Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Lundi 25 mai 2026
Accueil/RGPD/Article 90 RGPD : secret professionnel et pouvoirs CNIL
RGPD

Article 90 RGPD : secret professionnel et pouvoirs CNIL

Article 90 RGPD : comment le secret professionnel limite les pouvoirs d'enquête de la CNIL. Cadre français Art. 71 LIL, avocats, médecins, banquiers.

Par Thiebaut DevergrannePublie le 18 mai 2026Mis a jour le 18 mai 202618 min de lecture
Sommaire
  1. Ce que dit l’article 90 du RGPD
  2. Article 90(1) : la faculté de conciliation
  3. Article 90(2) : la notification à la Commission
  4. Le cadre français : article 71 de la loi Informatique et Libertés
  5. Application par profession
  6. Articulation avec les autres dispositions du RGPD
  7. Plan opérationnel pour les professions soumises au secret
  8. Sanctions
  9. Ce qu’il faut retenir
  10. FAQ

L’article 90 du RGPD est l’une des dispositions les plus discrètes du règlement — et pourtant celle qui détermine concrètement jusqu’où la CNIL peut pénétrer dans le cabinet d’un avocat, le dossier d’un médecin ou l’archive d’un journaliste. Il pose la règle de conciliation entre deux blocs juridiques d’égale dignité : la protection des données personnelles d’un côté, l’obligation de secret professionnel de l’autre. Dans ma pratique de conseil auprès des professions réglementées, je constate que cette articulation est presque toujours mal comprise : les uns brandissent le secret comme un blanc-seing exonératoire de RGPD, les autres oublient que la CNIL ne peut pas tout exiger lorsque le secret protège la confidence d’un client, d’un patient ou d’une source. Voici l’analyse paragraphe par paragraphe et la lecture française de l’Art. 90 du RGPD.

Ce que dit l’article 90 du RGPD

L’Art. 90 RGPD s’intitule « Obligations de secret ». Il appartient au chapitre IX du règlement consacré aux situations particulières de traitement, aux côtés de l’Art. 85 sur la liberté d’expression et le journalisme, de l’Art. 86 sur l’accès aux documents publics, de l’Art. 87 sur le NIR, de l’Art. 88 sur les relations de travail et de l’Art. 89 sur la recherche, l’archivage et la statistique. Il referme la séquence des arbitrages que le règlement européen a délégués aux États membres pour préserver des traditions juridiques nationales antérieures.

L’article comporte deux paragraphes brefs mais structurants.

« 1. Les États membres peuvent adopter des règles spécifiques afin de définir les pouvoirs des autorités de contrôle visés à l’article 58, paragraphe 1, points e) et f), à l’égard des responsables du traitement ou des sous-traitants qui sont soumis, en vertu du droit de l’Union ou du droit d’un État membre ou de règles arrêtées par les autorités nationales compétentes, à une obligation de secret professionnel ou à d’autres obligations de secret équivalentes, lorsque cela est nécessaire et proportionné pour concilier le droit à la protection des données à caractère personnel et l’obligation de secret. Ces règles ne s’appliquent qu’aux données à caractère personnel que le responsable du traitement ou le sous-traitant a reçues ou a obtenues dans le cadre d’une activité couverte par ladite obligation de secret.

  1. Chaque État membre notifie à la Commission les règles qu’il adopte en vertu du paragraphe 1, au plus tard le 25 mai 2018, et toute modification ultérieure les concernant. »

Article 90(1) : la faculté de conciliation

Le premier paragraphe ouvre aux États membres une faculté limitée d’aménager les pouvoirs d’enquête de la CNIL. Trois conditions cumulatives s’articulent.

Première condition : un responsable soumis à une obligation de secret

La faculté ne joue que si le responsable de traitement ou son sous-traitant est juridiquement tenu à un secret professionnel ou à une obligation équivalente. Le considérant 164 cite expressément les médecins, les avocats et les autres professions soumises au secret professionnel par le droit de l’Union ou le droit national. La liste française est plus large que le considérant ne le laisse penser et inclut notamment :

  • Les avocats (art. 66-5 de la loi n° 71-1130 du 31 décembre 1971, art. 226-13 du Code pénal, déontologie RIN art. 2),
  • Les médecins, sages-femmes et personnels de santé (art. L. 1110-4 et R. 4127-4 du Code de la santé publique, art. 226-13 C. pén.),
  • Les notaires et huissiers de justice (art. 23 de l’ordonnance n° 45-2590 du 2 novembre 1945, art. 226-13 C. pén.),
  • Les experts-comptables et commissaires aux comptes (art. 21 de l’ordonnance n° 45-2138 du 19 septembre 1945, art. L. 822-15 C. com., art. 226-13 C. pén.),
  • Les ministres du culte (art. 226-13 C. pén., jurisprudence constante Cass. crim. 4 décembre 1891 et 17 décembre 2002 n° 02-83.679),
  • Les banquiers (art. L. 511-33 du Code monétaire et financier),
  • Les fonctionnaires (art. L. 121-6 du Code général de la fonction publique, art. 26 de la loi n° 83-634 du 13 juillet 1983),
  • Les journalistes au titre du secret des sources (art. 2 de la loi du 29 juillet 1881 modifiée par la loi n° 2010-1 du 4 janvier 2010),
  • Les psychologues, mandataires judiciaires à la protection des majeurs, assistants de service social et autres travailleurs sociaux (art. L. 411-3 du Code de l’action sociale et des familles).

La Cour de cassation a précisé à plusieurs reprises (Cass. crim. 28 octobre 2008 n° 08-81.432, Cass. crim. 5 juin 2012 n° 11-86.638) que l’obligation de secret s’apprécie au titre de la fonction exercée et non du statut, ce qui élargit considérablement le champ matériel de l’Art. 90.

Deuxième condition : un test de nécessité et de proportionnalité

L’État membre ne peut adopter de règles d’aménagement que « lorsque cela est nécessaire et proportionné pour concilier le droit à la protection des données à caractère personnel et l’obligation de secret ». La formule renvoie au triple test classique du droit fondamental européen, déjà rappelé pour l’Art. 23 RGPD sur les limitations aux droits : essence du droit préservée, nécessité réelle, proportionnalité stricte. La CJUE applique ce standard avec une exigence renforcée lorsque le secret professionnel est en cause, comme l’a illustré l’arrêt C-694/20 Orde van Vlaamse Balies du 8 décembre 2022 sur l’obligation déclarative des avocats au titre de DAC 6 : la Cour a invalidé l’extension d’une obligation de signalement à l’avocat dès lors qu’elle portait une atteinte disproportionnée au secret professionnel garanti par l’art. 7 de la Charte. Cette logique vaut a fortiori pour les pouvoirs d’enquête au titre du RGPD.

Troisième condition : un champ matériel limité aux données protégées par le secret

La dernière phrase de l’Art. 90(1) restreint l’aménagement aux seules données « reçues ou obtenues dans le cadre d’une activité couverte par ladite obligation de secret ». Conséquence pratique majeure dans un cabinet d’avocats : le secret protège les correspondances avec le client, les pièces du dossier et les notes manuscrites, mais ne protège pas le registre des activités de traitement de l’Art. 30 RGPD, la base RH du cabinet, la comptabilité ou les données marketing. La distinction est centrale dans la pratique : la CNIL peut contrôler la conformité d’un cabinet sur l’ensemble de ses traitements de support sans heurter le secret, mais ne peut pas exiger la production des dossiers clients.

Article 90(2) : la notification à la Commission

Le second paragraphe impose aux États membres de notifier à la Commission les règles spécifiques adoptées en vertu du paragraphe 1, au plus tard le 25 mai 2018 — date d’entrée en application du RGPD — et toute modification ultérieure. La France a notifié ses règles par communication du SGAE en mai 2018, en visant principalement l’art. 71 de la loi Informatique et Libertés (ci-dessous) et les régimes sectoriels pré-existants. Cette notification est consultable sur le registre tenu par la Commission au titre de l’art. 97 RGPD.

Le cadre français : article 71 de la loi Informatique et Libertés

La France a actionné la faculté de l’Art. 90 par l’art. 71 de la loi n° 78-17 du 6 janvier 1978 modifiée par l’ordonnance n° 2018-1125 du 12 décembre 2018, qui dispose :

« Pour l’exercice des missions mentionnées au b du 2° de l’article 8, lorsqu’elles concernent les traitements visés au I bis de l’article 31, la formation restreinte ou son président peuvent solliciter la communication d’éléments couverts par le secret professionnel mentionné aux articles 226-13 et 226-14 du Code pénal, dans le respect des règles déontologiques applicables aux professions concernées. »

La loi française articule donc deux logiques. D’une part, elle reconnaît que la CNIL peut obtenir des éléments couverts par le secret professionnel lorsque l’enquête le rend nécessaire, en particulier pour les fichiers de souveraineté et de santé. D’autre part, elle subordonne cette communication au « respect des règles déontologiques applicables aux professions concernées », ce qui réintroduit les régimes spéciaux profession par profession.

Les pouvoirs CNIL concrètement encadrés

Les pouvoirs d’enquête de la CNIL sont définis aux art. 19 et 20 LIL et renvoient eux-mêmes aux art. 58(1)(e) et 58(1)(f) RGPD visés par l’Art. 90 : obtenir du responsable de traitement la communication de toute information nécessaire à l’exécution de ses missions et accéder aux locaux professionnels. L’art. 19 LIL prévoit que les contrôles sur place ne peuvent commencer qu’après information du procureur de la République et que les agents de la CNIL peuvent accéder à tous les locaux professionnels. L’art. 20 LIL définit la procédure de mise en demeure, de sanction et d’astreinte par la formation restreinte.

L’application de ces pouvoirs aux professions soumises au secret est restrictive. Trois principes structurent la pratique :

  1. Le secret ne fait pas obstacle au contrôle lui-même : la CNIL peut entrer dans un cabinet d’avocats ou un cabinet médical, vérifier le registre Art. 30, examiner les mesures de sécurité Art. 32, contrôler la sous-traitance Art. 28 RGPD et les transferts Art. 44-49.

  2. Le secret fait obstacle à l’accès au contenu protégé : la CNIL ne peut pas exiger la production de pièces couvertes par le secret — dossier client de l’avocat, dossier médical, identité de la source journalistique — sauf à passer par les procédures déontologiques spéciales (bâtonnier pour les avocats, conseil départemental de l’ordre pour les médecins).

  3. Le détenteur du secret peut l’opposer activement : l’avocat peut opposer le secret à la CNIL en présence du bâtonnier (art. 56-1 et 56-1-1 du Code de procédure pénale, transposés par analogie aux contrôles administratifs), le médecin peut refuser de produire le dossier patient hors levée du secret par le patient lui-même (art. L. 1110-4 CSP), le journaliste peut refuser de révéler ses sources (art. 2 loi 1881).

Application par profession

Avocats : le secret absolu et le rôle du bâtonnier

Le secret de l’avocat couvre l’intégralité de la correspondance avec le client, les consultations, les pièces du dossier et les notes professionnelles, sans limitation de temps (art. 66-5 loi 1971, art. 4 RIN). La jurisprudence européenne renforce ce statut : CJUE C-694/20 du 8 décembre 2022 (Orde van Vlaamse Balies) sur la confidentialité des communications avocat-client et CEDH André et autres c. France du 24 juillet 2008 n° 18603/03 sur la perquisition au cabinet d’avocats.

Dans la pratique CNIL, un contrôle d’un cabinet d’avocats se déroule en présence du bâtonnier ou de son délégué. Les éléments susceptibles d’être couverts par le secret sont placés sous scellés et leur exploitation est tranchée par le juge des libertés et de la détention, par transposition du dispositif des art. 56-1 et 56-1-1 du Code de procédure pénale. L’article /rgpd-cabinet-avocats détaille la cartographie complète des traitements d’un cabinet et la frontière entre support et activité couverte.

Médecins et professions de santé : le secret médical et la levée par le patient

Le secret médical est posé à l’art. L. 1110-4 CSP comme un droit du patient (et non du médecin), avec un régime de levée extrêmement strict — accord exprès du patient, dérogations légales énumérées, ayants droit après décès dans les seuls trois cas de l’art. L. 1110-4 V. Le RGPD ne modifie pas ce régime : la CNIL contrôle la conformité globale du cabinet mais ne peut pas accéder au dossier patient sans autorisation expresse du patient ou hors les cas légaux de levée. Le guide pratique /rgpd-cabinet-medical cartographie les traitements et les frontières du secret. L’articulation avec l’Art. 9 RGPD sur les données de santé est centrale : la base légale de traitement existe (Art. 9(2)(h)), mais elle n’aménage pas le secret.

Notaires, experts-comptables, commissaires aux comptes

Le secret professionnel de ces officiers publics ou auxiliaires de justice est sanctionné par l’art. 226-13 C. pén. et précisé par les ordonnances de 1945 spécifiques à chaque profession. Le guide /rgpd-experts-comptables détaille la difficulté particulière de ces professions : leur secret couvre les pièces comptables et financières confiées par le client, mais la CNIL peut contrôler l’ensemble des traitements de support (paie interne, CRM, sous-traitance SaaS). Pour les notaires, la base notariale (fichier des successions, BNUI, Télé@ctes) relève d’un régime spécifique géré par le CSN, dont la conformité RGPD est encadrée par avis CNIL n° 2019-066 du 30 mai 2019.

Banquiers : le secret bancaire et ses exceptions

Le secret bancaire est posé à l’art. L. 511-33 CMF, mais il connaît des exceptions très larges au profit de l’AMF, l’ACPR, l’administration fiscale, Tracfin, les autorités judiciaires et même la CNIL dans le cadre de ses missions d’investigation. La doctrine constante (ACPR-CNIL, communiqué conjoint du 11 décembre 2014 sur le démarchage et la prospection, position CNIL DPO bancaire 2019) reconnaît à la CNIL un accès aux données couvertes par le secret bancaire dès lors que la finalité du contrôle est la protection des personnes concernées. La frontière est plus poreuse que pour les autres secrets.

Journalistes : le secret des sources

Le secret des sources journalistiques est protégé par l’art. 2 de la loi 1881 modifiée par la loi n° 2010-1 du 4 janvier 2010 et renforcé par la jurisprudence CEDH (Goodwin c. Royaume-Uni 27 mars 1996, Voskuil c. Pays-Bas 22 novembre 2007, Sanoma Uitgevers c. Pays-Bas 14 septembre 2010). Le journaliste peut opposer le secret à la CNIL pour tout traitement « ayant pour seule fin l’exercice de leurs missions » au sens de l’art. 80 LIL. L’articulation avec l’Art. 85 RGPD sur la liberté d’expression et le journalisme est ici décisive : le régime dérogatoire de l’Art. 85 et le régime d’Art. 90 se combinent pour offrir une double protection.

Articulation avec les autres dispositions du RGPD

L’Art. 90 RGPD n’opère pas en silo. Il s’articule avec plusieurs autres dispositions structurantes.

L’Art. 38(5) RGPD impose au DPO un secret ou une confidentialité « lors de l’exécution de ses missions, conformément au droit de l’Union ou au droit des États membres ». En droit français, ce secret est de nature contractuelle pour le DPO interne ; il est légal pour le DPO externalisé soumis à une obligation déontologique propre (avocat, expert-comptable). L’Art. 90 vient renforcer cette obligation côté autorité de contrôle.

L’Art. 9 RGPD sur les données sensibles et l’Art. 10 RGPD sur les données pénales se cumulent avec l’Art. 90 dans les professions de santé (Art. 9(2)(h)) et juridiques (Art. 10 + Art. 90). Le secret professionnel ne crée pas la base légale ; il aménage les pouvoirs de contrôle. La base légale doit toujours exister par ailleurs.

L’Art. 77 RGPD sur la réclamation auprès de la CNIL : un patient ou un client peut toujours saisir la CNIL ; le secret professionnel ne fait pas obstacle à la recevabilité. Mais l’instruction de cette réclamation tiendra compte des limites de l’Art. 90.

L’Art. 23 RGPD sur les limitations aux droits : le secret professionnel peut justifier la restriction du droit d’accès Art. 15 lorsque l’exercice de ce droit conduirait à révéler des informations sur un tiers protégé par le secret. La CNIL admet cette articulation dans sa délibération n° 2018-153 du 3 mai 2018 sur les droits des personnes.

Plan opérationnel pour les professions soumises au secret

Sur la base de 20 ans d’accompagnement de cabinets d’avocats, cabinets médicaux et cabinets d’expertise comptable, voici un plan en six chantiers.

Chantier 1 — Cartographie binaire des traitements. Distinguer dans le registre Art. 30 deux catégories : traitements couverts par le secret (dossiers clients/patients) et traitements de support (RH, comptabilité interne, CRM marketing, formation). Cette distinction conditionne la défense en cas de contrôle CNIL.

Chantier 2 — Procédure de contrôle CNIL. Préparer une note interne décrivant le déroulement d’un contrôle CNIL : convocation du bâtonnier/président du conseil ordinal en début de contrôle, opposition motivée du secret, mise sous scellés des éléments litigieux, transmission au juge compétent. Cette note doit être communiquée aux associés et collaborateurs.

Chantier 3 — Sous-traitance et secret. Tout sous-traitant (SaaS de gestion de cabinet, hébergeur, infogérance) doit être contractuellement tenu à une obligation de confidentialité au moins équivalente au secret du donneur d’ordre, avec audit possible et clauses de réversibilité. L’Art. 28 RGPD ne suffit pas : un avenant déontologique est nécessaire.

Chantier 4 — Droits des personnes. Préparer des modèles de réponse aux demandes d’accès Art. 15 distinguant les données accessibles directement (données administratives, facturation, RDV) et les données nécessitant une procédure spéciale (dossier médical au sens de l’art. L. 1111-7 CSP, dossier d’avocat). Articuler avec l’Art. 12 RGPD sur les modalités d’exercice des droits.

Chantier 5 — Sécurité renforcée. Le secret impose une sécurité renforcée au sens de l’Art. 32 RGPD : chiffrement systématique au repos (AES-256) et en transit (TLS 1.3), authentification forte MFA, journalisation des accès conservée 6 ans, dépôt légal des archives papier en armoires sécurisées. Le défaut de sécurité dans une profession à secret constitue une circonstance aggravante au sens de l’Art. 83(2)(k) RGPD.

Chantier 6 — Notification de violation. En cas de violation de données couvertes par le secret, l’obligation de notification de l’Art. 33 RGPD à la CNIL et de communication aux personnes Art. 34 se cumule avec une obligation déontologique de signalement à l’ordre professionnel et, le cas échéant, au procureur (art. 40 CPP pour les fonctionnaires).

Sanctions

L’Art. 90 n’a pas de sanction administrative propre — il aménage des pouvoirs, il ne crée pas d’obligations. Mais la violation des principes qu’il articule expose le responsable à un cumul de sanctions :

  • Sanction administrative CNIL au titre de l’Art. 83(5)(d) RGPD — 20M€ ou 4% du CA mondial — pour la méconnaissance des obligations spécifiques applicables au traitement de données protégées par le secret.
  • Sanction pénale au titre de l’art. 226-13 du Code pénal — 1 an d’emprisonnement et 15 000 € d’amende (75 000 € pour la personne morale) — pour la révélation d’une information à caractère secret.
  • Sanction disciplinaire par l’ordre professionnel : avertissement, blâme, interdiction temporaire d’exercer, radiation.
  • Action de groupe au titre de la loi n° 2024-364 du 22 avril 2024 et de l’Art. 80 RGPD en cas d’atteinte collective au secret.
  • Réparation civile au titre de l’Art. 82 RGPD au profit des personnes dont le secret a été violé.

Ce qu’il faut retenir

  • L’Art. 90 RGPD permet aux États membres d’aménager les pouvoirs d’enquête de la CNIL pour préserver le secret professionnel. La France l’a fait par l’art. 71 LIL et par maintien des régimes sectoriels.
  • Le secret professionnel ne fait pas obstacle au contrôle CNIL en lui-même, mais il fait obstacle à l’accès au contenu protégé (dossier client, dossier médical, source journalistique).
  • La distinction entre traitements couverts par le secret et traitements de support est centrale dans le registre Art. 30 et dans la défense en cas de contrôle.
  • Avocats, médecins, notaires, experts-comptables, journalistes, banquiers et ministres du culte bénéficient de régimes spécifiques articulés avec l’Art. 90.
  • Sanctions cumulatives : administrative CNIL Art. 83, pénale art. 226-13 C. pén., disciplinaire ordinale, civile Art. 82 et action de groupe.

FAQ

La CNIL peut-elle accéder au dossier client d’un avocat ?

Non, sauf à passer par la procédure du bâtonnier et, en cas de contestation, du juge des libertés et de la détention. La CNIL peut entrer dans le cabinet et contrôler les traitements de support (RH, comptabilité, sous-traitance SaaS), mais ne peut pas exiger la production des pièces couvertes par le secret professionnel de l’avocat au sens de l’art. 66-5 de la loi du 31 décembre 1971.

Le secret médical fait-il obstacle au droit d’accès Art. 15 RGPD du patient ?

Non, mais il en aménage la procédure. Le patient peut accéder à l’intégralité de son dossier médical au titre de l’art. L. 1111-7 CSP et de l’Art. 15 RGPD, selon la procédure du Code de la santé publique (délai de 8 jours, accès direct ou par médecin de son choix). Un tiers ne peut pas accéder au dossier sans levée expresse du secret par le patient lui-même.

Que se passe-t-il en cas de violation de données dans un cabinet à secret professionnel ?

Le responsable cumule trois obligations de signalement : notification à la CNIL sous 72 heures au titre de l’Art. 33 RGPD, communication aux personnes concernées si risque élevé au titre de l’Art. 34 RGPD, et signalement à l’ordre professionnel au titre des règles déontologiques. La violation du secret professionnel expose en outre à la sanction pénale de l’art. 226-13 C. pén.

Un DPO externalisé avocat est-il soumis au secret professionnel pour ses missions DPO ?

Oui, mais le périmètre est délicat. Le DPO avocat reste soumis au secret de la profession au sens de l’art. 66-5 de la loi 1971 pour les éléments reçus dans le cadre d’une consultation juridique. En revanche, les éléments traités au titre exclusif de la mission DPO relèvent du secret du DPO au sens de l’Art. 38(5) RGPD. En pratique, il est essentiel de cartographier dès la lettre de mission ce qui relève de chaque régime.

Le secret bancaire protège-t-il un client face à la CNIL ?

Faiblement. L’art. L. 511-33 CMF connaît des exceptions très larges au profit des autorités d’investigation, et la doctrine reconnaît à la CNIL un accès aux données couvertes par le secret bancaire dans le cadre de ses missions de protection des personnes concernées. Le secret bancaire reste cependant opposable aux demandes émanant de tiers privés non habilités.

Cet article fait partie de la série « RGPD article par article » qui décrypte chaque disposition du règlement en pratique. Pour recevoir nos analyses de conformité chaque semaine, abonnez-vous à notre newsletter.

Articles lies

RGPD

Article 63 RGPD : le mécanisme de cohérence décrypté

25 mai 2026 · 18 min
RGPD

Article 64 RGPD : l'avis du CEPD décrypté

24 mai 2026 · 18 min
RGPD

Article 65 RGPD : la décision contraignante du CEPD

24 mai 2026 · 18 min