restreint) de ce qui relève de l’archive définitive.

Comptabilité et facturation — Conservation de 10 ans (article L. 123-22 du Code de commerce).

Documents ordinaux et déontologiques — Conservation selon les règles fixées par l’Ordre.

La règle d’or : chaque durée de conservation doit être écrite dans le registre, justifiée par un texte ou un besoin documenté, et faire l’objet d’une purge effective à échéance. Le défaut de purge est l’un des griefs les plus fréquemment retenus par la CNIL lors des contrôles.

Gérer les sous-traitants du cabinet

Un cabinet moderne fait appel à de nombreux prestataires qui traitent des données à caractère personnel pour son compte : éditeur du logiciel de gestion (Secib, Cicero, Diapaz, Kleos), hébergeur du cloud, prestataire de facturation électronique, service de visioconférence, outil de signature électronique, secrétariat téléphonique externalisé, prestataire de sauvegarde et d’archivage.

Pour chacun de ces prestataires, l’Art. 28 du RGPD impose un contrat écrit (DPA) comportant les mentions obligatoires listées à l’Art. 28(3). Un audit rapide des cabinets révèle souvent que :

  • 30 à 50 % des prestataires n’ont pas signé de DPA
  • La liste des sous-traitants ultérieurs (sous-sous-traitants) n’est jamais communiquée
  • L’hébergement est parfois situé hors UE sans garanties appropriées au sens de l’Art. 46

Pour un cabinet d’avocats, deux points d’attention supplémentaires :

Compatibilité avec le secret professionnel — Le recours à un sous-traitant suppose que le secret professionnel soit préservé. Concrètement, le DPA doit inclure une clause de confidentialité renforcée et, idéalement, une interdiction de l’accès aux données par le prestataire hors cas strictement nécessaires.

Hébergement en France ou dans l’UE — Le Conseil National des Barreaux (CNB) recommande depuis 2021 un hébergement des données des dossiers clients dans l’UE, idéalement en France avec qualification SecNumCloud pour les données les plus sensibles. Cette recommandation n’a pas valeur obligatoire, mais elle protège contre les risques d’accès extraterritorial (Cloud Act américain notamment).

Les droits des personnes concernées

Les clients du cabinet, mais aussi les tiers dont les données figurent dans les dossiers, disposent des droits prévus aux Art. 12 à 22 du RGPD. Leur exercice soulève des questions spécifiques à la profession.

Droit d’accès (Art. 15) — Un client peut demander accès à ses données. Cela ne pose pas de difficulté particulière. En revanche, si un tiers au dossier (adversaire, témoin) demande accès aux données le concernant, le cabinet peut opposer le secret professionnel, qui constitue une limitation légale au titre de l’Art. 23 du RGPD. Voir notre guide sur la réponse aux demandes d’accès RGPD.

Droit à l’effacement (Art. 17) — Le droit à l’effacement n’est pas absolu. Un ancien client ne peut pas exiger la destruction de son dossier tant que le délai de prescription de la responsabilité civile professionnelle court. L’Art. 17(3)(b) (obligation légale) et l’Art. 17(3)(e) (exercice ou défense d’un droit en justice) permettent de maintenir la conservation.

Droit de rectification (Art. 16) — Attention : une demande de rectification ne peut pas conduire à falsifier le dossier. Si les données figurant dans le dossier sont erronées mais reflètent ce qui a été transmis à un instant donné, la rectification doit être gérée par ajout d’une mention, pas par suppression.

Droit d’opposition (Art. 21) — Inopposable pour les traitements fondés sur l’exécution du dossier.

Une procédure écrite de traitement des demandes — qui les reçoit, qui les qualifie, qui répond dans le délai d’un mois — est indispensable dans un cabinet de taille moyenne ou grande.

Désigner un DPO : obligatoire ou pas ?

L’Art. 37(1) du RGPD rend la désignation d’un DPO obligatoire dans trois cas : autorité publique, suivi régulier et systématique à grande échelle, ou traitement à grande échelle de données sensibles ou de données d’infraction.

Un cabinet d’avocats individuel ou de petite taille n’est généralement pas soumis à l’obligation. La notion de « grande échelle » exclut les praticiens individuels, selon les lignes directrices WP 243 du G29 reprises par l’EDPB.

En revanche, un cabinet d’affaires important, une structure gérant de très nombreux dossiers pénaux, ou un cabinet spécialisé en droit de la santé peut tomber sous le coup de l’obligation. La désignation d’un DPO — qu’elle soit obligatoire ou volontaire — est fortement recommandée au-delà de 20-25 collaborateurs.

Le DPO peut être interne (un associé, un collaborateur formé) ou externe. Pour un cabinet, le DPO externe est souvent privilégié : il apporte une expertise RGPD dédiée et évite le conflit d’intérêts inhérent à un DPO interne qui serait à la fois conseil et contrôleur.

Sécurité et mesures techniques

L’Art. 32 du RGPD impose des mesures de sécurité « appropriées au risque ». Pour un cabinet, compte tenu de la sensibilité des données, le niveau d’exigence est élevé.

Les mesures minimales attendues sont :

  • Chiffrement des postes de travail et des supports amovibles
  • Authentification forte (MFA) pour l’accès aux outils de gestion
  • Gestion des droits d’accès par dossier (cloisonnement des équipes)
  • Sauvegardes chiffrées et testées régulièrement
  • Messagerie sécurisée pour les échanges avec les clients (e-Barreau, messagerie chiffrée, secret professionnel numérique)
  • Traçabilité des accès aux dossiers
  • Politique de mots de passe conforme aux recommandations CNIL
  • Procédure de gestion des départs (retrait des accès)

Pour les cabinets traitant régulièrement des données très sensibles (affaires pénales complexes, dossiers de personnes exposées politiquement, contentieux stratégiques), une analyse d’impact (AIPD) peut être requise au titre de l’Art. 35, notamment si des outils d’IA ou de traitement automatisé sont utilisés.

CNIL et contrôles : ce qu’il faut anticiper

La CNIL a annoncé en 2024 une thématique de contrôles portant sur les professions juridiques. Les points généralement examinés sont :

  1. Existence et qualité du registre des traitements
  2. Information des clients (mentions Art. 13 sur le site web et dans les courriers d’ouverture de dossier)
  3. DPA avec les sous-traitants clés
  4. Politique de durées de conservation et purge effective
  5. Mesures de sécurité techniques
  6. Procédure de gestion des droits et des violations

En cas de manquement, les sanctions vont de la mise en demeure à l’amende. Pour référence, plusieurs cabinets d’avocats ont fait l’objet de mises en demeure publiques dans la dernière décennie, et des amendes de 30 000 € à 100 000 € ont été prononcées contre des structures du secteur juridique au sens large (huissiers, notaires, commissaires de justice).

Ce qu’il faut retenir

  • Le secret professionnel ne dispense pas du RGPD : les deux régimes se cumulent.
  • L’avocat est responsable de traitement, jamais sous-traitant de son client.
  • Le registre des traitements est obligatoire, sans exception pour les petits cabinets.
  • Les durées de conservation doivent être documentées et respectées (5 ans post-clôture pour les dossiers, 10 ans pour la comptabilité).
  • Chaque prestataire doit faire l’objet d’un DPA conforme à l’Art. 28 ; l’hébergement UE/France est fortement recommandé.
  • Un DPO est obligatoire au-delà d’une certaine taille ; recommandé en deçà.

FAQ

Un avocat peut-il refuser une demande d’accès RGPD en invoquant le secret professionnel ?

Oui, lorsque la demande émane d’un tiers au dossier (adversaire, témoin) et que la communication des données porterait atteinte au secret dû au client. L’Art. 23 du RGPD et la loi Informatique et Libertés autorisent cette limitation. En revanche, un client ne peut se voir opposer le secret qui le protège lui-même.

Quelle durée de conservation pour un dossier clôturé ?

La durée usuelle est de 5 ans à compter de la clôture, correspondant au délai de prescription de la responsabilité civile professionnelle (article 2225 du Code civil). Certains documents à valeur historique ou probatoire peuvent être conservés plus longtemps en archive définitive, avec accès restreint et justification documentée.

Un cabinet d’avocats doit-il signer un DPA avec son client ?

Non. L’avocat est responsable de traitement, pas sous-traitant. L’Art. 28 du RGPD, qui impose le DPA, ne s’applique pas à la relation avocat-client. En revanche, l’avocat doit signer un DPA avec ses propres prestataires (logiciel de gestion, hébergeur, secrétariat externalisé).

Un avocat seul doit-il désigner un DPO ?

Non, sauf cas particulier (traitement à grande échelle de données sensibles, nombreux dossiers pénaux). Pour un avocat individuel ou un petit cabinet, la désignation d’un DPO n’est pas obligatoire mais la conformité l’est tout autant — elle peut être portée par l’avocat lui-même, avec l’appui éventuel d’un consultant externe.

Où héberger les données d’un cabinet d’avocats ?

Dans l’UE, idéalement en France. Le Conseil National des Barreaux recommande d’éviter les hébergeurs soumis à des lois extraterritoriales (Cloud Act américain). Pour les données les plus sensibles, une qualification SecNumCloud ANSSI est un gage de sécurité et de souveraineté.

Articles lies

RGPD

Opt-in et opt-out RGPD : définitions et règles

14 avril 2026 · 10 min
RGPD

Charte informatique RGPD : guide pratique

13 avril 2026 · 11 min
RGPD

Legiscope vs Vanta : comparatif RGPD 2026

12 avril 2026 · 12 min