Page 24

compliance

collaborateur ou un membre du personnel administratif devienne DPD, parallèlement à ses autres tâches, pour autant qu’il dispose du temps matériel pour exercer la fonction de DPD. Cependant, si cet employé est en charge des systèmes de l’information, il sera également confronté à un conflit d’intérêts, puisqu’il devra examiner les mesures de sécurité qu’il mettra lui-même en place. Enfin, dans ce même but d’indépendance, il ne pourra pas être mis fin au contrat (de travail ou de services) du DPD en raison des avis émis. L’expérience développée par le collaborateur nommé DPD permettra d’offrir ce même service aux clients du cabinet en tant que DPD externe. Bien conscients de l’opportunité que constitue ce nouveau marché pour leurs membres, certains ordres ont déjà posé des garde-fous, à l’initiative du CCBE. Les barreaux français et bruxellois francophone interdisent ainsi à leurs membres d’assumer la fonction de DPD quand ils sont déjà intervenus en qualité d’avocat dans des matières qui peuvent rentrer dans le champ d’activité du DPD, ou à l’inverse, s’ils exercent à l’origine la fonction de DPD, d’agir par la suite en tant qu’avocat pour le même client dans ces matières. Par ailleurs, si l’avocat exerçant la mission de DPD externe constate que son client se maintient dans l’illégalité malgré les 1

conseils prodigués, il sera dans l’obligation déontologique de mettre fin à sa mission. Le Barreau francophone de Bruxelles exige enfin que ses membres informent leur Bâtonnier avant d’exercer ce type de mission.

Analyse d’impact Le traitement de données particulières à grande échelle emportera, en plus de l’obligation de désigner un DPD, celle de réaliser une analyse d’impact des traitements concernés, même s’ils ont déjà cours avant mai 2018. Il en sera de même si le cabinet procède à du profilage à des fins publicitaires. Aucune méthode spécifique d’analyse n’est imposée. Le but de cette autoévaluation est d’identifier les risques en cas de vol, d’altération, de suppression… et d’ainsi limiter les chances qu’ils ne se produisent en adaptant les mesures de protection. Si un doute subsiste au terme de l’analyse, le cabinet devra interroger l’APD, qui remettra son avis dans un délai de 8, voire 14 semaines.

Fondement juridique des finalités de traitement L’avocat doit définir, pour chaque traitement, quel est le but recherché (notion de finalité) et sur quel fondement juridique cette finalité

repose. Si l’objectif poursuivi n’est pas (1) l’exécution du contrat, (2) l’accomplissement d’une obligation légale (comme l’obligation de prévention du blanchiment), ou (3) d’une mission d’intérêt public1, l’avocat doit être en mesure d’apporter (4) soit la preuve délicate que l’intérêt légitime qu’il poursuit en traitant les données prévaut sur l’intérêt de la personne concernée au respect de sa vie privée, soit (5) qu’il a obtenu le consentement spécifique, explicite, libre et éclairé de la personne concernée. Puisqu’il doit être spécifique, le consentement ne peut donc pas porter à la fois sur le traitement de DCP et sur les conditions financières annoncées par l’avocat. En tout état de cause, puisque le consentement doit être libre, il ne peut être question pour un avocat de conditionner son intervention à l’accord sur un traitement de données qui n’est pas strictement nécessaire à l’exercice de sa mission. Le consentement peut par ailleurs être retiré sans motif à tout moment. Il faut ainsi se préparer à arrêter le traitement des données en question si le consentement est retiré. On voit donc que, si l’utilisation des coordonnées d’un client pour l’introduction d’une procédure est justifiée par l’exécution du contrat entre le client et l’avocat, il en va différemment pour l’utilisation de ces mêmes coordonnées pour l’invitation à une garden party. Une analyse de chaque finalité actuellement poursuivie par l’avocat doit donc être effectuée.

Obligation d’information L’avocat ne doit pas s’en tenir à ce travail d’introspection puisqu’il doit en faire part aux personnes concernées et les informer de leurs droits à cet égard. L’avocat doit donc rédiger

La sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, 6e fondement légal admis, pourra rarement être appliquée par un avocat.

22 | managing lawyer | 04.2017 | N.6

Profile for Groupe Larcier

Managing Lawyer Numero 6 2017/4  

Managing Lawyer Numero 6 2017/4  

Advertisement