Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

RGPD notaire : obligations et guide pratique 2026

RGPD pour notaires : actes, données patrimoniales, secret professionnel, minutier central, visioconférence. Bases légales, durées, DPO et contrôles CNIL.

L’essentiel. Le notaire est responsable de traitement, jamais sous-traitant de ses clients. Officier public, il traite des données patrimoniales, familiales et parfois sensibles, couvertes par le secret professionnel — un régime qui se cumule avec le RGPD sans s’y substituer. La particularité majeure du secteur tient à la conservation : l’acte authentique et sa minute obéissent à des durées légales très longues (75 ans, voire davantage), qui priment sur le droit à l’effacement. Le minutier central électronique et la visioconférence des actes ajoutent des enjeux de sécurité propres à la profession.

Un office notarial traite chaque jour des données parmi les plus complètes qui soient sur une personne : identité, situation familiale, patrimoine, comptes bancaires, filiation, régime matrimonial, successions. L’acte authentique, socle de l’activité notariale, cristallise ces informations pour des décennies. Officier public délégataire de la puissance publique, le notaire est soumis à un secret professionnel strict — mais ce secret ne le dispense en rien du RGPD. Les deux régimes se superposent, et la conformité suppose de bien articuler les obligations déontologiques et les obligations de protection des données. Voici le cadre applicable.

Le notaire est responsable de traitement

Comme l’avocat, le notaire n’est jamais sous-traitant de son client. Il est responsable de traitement au sens de l’Art. 4(7) : il détermine seul les finalités et les moyens des traitements qu’il met en œuvre dans le cadre de sa mission d’officier public. Cette qualification structure toutes ses obligations :

  • Il tient son propre registre des traitements (Art. 30(1)).
  • Il informe directement les personnes concernées (Art. 13 et 14).
  • Il répond de la conformité devant la CNIL et les personnes concernées.
  • En cas de violation, c’est lui qui notifie la CNIL si les conditions de l’Art. 33 sont réunies.

Le secret professionnel du notaire (article 23 de la loi du 25 ventôse an XI, et code de déontologie) protège le client contre la divulgation ; le RGPD encadre le traitement lui-même. Un office peut respecter le secret et être en défaut RGPD, et inversement. Les deux régimes doivent être satisfaits simultanément.

Les traitements typiques de l’office

Traitement Base légale Durée de conservation
Établissement des actes authentiques Obligation légale / mission d’intérêt public Minutes : 75 ans, voire plus
Gestion des dossiers clients Exécution du contrat / obligation légale Durée du dossier + archivage
Données patrimoniales et bancaires Obligation légale (Art. 6(1)©) Selon nature de l’acte
Comptabilité et facturation Obligation légale (Art. 6(1)©) 10 ans (Code de commerce)
Lutte anti-blanchiment (LCB-FT) Obligation légale (Art. 6(1)©) 5 ans après la relation d’affaires
Gestion des clercs et salariés Contrat + obligation légale 5 ans après départ
Visioconférence pour actes à distance Mission d’intérêt public / obligation légale Selon règles de l’acte

La plupart des traitements notariaux reposent sur une obligation légale ou sur la mission d’intérêt public dont le notaire est investi en tant qu’officier public (Art. 6(1)© et (e)). Ces bases sont robustes et n’appellent pas le consentement du client pour l’établissement de l’acte.

Données sensibles et données patrimoniales

Les actes notariaux peuvent contenir des données sensibles au sens de l’Art. 9 : données de santé dans un mandat de protection future ou une donation liée à un handicap, appartenance religieuse dans certaines dispositions successorales, filiation dans les actes de famille. Le traitement de ces données suppose une exception de l’Art. 9(2), généralement l’Art. 9(2)(g) (motif d’intérêt public important prévu par le droit national) au regard de la mission de l’officier public.

Les données patrimoniales et bancaires, sans être « sensibles » au sens de l’Art. 9, présentent un fort potentiel de préjudice. Le principe de minimisation impose de ne collecter que ce qui est nécessaire à l’acte. Dans les transactions immobilières, le notaire manipule ces données en aval de l’agent immobilier, dont les obligations propres sont exposées dans notre guide sur le RGPD en immobilier. La collecte systématique de pièces excédentaires, fréquente en pratique, est un facteur de risque.

Les obligations de lutte contre le blanchiment (LCB-FT) imposent au notaire de recueillir et conserver des informations sur l’origine des fonds et l’identité des bénéficiaires effectifs. Ce traitement, imposé par la loi, obéit à ses propres durées de conservation (5 ans après la fin de la relation d’affaires).

La conservation : là où tout se distingue

C’est la spécificité la plus marquante de la profession. L’acte authentique n’est pas un document ordinaire : sa minute — l’original conservé par le notaire — doit être conservée pendant 75 ans à compter de sa date, délai porté à 100 ans lorsque l’acte concerne un mineur. Passé ce délai, les minutes sont versées aux archives départementales, où elles peuvent être conservées indéfiniment pour leur valeur historique.

Cette conservation légale de très longue durée prime sur le droit à l’effacement. Un client ne peut pas exiger la destruction de l’acte le concernant : l’Art. 17(3)(b) (obligation légale) et l’Art. 17(3)(d) (archivage dans l’intérêt public) font obstacle à toute suppression. C’est l’une des rares situations où le droit à l’oubli est structurellement neutralisé.

Le tableau des durées de conservation doit distinguer soigneusement : la minute (75 ans), les pièces annexes du dossier (durées plus courtes), la comptabilité (10 ans), les données LCB-FT (5 ans). Chaque catégorie a son régime, et la purge des données non couvertes par la conservation légale doit être effective.

Le minutier central électronique et la visioconférence

Deux dispositifs numériques structurent aujourd’hui l’activité notariale et concentrent les enjeux de sécurité.

Le Minutier Central Électronique des Notaires (MICEN) centralise les actes authentiques électroniques. Sa sécurité est encadrée par la profession et repose sur une infrastructure dédiée. L’office reste responsable de la sécurisation de ses propres accès et de la génération des actes.

La visioconférence pour les actes à distance, ouverte notamment pour la procuration authentique à distance, suppose des garanties fortes : identification certaine des parties, sécurité du canal, intégrité de l’acte. Le recours à la visioconférence relève des textes spécifiques encadrant l’acte notarial à distance et doit s’accompagner de mesures de sécurité adaptées (chiffrement, traçabilité, conservation sécurisée de l’enregistrement le cas échéant).

Pour ces dispositifs à fort enjeu, une analyse d’impact (AIPD) au titre de l’Art. 35 est recommandée, en particulier lorsqu’ils traitent à grande échelle des données patrimoniales sensibles.

Faut-il désigner un DPO ?

L’Art. 37 impose un DPO en cas de traitement à grande échelle de données sensibles ou de suivi systématique à grande échelle. Un office notarial individuel de petite taille n’est en principe pas soumis à l’obligation, la notion de « grande échelle » excluant les praticiens isolés (lignes directrices WP 243 du CEPD).

En revanche, un grand office pluriel, ou une structure traitant un très grand volume de dossiers successoraux et patrimoniaux, peut relever de l’obligation. Au-delà de sa taille, la profession a largement organisé la désignation de DPO mutualisés au niveau des instances notariales. Le DPO externalisé ou mutualisé est la solution la plus fréquente ; sa désignation est fortement recommandée dès qu’un office atteint une taille significative.

Les sous-traitants de l’office

Le notaire, responsable de traitement, fait appel à des prestataires qui traitent des données pour son compte : ce sont ses sous-traitants au sens RGPD. Chacun doit être encadré par un contrat conforme à l’Art. 28 du RGPD :

  • Éditeur du logiciel de rédaction d’actes et de gestion d’office (Genapi, Fiducial, iNot, etc.)
  • Prestataire d’hébergement et de sauvegarde
  • Prestataire de visioconférence pour les actes à distance
  • Service de dématérialisation et d’archivage électronique
  • Prestataire de signature électronique qualifiée
  • Sous-traitants comptables et RH

Compte tenu du secret professionnel, chaque contrat doit inclure une clause de confidentialité renforcée et privilégier un hébergement des données dans l’Union européenne. Un audit RGPD commence généralement par la cartographie de ces prestataires et la vérification de la signature effective des DPA.

Pour centraliser les contrats de sous-traitance de l’office, suivre l’état des DPA et cartographier les flux vers l’éditeur d’actes et l’hébergeur, Legiscope permet de tenir ce référentiel à jour et de documenter les mesures de sécurité attendues.

Sécurité et contrôles CNIL

L’Art. 32 impose un niveau de sécurité élevé, à la hauteur de la sensibilité des données patrimoniales et familiales : chiffrement des postes et des supports, authentification forte, gestion des habilitations par dossier, traçabilité des accès, sauvegardes chiffrées et testées, procédure de gestion des départs de clercs.

Les points susceptibles d’être examinés par la CNIL dans les professions du droit sont généralement :

  1. L’existence et la qualité du registre des traitements
  2. L’information des clients (mentions Art. 13)
  3. Les contrats Art. 28 avec les prestataires clés
  4. La politique de durées de conservation et la purge des données non archivées légalement
  5. Les mesures de sécurité, notamment sur le minutier électronique et la visioconférence
  6. La gestion des droits et des violations

Pour le cadre général des contrôles, voir notre dossier CNIL. Le notaire partage plusieurs de ces problématiques avec les autres professions réglementées : voir notre guide dédié au RGPD en cabinet d’avocats.

Checklist de conformité pour notaire

  • [ ] Registre des traitements (Art. 30(1)) tenu à jour — voir un exemple rempli
  • [ ] Durées de conservation documentées : minute (75 ans), comptabilité (10 ans), LCB-FT (5 ans)
  • [ ] Purge effective des données non couvertes par une conservation légale
  • [ ] Contrats Art. 28 signés avec l’éditeur de logiciel, l’hébergeur et le prestataire de visio
  • [ ] Hébergement des données dans l’UE et clause de confidentialité renforcée
  • [ ] AIPD pour la visioconférence et les traitements à grande échelle
  • [ ] Sécurisation des accès au minutier électronique
  • [ ] Information des clients (Art. 13) sur les traitements
  • [ ] DPO désigné ou mutualisé pour les offices de taille significative
  • [ ] Procédure de notification des violations opérationnelle

FAQ

Le notaire est-il responsable de traitement ou sous-traitant ?

Le notaire est responsable de traitement, jamais sous-traitant de son client. Officier public, il détermine seul les finalités et les moyens des traitements qu’il met en œuvre. Il tient donc son propre registre, informe les personnes concernées et répond directement devant la CNIL. Il devient responsable vis-à-vis de ses propres prestataires, qui sont ses sous-traitants.

Un client peut-il demander l’effacement de son acte notarié ?

Non. La minute de l’acte authentique doit être conservée 75 ans (100 ans si l’acte concerne un mineur), puis versée aux archives départementales. Cette obligation légale de conservation, combinée à l’archivage dans l’intérêt public, fait obstacle au droit à l’effacement (Art. 17(3)). Le droit à l’oubli est ici structurellement neutralisé.

Le secret professionnel dispense-t-il le notaire du RGPD ?

Non. Le secret professionnel et le RGPD se cumulent. Le secret protège le client contre la divulgation ; le RGPD encadre le traitement des données lui-même. Un office peut respecter son secret professionnel tout en étant en violation du RGPD. Les deux régimes doivent être satisfaits simultanément.

Combien de temps conserver la minute d’un acte authentique ?

75 ans à compter de la date de l’acte, délai porté à 100 ans lorsque l’acte concerne un mineur. Les minutes sont ensuite versées aux archives départementales, où elles peuvent être conservées indéfiniment pour leur valeur historique. Les pièces annexes et autres données obéissent à des durées distinctes, à documenter dans le tableau des durées.

Un office notarial doit-il désigner un DPO ?

Pas systématiquement pour un petit office individuel. L’obligation dépend de l’échelle des traitements sensibles. Les grands offices et les structures à fort volume relèvent souvent de l’obligation. La profession a largement organisé des DPO mutualisés au niveau de ses instances. La désignation est fortement recommandée dès qu’un office atteint une taille significative.

La visioconférence pour un acte à distance est-elle conforme au RGPD ?

Oui, sous conditions. L’acte notarié à distance repose sur des textes spécifiques et suppose une identification certaine des parties, un canal sécurisé et l’intégrité de l’acte. Sur le plan RGPD, le prestataire de visioconférence doit être lié par un contrat Art. 28, les données hébergées dans l’UE, et une analyse d’impact est recommandée compte tenu de la sensibilité des traitements.