RGPD et cabinets d'avocats : 7 ans après, où en est-on ?

1. Cadre juridique : le double régime

L'avocat traite des données personnelles à plusieurs titres : clients (identité, situation patrimoniale, données de santé dans certains dossiers), adversaires, témoins, parties au dossier, collaborateurs, fournisseurs. Chaque traitement doit respecter les six principes RGPD (licéité, loyauté, transparence, minimisation, exactitude, intégrité/confidentialité) et documenter sa base légale.

Le secret professionnel (art. 66-5 loi n° 71-1130 du 31 décembre 1971) prime dans certains cas : l'avocat n'a pas à révéler à la CNIL l'identité de ses clients dans le cadre d'un contrôle sur pièces. Mais cette exemption est étroite : elle ne dispense ni du registre des traitements, ni de la sécurité, ni de la notification de violation à la CNIL (art. 33 RGPD).

2. Panel et méthodologie

210 cabinets interrogés par questionnaire structuré (47 questions, 25 min de temps de réponse moyen) et entretiens qualitatifs complémentaires sur un sous-échantillon de 28 cabinets. Répartition : 41 % petits cabinets (1-5 avocats), 39 % cabinets moyens (6-20), 15 % grands (21-100), 5 % très grands (>100). Couverture géographique : Paris 34 %, Ile-de-France hors Paris 19 %, régions 47 %.

Taux de réponse : 43 % (pour 488 cabinets sollicités). Les non-répondants sont structurellement plus petits et plus ruraux — le biais joue plutôt en faveur d'une surestimation de la maturité moyenne.

3. Fondamentaux : le verre à moitié plein

Registre des traitements (art. 30 RGPD) : 84 % des cabinets en disposent, mais 62 % reconnaissent qu'il n'a pas été mis à jour depuis plus d'un an. DPO désigné (art. 37 — obligatoire seulement dans certains cas pour les cabinets) : 62 % ont un DPO, dont 44 % interne (souvent l'associé informatique), 18 % externe. Politique de confidentialité en ligne : 91 %, mais 48 % présentent des mentions génériques non personnalisées au cabinet.

Sécurité technique : mots de passe forts imposés 79 %, MFA sur les outils de production 44 %, chiffrement des disques des postes de travail 51 %, chiffrement des emails 23 %, VPN pour accès distant 67 %. Les écarts sont marqués entre les petits et les grands cabinets : 92 % de MFA chez les cabinets >20 avocats, 28 % chez les 1-5 avocats.

4. Droits des personnes concernées : le gap critique

Les articles 15 à 22 RGPD consacrent huit droits (accès, rectification, effacement, limitation, portabilité, opposition, décision automatisée, information). Les avocats doivent pouvoir y répondre — pour leurs propres données, mais aussi pour les données des tiers qu'ils détiennent légitimement dans leurs dossiers, lorsque ces tiers exercent leurs droits.

Résultats : 41 % des cabinets n'ont aucune procédure documentée pour traiter une demande de droit d'accès d'un tiers. Parmi ceux qui en ont une, 71 % n'ont pas de délai interne fixé (le RGPD impose 1 mois, prolongeable de 2 mois justifiés). Plus inquiétant : 16 % déclarent avoir refusé au moins une demande d'accès en 2025 sans motivation juridique formalisée — risque majeur de sanction CNIL.

5. Sous-traitants et transferts hors UE

Les sous-traitants typiques d'un cabinet : éditeur de logiciel de gestion, plateforme d'e-signature, hébergeur de la messagerie, archivage physique, cabinet comptable externe, expert IT. Chaque sous-traitant doit faire l'objet d'un accord écrit (DPA art. 28), d'une cartographie, et d'une vérification des garanties apportées.

37 % des cabinets n'ont pas d'inventaire à jour de leurs sous-traitants. 22 % ne savent pas si certains de leurs sous-traitants traitent les données hors UE (cas typique : Microsoft 365, Google Workspace, Dropbox, qui peuvent impliquer des transferts US sous Data Privacy Framework). Depuis l'arrêt Schrems II (CJUE, 16 juillet 2020), la simple mention du cadre juridique ne suffit plus : une analyse d'impact du transfert (TIA) est attendue.

6. Violations de données : le silence coupable

L'article 33 RGPD impose la notification à la CNIL de toute violation de données personnelles dans les 72 heures, sauf si elle est peu susceptible d'engendrer un risque pour les droits et libertés. L'enquête révèle que 18 % des cabinets ont subi au moins un incident qualifiable de violation en 2025 (ransomware, erreur d'envoi, perte de matériel contenant des données). Parmi eux, seuls 34 % ont procédé à la notification CNIL — 66 % ne l'ont pas fait, par méconnaissance ou par calcul.

Les sanctions CNIL visant la profession sont rares mais symboliquement lourdes. Trois cabinets ont été sanctionnés entre 2022 et 2025 (amendes de 3 000 € à 20 000 €), systématiquement pour défaut de notification plutôt que pour la violation initiale elle-même. Le message est clair : la CNIL ne pénalise pas l'accident, elle pénalise le silence.

7. Plan de remédiation en 90 jours

Pour un cabinet au niveau de maturité moyen du panel (note globale 62/100), un plan de remédiation de 90 jours permet de passer à 85/100 sans transformation structurelle. Six actions prioritaires, classées par rapport coût/impact.

• ›J+15 : actualiser le registre des traitements, lister tous les sous-traitants (coût : 1 journée d'office manager)
• ›J+30 : formaliser la procédure de traitement des demandes de droits (modèle 4 pages)
• ›J+45 : auditer les flux email sensibles, déployer chiffrement côté serveur (Proofpoint, Vade, solution équivalente)
• ›J+60 : activer MFA sur tous les outils métier, chiffrer les disques des postes (BitLocker/FileVault)
• ›J+75 : rédiger et publier un TIA pour chaque sous-traitant impliquant un transfert US
• ›J+90 : formation 2 h à l'ensemble du cabinet sur la notification de violation (procédure interne + contact CNIL)