Guide informatif · RGPD · Avocats belges OBFG/OVB

Votre cabinet respecte-t-il les 12 obligations RGPD ?

Registre des traitements (art. 30), base légale (art. 6), secret professionnel (art. 458 CP belge) : les références légales précises que tout avocat belge doit maîtriser avant d'être contrôlé par l'APD.

Contenu informatif — Non substituable à un conseil juridique

Ce guide est fourni à titre d'information générale. Il ne constitue pas un avis juridique personnalisé. Les références légales citées (RGPD, Code pénal belge, recommandations APD) sont reproduites dans leur version publiquement accessible à la date de rédaction (mai 2026).

La conformité RGPD de votre cabinet doit être évaluée par un délégué à la protection des données (DPD) ou un conseiller juridique spécialisé en droit des données. Togaweb décline toute responsabilité quant à l'utilisation de ces informations sans validation professionnelle préalable.

Les 12 obligations que l'APD contrôle en priorité

Chaque obligation est ancrée dans le texte légal applicable. Les cabinets d'avocats ne bénéficient d'aucune exemption sectorielle au RGPD.

Registre des activités de traitement

Art. 30 RGPD

L'article 30 du RGPD impose à tout responsable de traitement de tenir un registre écrit de toutes les activités de traitement effectuées sous sa responsabilité. Pour un cabinet d'avocats, cela inclut : la gestion des dossiers clients, la facturation, le recrutement, la gestion des collaborateurs et toute communication électronique contenant des données personnelles.

Ce registre doit mentionner : les finalités du traitement, les catégories de personnes concernées, les catégories de données, les éventuels destinataires, les transferts hors UE et les délais de conservation prévus.

Point de contrôle APD : le registre doit être disponible sur simple demande de l'Autorité de protection des données. Son absence ou son caractère incomplet constitue une violation directement sanctionnable.

Base légale documentée pour chaque traitement

Art. 6 RGPD

L'article 6 du RGPD exige qu'aucun traitement de données personnelles ne soit effectué sans base légale valide. Pour un cabinet d'avocats, les bases légales les plus fréquentes sont : l'exécution d'un contrat (art. 6.1.b), l'obligation légale (art. 6.1.c — ex. obligations comptables) et l'intérêt légitime (art. 6.1.f — ex. prospection B2B).

La base légale doit être déterminée avant le début du traitement et documentée dans le registre des traitements. Invoquer le consentement (art. 6.1.a) pour des données clients contractuels est une erreur fréquente.

Erreur fréquente : faire signer un consentement RGPD au client lors de l'ouverture de dossier alors que la base légale applicable est l'exécution du contrat. Un consentement inutile crée une obligation de gestion du retrait de consentement.

Information des personnes concernées

Art. 13–14 RGPD

Les articles 13 (collecte directe) et 14 (collecte indirecte) du RGPD imposent d'informer les clients et tiers dès la collecte de leurs données. Cette information doit couvrir : l'identité du cabinet, les finalités et bases légales, les durées de conservation, les droits des personnes et la possibilité d'introduire une réclamation auprès de l'APD.

En pratique, cette obligation se matérialise par une clause RGPD dans la convention d'honoraires, une politique de confidentialité sur le site web et une mention dans les communications électroniques.

La politique de confidentialité du site web doit mentionner explicitement le traitement des données issues du formulaire de contact. L'absence de cette mention est l'infraction RGPD la plus fréquemment relevée sur les sites de cabinets belges.

Privacy by design et privacy by default

Art. 25 RGPD

L'article 25 du RGPD impose d'intégrer la protection des données dès la conception des systèmes et outils (privacy by design) et de configurer par défaut les paramètres les plus protecteurs (privacy by default).

Pour un cabinet, cela signifie concrètement : chiffrement des dossiers clients en stockage et en transit, accès aux dossiers limité au personnel nécessaire, suppression automatique des données à l'expiration des délais de conservation.

L'utilisation d'un logiciel de gestion de cabinet (Kleos, Jurismedia, etc.) ne dispense pas de vérifier que les paramètres par défaut respectent le principe de minimisation des données.

Mesures de sécurité techniques et organisationnelles

Art. 32 RGPD

L'article 32 du RGPD impose de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Pour un cabinet d'avocats traitant des données sensibles (données de santé, données pénales), le niveau d'exigence est élevé.

Mesures minimales attendues : authentification forte (MFA) sur tous les accès aux dossiers, chiffrement des emails contenant des pièces confidentielles, politique de mots de passe documentée, plan de continuité en cas de cyberattaque.

Un cabinet ayant subi une fuite de données et ne pouvant pas démontrer l'existence de mesures de sécurité préalables s'expose à une sanction APD majorée par l'absence de diligence préventive.

Notification des violations de données

Art. 33–34 RGPD

L'article 33 du RGPD impose de notifier toute violation de données à l'APD dans les 72 heures suivant la découverte, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits des personnes. L'article 34 impose en outre d'informer les personnes concernées si le risque est élevé.

Un cabinet doit donc disposer d'une procédure interne documentée permettant de détecter, qualifier et notifier une violation dans ce délai très court. L'absence de procédure est elle-même sanctionnable.

Un ransomware chiffrant les dossiers clients constitue une violation de données à notifier à l'APD. Le délai de 72h court dès la détection, pas depuis la résolution de l'incident.

Désignation d'un délégué à la protection des données

Art. 37–39 RGPD

L'article 37 du RGPD impose la désignation d'un DPD lorsque le traitement porte sur des données sensibles à grande échelle ou implique un suivi systématique à grande échelle. La plupart des cabinets individuels ou de taille modeste ne sont pas soumis à cette obligation légale, mais une désignation volontaire est recommandée.

Les cabinets spécialisés en droit pénal, en droit de la famille (données de santé, données d'enfants) ou gérant plus de 250 collaborateurs doivent évaluer rigoureusement leur obligation de désignation.

Même en l'absence d'obligation légale, documenter la décision de non-désignation et ses motifs protège le cabinet en cas de contrôle APD.

Contrats avec les sous-traitants

Art. 28 RGPD

L'article 28 du RGPD impose de conclure un accord de traitement des données (DPA) avec tout sous-traitant accédant aux données personnelles du cabinet. Cela inclut : les éditeurs de logiciels de gestion (Kleos, Clio), les prestataires d'hébergement, les services de messagerie et les outils de signature électronique.

Le DPA doit notamment stipuler : la nature et la finalité du traitement, l'interdiction de sous-traiter sans accord préalable, les mesures de sécurité attendues et les obligations de notification des violations.

Utiliser Google Workspace ou Microsoft 365 sans DPA signé constitue une violation de l'art. 28 RGPD. La plupart des éditeurs proposent des DPA standardisés — leur absence dans le dossier de conformité est un signal d'alerte immédiat.

Transferts de données hors Union européenne

Art. 44–49 RGPD

Les articles 44 à 49 du RGPD encadrent strictement les transferts de données personnelles vers des pays tiers (hors EEE). L'utilisation d'outils cloud américains (AWS, Google Cloud, Microsoft Azure) implique potentiellement un transfert vers les États-Unis, soumis à des garanties spécifiques.

Depuis l'adoption du Data Privacy Framework UE-États-Unis (décision d'adéquation de juillet 2023), les transferts vers des entités américaines certifiées sont à nouveau facilités — sous réserve de vérifier la certification effective du prestataire.

Vérifier la certification DPF de chaque fournisseur cloud américain et documenter cette vérification dans le registre des traitements est une précaution minimale pour tout cabinet utilisant des outils SaaS.

Procédure de réponse aux droits des personnes

Art. 15–22 RGPD

Les articles 15 à 22 du RGPD accordent aux personnes concernées un ensemble de droits : accès, rectification, effacement (art. 17), limitation, portabilité et opposition. Le cabinet doit disposer d'une procédure documentée pour répondre à ces demandes dans un délai d'un mois (art. 12 §3 RGPD).

Pour un cabinet d'avocats, le droit à l'effacement entre parfois en tension avec les obligations légales de conservation des dossiers. Cette tension doit être anticipée et documentée.

L'absence de canal identifié pour réceptionner les demandes de droits (adresse email dédiée, formulaire) est relevée comme défaillance organisationnelle dans les contrôles APD. Un simple alias privacy@cabinet.be suffit à matérialiser le dispositif.

Durées de conservation documentées

Art. 5.1.e RGPD · Principe de limitation de la conservation

L'article 5.1.e du RGPD impose que les données personnelles soient conservées sous une forme permettant l'identification des personnes pendant une durée n'excédant pas celle nécessaire aux finalités du traitement. Pour les dossiers de clients d'un cabinet d'avocats, les durées légales applicables varient selon la matière (droit civil, pénal, fiscal).

La recommandation de l'APD belge est de documenter explicitement, pour chaque catégorie de traitement, la durée de conservation retenue et son fondement légal ou contractuel.

Conserver des dossiers clôturés indéfiniment (pratique fréquente dans les cabinets sans politique de purge) constitue une violation du principe de limitation de la conservation, même en l'absence de toute autre défaillance.

Formation et sensibilisation du personnel

Art. 29 RGPD · Principe d'accountability

L'article 29 du RGPD dispose que les personnes agissant sous l'autorité du responsable de traitement n'agissent que sur instruction de ce dernier. Le principe d'accountability (art. 5.2 RGPD) impose de pouvoir démontrer que le personnel a été formé aux obligations RGPD applicables à ses fonctions.

Pour un cabinet, cela couvre : les secrétaires et assistants juridiques traitant des données clients, les collaborateurs utilisant des outils cloud, les stagiaires accédant aux dossiers.

En cas de violation causée par une erreur humaine (mauvais destinataire d'un email confidentiel), l'APD vérifiera systématiquement si le personnel concerné avait reçu une formation documentée. L'absence de formation aggrave la sanction.

Secret professionnel et RGPD : deux régimes qui se combinent

Art. 458 Code pénal belge · RGPD · Recommandation APD n° 01/2019

Quand le secret professionnel renforce (et complique) le RGPD

L'article 458 du Code pénal belge érige le secret professionnel de l'avocat en obligation pénalement sanctionnée. Cette obligation s'articule avec le RGPD de manière complexe : le secret professionnel constitue à la fois une base légale de traitement (art. 9.3 RGPD pour les données sensibles) et une limite aux droits des personnes concernées (notamment au droit d'accès de tiers demandant des informations sur un dossier client).

Les points de tension principaux à documenter dans votre registre des traitements :

  • Demande d'accès d'un tiers : le droit d'accès (art. 15 RGPD) d'un tiers ne peut pas forcer la communication de données couvertes par le secret professionnel. L'avocat peut refuser en invoquant l'art. 458 CP, mais doit documenter le motif de refus.
  • Droit à l'effacement : un client demandant l'effacement de son dossier ne peut pas primer sur les obligations légales de conservation et sur le secret professionnel qui interdit la communication d'un dossier à des tiers (y compris au client lui-même dans certains cas visés par l'OBFG).
  • Sous-traitance cloud : confier le stockage de dossiers couverts par le secret professionnel à un prestataire cloud requiert un DPA (art. 28 RGPD) et une analyse de risque documentée, le sous-traitant n'étant pas lui-même soumis au secret professionnel.
  • Réquisitions judiciaires : une réquisition légalement fondée peut lever partiellement le secret professionnel sans pour autant créer une violation RGPD — à condition que la communication soit strictement limitée aux données requises (principe de minimisation).
  • Données des parties adverses : les données des parties adverses collectées dans le cadre de la défense d'un client relèvent d'une base légale distincte (intérêt légitime ou obligation légale) et ne sont pas couvertes par le secret professionnel de la même manière que les données du client.

Note : La Recommandation APD n° 01/2019 relative aux avocats et au RGPD constitue le document de référence belge en la matière. Elle est consultable sur le site officiel de l'APD (autoriteprotectiondonnees.be).

●  4 créneaux maximum par mois — places limitées

Audit RGPD gratuit 30 minutes pour votre cabinet

Togaweb propose un audit RGPD express de 30 minutes, réservé aux cabinets d'avocats belges (OBFG/OVB). En 30 minutes, vous identifiez vos 3 manquements prioritaires et obtenez un plan d'action concret. Offre limitée à 4 créneaux par mois.

Revue du registre des traitements existant
Vérification des bases légales documentées
Check conformité site web (mentions RGPD)
Identification des 3 risques prioritaires
100 % gratuit — sans engagement