Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Samedi 18 juillet 2026
RGPD

RGPD cabinet d'avocats 2026 : guide, registre, checklist

RGPD pour cabinet d'avocats en 2026 : secret professionnel, registre, durées de conservation, sous-traitants, IA et checklist de mise en conformité.

L’essentiel. Un cabinet d’avocats traite quotidiennement des données parmi les plus sensibles qui soient — santé, patrimoine, procédures pénales, conflits familiaux. Le secret professionnel ne dispense pas du RGPD : les deux régimes se cumulent. L’avocat est responsable de traitement, jamais sous-traitant de son client. Les trois points où les cabinets pèchent le plus sont la documentation des durées de conservation, la cartographie des sous-traitants et l’usage non encadré de l’IA générative. Ce guide 2026 détaille le régime applicable et vous donne un registre type, un tableau des durées et une checklist de mise en conformité.

Un cabinet d’avocats manipule tous les jours des données parmi les plus sensibles qui soient : identité, santé, patrimoine, procédures judiciaires, conflits familiaux. Pourtant, dans les audits que je mène, les cabinets figurent souvent parmi les structures les plus en retard sur leur conformité RGPD — un paradoxe d’autant plus risqué que la nature des données manipulées expose directement aux droits des personnes et à la vigilance de l’autorité de contrôle. Voici ce qu’il faut mettre en place, concrètement.

Pourquoi les avocats sont particulièrement exposés

Le secret professionnel de l’avocat (article 66-5 de la loi du 31 décembre 1971) ne dispense pas de l’application du RGPD. Les deux régimes se superposent : le secret protège le client contre la divulgation, le RGPD encadre le traitement des données. Un cabinet peut parfaitement respecter son secret professionnel tout en violant le RGPD, et inversement.

La particularité de la profession tient à trois éléments.

La nature des données. Données d’identification, données de santé dans les dossiers pénaux ou de droit social, données patrimoniales et bancaires, antécédents judiciaires, informations sur la vie privée des clients et des tiers. La plupart relèvent de l’article 9 (données sensibles) ou de l’article 10 (condamnations et infractions).

La diversité des personnes concernées. Le cabinet traite les données de ses clients, mais aussi de leurs adversaires, de témoins, d’enfants dans les dossiers familiaux, de salariés de l’entreprise cliente. Toutes ces personnes disposent des mêmes droits.

La durée de conservation. Un dossier d’avocat ne se détruit pas à la fin de la prestation. L’archivage professionnel, la conservation des fonds de dossier, les obligations déontologiques et les délais de prescription conduisent à des conservations longues qui doivent être justifiées.

À noter pour 2026 : le droit à l’effacement figure parmi les thématiques de contrôle coordonnées au niveau européen. Or c’est précisément le point le plus délicat pour un cabinet, dont les longues durées de conservation doivent être solidement motivées face à une demande d’effacement. Un cabinet qui ne sait pas justifier ses durées est directement exposé.

Le régime applicable : responsable de traitement, pas sous-traitant

Contrairement à une idée reçue, l’avocat n’est jamais sous-traitant de son client au sens de l’article 4(8) du RGPD. L’avocat est responsable de traitement (article 4(7)) : il détermine seul les finalités et les moyens du traitement des données de son client, dans le cadre de son mandat. C’est la position constante du Conseil National des Barreaux (CNB) et de la CNIL.

Cette qualification a des conséquences pratiques :

  • Le cabinet n’a pas à signer d’accord de sous-traitance (DPA) avec le client ; l’article 28 du RGPD ne s’applique pas à cette relation.
  • Le cabinet répond directement de la conformité du traitement devant les personnes concernées et la CNIL.
  • Les obligations d’information incombent au cabinet, pas au client.
  • En cas de violation de données, c’est le cabinet qui notifie la CNIL si les conditions de l’article 33 sont remplies.

En revanche, lorsque le cabinet fait appel à des prestataires (hébergeur, logiciel de gestion, secrétariat externalisé), il devient responsable de traitement vis-à-vis de ces prestataires, qui sont eux ses sous-traitants.

Les bases légales mobilisables

La question de la base légale est plus subtile qu’il n’y paraît pour un cabinet. Il faut distinguer plusieurs situations.

Type de données Base légale principale Précisions
Données du client Exécution du contrat (art. 6(1)(b)) Le mandat ; + obligation légale pour facturation/comptabilité
Données des tiers au dossier Intérêt légitime (art. 6(1)(f)) Défendre les intérêts du client, sous réserve d’une mise en balance
Données sensibles (art. 9) Art. 9(2)(f) Constatation, exercice ou défense d’un droit en justice
Données pénales (art. 10) Loi Informatique et Libertés Traitement encadré par le droit national
Prospection / clientèle Consentement ou intérêt légitime Selon le canal et le public

Pour les données des tiers, l’intérêt légitime doit être documenté par un test de mise en balance : l’intérêt du client à voir sa cause défendue prime généralement, mais l’analyse doit être écrite. Pour les données pénales de l’article 10, la loi Informatique et Libertés autorise, dans les conditions qu’elle fixe, les auxiliaires de justice à traiter ces données dans le cadre de leur mission ; c’est ce fondement qui couvre l’activité contentieuse pénale.

Le registre des traitements du cabinet

L’exonération de registre pour les structures de moins de 250 salariés (article 30(5)) ne s’applique pas dès lors qu’il y a traitement régulier ou données sensibles — autant dire jamais pour un cabinet d’avocats. Le registre des traitements est donc obligatoire, quelle que soit la taille du cabinet.

Pour un cabinet type, le registre comporte généralement les fiches suivantes :

Fiche de traitement Données sensibles ? Point de vigilance
Gestion des dossiers clients Oui (art. 9/10) Cœur de métier, cloisonnement des accès
Gestion de la clientèle et prospection Non Base légale et opt-in
Comptabilité et facturation Non Conservation 10 ans
Gestion des salariés et collaborateurs Parfois Durées Code du travail
Site web et formulaire de contact Non Cookies, minimisation
Vidéosurveillance des locaux Non Durée d’un mois en principe
Archivage des dossiers clôturés Oui Justification des durées
Outils collaboratifs (messagerie, cloud, visio) Oui Localisation et DPA

Chaque fiche doit indiquer la finalité, les catégories de données (en identifiant les données sensibles), les catégories de personnes, les destinataires internes et externes, les durées de conservation, les mesures de sécurité et l’existence éventuelle de transferts hors UE.

Dans mon expérience, les deux points sur lesquels les cabinets pèchent le plus sont la documentation des durées de conservation et la cartographie des sous-traitants — précisément les deux éléments examinés en priorité lors d’un contrôle. Un logiciel RGPD permet d’industrialiser la tenue du registre, le suivi des durées et la relance des DPA, là où le tableur devient vite ingérable dès qu’un cabinet dépasse une poignée de collaborateurs.

Durées de conservation : la question la plus complexe

La durée de conservation des dossiers d’avocats est une source récurrente de difficultés, car plusieurs régimes coexistent.

Catégorie Durée Fondement
Dossier actif Durée de la prestation Exécution du contrat
Dossier clôturé 5 ans à compter de la clôture Prescription de la responsabilité civile professionnelle (art. 2225 C. civ)
Comptabilité et facturation 10 ans Art. L123-22 du Code de commerce
Données de prospection 3 ans après le dernier contact Doctrine CNIL
Vidéosurveillance 1 mois en principe Doctrine CNIL
Archives définitives Illimitée, accès restreint Intérêt historique ou probatoire justifié

La règle d’or : chaque durée doit être écrite dans le registre, justifiée par un texte ou un besoin documenté, et faire l’objet d’une purge effective à échéance. Le défaut de purge — conserver « au cas où », sans limite ni justification — est l’un des griefs les plus fréquemment retenus par la CNIL. Une politique d’archivage doit distinguer l’archive courante (dossier actif), l’archive intermédiaire (accès restreint) et l’archive définitive.

Gérer les sous-traitants du cabinet

Un cabinet moderne fait appel à de nombreux prestataires qui traitent des données pour son compte. Pour chacun, l’article 28 impose un contrat écrit (DPA) comportant les mentions de l’article 28(3).

Type de sous-traitant Exemples Vigilance particulière
Logiciel de gestion de cabinet Secib, Cicero, Diapaz, Kleos Localisation des serveurs, accès éditeur
Hébergeur cloud Divers UE de préférence, SecNumCloud pour le sensible
Visioconférence Divers Confidentialité des échanges
Signature électronique Divers Intégrité et conservation
Secrétariat externalisé Divers Secret professionnel, clause renforcée
Sauvegarde / archivage Divers Chiffrement, réversibilité

Un audit rapide révèle souvent que 30 à 50 % des prestataires n’ont pas signé de DPA, que la liste des sous-traitants ultérieurs n’est jamais communiquée, et que l’hébergement est parfois situé hors UE sans garanties appropriées au sens de l’article 46. Un questionnaire d’évaluation des sous-traitants systématise cette revue.

Deux points d’attention propres à la profession :

Compatibilité avec le secret professionnel. Le recours à un sous-traitant suppose que le secret soit préservé. Le DPA doit inclure une clause de confidentialité renforcée et, idéalement, une interdiction d’accès aux données par le prestataire hors cas strictement nécessaires.

Hébergement en France ou dans l’UE. Le CNB recommande depuis 2021 un hébergement des données des dossiers clients dans l’UE, idéalement en France avec qualification SecNumCloud pour les données les plus sensibles. Cette recommandation n’a pas valeur obligatoire, mais elle protège contre les risques d’accès extraterritorial (CLOUD Act américain notamment).

L’IA générative au cabinet : le nouvel angle mort de 2026

C’est le sujet qui monte le plus vite et le moins encadré. De plus en plus d’avocats utilisent des outils d’IA générative pour rédiger, résumer une jurisprudence ou préparer une consultation. Trois risques se cumulent lorsque des données de dossier y sont saisies :

  1. Secret professionnel : saisir des éléments d’un dossier dans un outil grand public revient potentiellement à les divulguer à un tiers, ce qui peut caractériser une violation du secret.
  2. RGPD : l’outil d’IA est un sous-traitant qui doit être encadré par un DPA, avec une base légale, une information des personnes et une localisation maîtrisée. Les données peuvent aussi servir à entraîner le modèle si vous n’avez pas désactivé cette option.
  3. AI Act et transferts : selon l’outil, un transfert hors UE peut intervenir, et certains usages relèvent d’obligations spécifiques.

La règle pratique : n’utilisez que des outils dont vous maîtrisez le contrat et l’hébergement, désactivez l’entraînement sur vos données, pseudonymisez avant toute saisie, et documentez cet usage comme un traitement distinct. Pour les usages les plus sensibles, une analyse d’impact IA est indiquée ; suivez également les recommandations de la CNIL sur l’IA.

Les droits des personnes concernées

Les clients, mais aussi les tiers dont les données figurent dans les dossiers, disposent des droits des articles 12 à 22.

Droit d’accès (art. 15). Un client peut demander accès à ses données sans difficulté particulière. Si un tiers au dossier (adversaire, témoin) le demande, le cabinet peut opposer le secret professionnel, qui constitue une limitation légale au titre de l’article 23. Voir notre guide sur la réponse aux demandes d’accès et le détail de l’article 15.

Droit à l’effacement (art. 17). Il n’est pas absolu. Un ancien client ne peut exiger la destruction de son dossier tant que court le délai de prescription de la responsabilité civile professionnelle. L’article 17(3)(b) (obligation légale) et l’article 17(3)(e) (exercice ou défense d’un droit en justice) permettent de maintenir la conservation — encore faut-il l’avoir documenté.

Droit de rectification (art. 16). Une demande de rectification ne peut pas conduire à falsifier le dossier. Si des données sont erronées mais reflètent ce qui a été transmis à un instant donné, la rectification se gère par ajout d’une mention, pas par suppression.

Droit d’opposition (art. 21). Le droit d’opposition est inopposable pour les traitements fondés sur l’exécution du dossier ; il joue en revanche pour la prospection.

Une procédure écrite de traitement des demandes — qui les reçoit, qui les qualifie, qui répond dans le délai d’un mois — est indispensable dès qu’un cabinet dépasse une taille modeste.

Modèle de mention d’information client

À insérer dans la lettre d’ouverture de dossier ou les conditions d’intervention. Modèle indicatif fourni à titre documentaire — ne constitue pas un conseil juridique. À adapter à votre cabinet avant usage. Version de juillet 2026.

Les informations vous concernant sont traitées par le cabinet [nom], responsable de traitement, aux fins de gestion de votre dossier, de la relation client et du respect de nos obligations légales et déontologiques. Elles sont conservées pendant la durée de la prestation puis 5 ans après la clôture du dossier (10 ans pour les données comptables). Conformément au RGPD, vous disposez d’un droit d’accès, de rectification, d’effacement et de limitation, exercé auprès de [contact], dans les limites du secret professionnel et de nos obligations de conservation. Vous pouvez introduire une réclamation auprès de la CNIL.

Sécurité, mobilité et télétravail

L’article 32 impose des mesures « appropriées au risque ». Compte tenu de la sensibilité des données, le niveau d’exigence est élevé pour un cabinet :

  • Chiffrement des postes de travail et des supports amovibles ;
  • Authentification forte (MFA) pour l’accès aux outils de gestion ;
  • Gestion des droits d’accès par dossier (cloisonnement des équipes) ;
  • Sauvegardes chiffrées et testées régulièrement ;
  • Messagerie sécurisée pour les échanges avec les clients (RPVA/e-Barreau, messagerie chiffrée) ;
  • Traçabilité des accès aux dossiers ;
  • Politique de mots de passe conforme aux recommandations de la CNIL ;
  • Procédure de gestion des départs (retrait immédiat des accès).

La mobilité est un point critique : consultations en visioconférence, dossiers consultés depuis l’extérieur, ordinateurs portables. Une politique de télétravail conforme au RGPD et une charte informatique opposable aux collaborateurs encadrent ces usages. Pour les cabinets traitant régulièrement des données très sensibles (affaires pénales complexes, personnes exposées, contentieux stratégiques) ou utilisant des outils automatisés, une analyse d’impact (AIPD) peut être requise au titre de l’article 35.

Désigner un DPO : obligatoire ou pas ?

L’article 37(1) rend la désignation d’un DPO obligatoire dans trois cas : autorité publique, suivi régulier et systématique à grande échelle, ou traitement à grande échelle de données sensibles ou de données d’infraction.

Un cabinet individuel ou de petite taille n’est généralement pas soumis à l’obligation de désigner un DPO : la notion de « grande échelle » exclut les praticiens individuels, selon les lignes directrices WP 243 du G29 reprises par le Comité européen de la protection des données. En revanche, un cabinet d’affaires important, une structure gérant de nombreux dossiers pénaux ou un cabinet spécialisé en droit de la santé peut tomber sous le coup de l’obligation.

Au-delà de 20 à 25 collaborateurs, la désignation — obligatoire ou volontaire — est vivement recommandée. Le DPO externalisé est souvent privilégié : il apporte une expertise dédiée et évite le conflit d’intérêts d’un DPO interne qui serait à la fois conseil et contrôleur.

Checklist de mise en conformité

Checklist indicative fournie à titre documentaire — à adapter à votre cabinet. Version de juillet 2026.

  • [ ] Registre des traitements complet, avec identification des données sensibles
  • [ ] Durées de conservation documentées et purge effective en place
  • [ ] DPA signés avec tous les sous-traitants clés
  • [ ] Liste des sous-traitants ultérieurs et localisation des hébergements vérifiées
  • [ ] Mention d’information dans la lettre d’ouverture de dossier et sur le site
  • [ ] Procédure écrite de gestion des demandes de droits (délai d’un mois)
  • [ ] Procédure de gestion des violations et notification 72 h prête
  • [ ] Mesures de sécurité de l’article 32 (chiffrement, MFA, cloisonnement)
  • [ ] Politique d’usage de l’IA générative encadrée
  • [ ] DPO désigné si requis, ou pilotage de la conformité clairement attribué

CNIL et contrôles : ce qu’il faut anticiper

Les points généralement examinés en cas de contrôle d’un professionnel manipulant des données sensibles sont :

  1. Existence et qualité du registre des traitements ;
  2. Information des personnes (mentions de l’article 13 sur le site et dans les courriers d’ouverture) ;
  3. DPA avec les sous-traitants clés ;
  4. Politique de durées de conservation et purge effective ;
  5. Mesures de sécurité techniques ;
  6. Procédure de gestion des droits et des violations.

En cas de manquement, les suites vont de la mise en demeure à la sanction pécuniaire. Le secteur juridique et para-juridique n’est pas à l’abri : la CNIL a déjà prononcé des mises en demeure et des sanctions à l’encontre de professionnels manipulant des données sensibles. Le montant d’une sanction dépend de la gravité, du caractère intentionnel et de la coopération — voir notre synthèse des sanctions RGPD. Les cabinets de droit de la santé ont un intérêt particulier à consulter aussi nos obligations spécifiques au secteur médical.

Ce qu’il faut retenir

  • Le secret professionnel ne dispense pas du RGPD : les deux régimes se cumulent.
  • L’avocat est responsable de traitement, jamais sous-traitant de son client.
  • Le registre est obligatoire, sans exception pour les petits cabinets.
  • Les durées de conservation doivent être documentées et purgées (5 ans post-clôture, 10 ans pour la comptabilité).
  • Chaque prestataire doit faire l’objet d’un DPA ; l’hébergement UE/France est fortement recommandé.
  • L’usage de l’IA générative doit être encadré : secret, RGPD et transferts.
  • Un DPO est obligatoire au-delà d’une certaine taille ; recommandé en deçà.

FAQ

Un avocat peut-il refuser une demande d’accès RGPD au nom du secret professionnel ?

Oui, lorsque la demande émane d’un tiers au dossier (adversaire, témoin) et que la communication porterait atteinte au secret dû au client. L’article 23 du RGPD et la loi Informatique et Libertés autorisent cette limitation. En revanche, un client ne peut se voir opposer le secret qui le protège lui-même : sa demande d’accès à ses propres données doit être satisfaite dans les conditions de l’article 15.

Quelle durée de conservation pour un dossier clôturé ?

La durée usuelle est de 5 ans à compter de la clôture, correspondant au délai de prescription de la responsabilité civile professionnelle (article 2225 du Code civil). Certains documents à valeur historique ou probatoire peuvent être conservés plus longtemps en archive définitive, avec accès restreint et justification documentée. Les données comptables et de facturation se conservent 10 ans. L’essentiel est d’écrire chaque durée dans le registre et de purger effectivement à échéance.

Un cabinet d’avocats doit-il signer un DPA avec son client ?

Non. L’avocat est responsable de traitement, pas sous-traitant. L’article 28, qui impose le DPA, ne s’applique pas à la relation avocat-client. En revanche, l’avocat doit signer un DPA avec ses propres prestataires (logiciel de gestion, hébergeur, secrétariat externalisé, outil d’IA), qui sont ses sous-traitants.

Un avocat seul doit-il désigner un DPO ?

Non, sauf cas particulier (traitement à grande échelle de données sensibles, nombreux dossiers pénaux). Pour un avocat individuel ou un petit cabinet, la désignation n’est pas obligatoire, mais la conformité l’est tout autant : elle peut être portée par l’avocat lui-même, avec l’appui éventuel d’un consultant externe. Au-delà de 20 à 25 collaborateurs, la désignation d’un DPO devient vivement recommandée.

Un avocat peut-il utiliser ChatGPT ou une IA pour rédiger ses actes ?

Avec prudence. Saisir des éléments identifiants d’un dossier dans un outil grand public peut porter atteinte au secret professionnel et constituer un traitement non encadré au regard du RGPD. Si vous utilisez l’IA, privilégiez des outils dont vous maîtrisez le contrat et l’hébergement, désactivez l’entraînement sur vos données, pseudonymisez avant toute saisie et documentez cet usage comme un traitement distinct. Pour les usages sensibles, une analyse d’impact et le respect des recommandations de la CNIL sur l’IA s’imposent.

Où héberger les données d’un cabinet d’avocats ?

Dans l’UE, idéalement en France. Le Conseil National des Barreaux recommande d’éviter les hébergeurs soumis à des lois extraterritoriales (CLOUD Act américain). Pour les données les plus sensibles, une qualification SecNumCloud de l’ANSSI est un gage de sécurité et de souveraineté. Dans tous les cas, un DPA conforme à l’article 28 et une clause de confidentialité renforcée compatible avec le secret professionnel sont indispensables.

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →