Le RGPD entre en vigueur le 25 mai prochain. Qu’apporte-t-il ?
Aurélie Merquiol : Tout d’abord, il faut rétablir une vérité. Le règlement général à la protection des données personnelles (RGPD) n’est pas une révolution, ni pour le notariat français, ni même au niveau de notre législation nationale puisqu’il reprend tous les principes de la loi informatique et libertés (Loi 78-17 du 6-1-1978). Si ce cadre s’applique désormais à tous les pays de l’Union européenne, la France avait pris de l’avance. Il y a lieu de se préserver de l’excès de communication actuel qui vise plutôt à effrayer les chefs d’entreprise. Si de très nombreuses entreprises n’avaient pas pris en compte le sujet des données et de leur protection, ce n’est pas le cas du notariat. Les principes et les obligations qui s’imposent sont quasiment les mêmes depuis 40 ans ce qui ne veut pas dire que les notaires n’ont rien à faire. Retenons que, parmi les nouveautés du RGPD, les droits sont renforcés, avec le droit à l’oubli et la portabilité, et les sanctions considérablement alourdies (Règl. UE 2016/679 du 27-4-2016 : JOUE 4-5).
Quelle est la première étape pour se mettre en conformité ?
A. M. : Il faut désigner un délégué à la protection des données (DPD). Cette obligation s'impose désormais à toutes les administrations, les autorités publiques et les organismes qui traitent des données sensibles. C’est à ce titre et en qualité d’officier public que chaque office de notaire doit avoir procédé à cette désignation le 25 mai. En France, le correspondant informatique et libertés (CIL) existait déjà. Il était largement recommandé depuis 10 ans et porté par le notariat avec la création de Cil.not. À ce jour, les trois quarts des études ont désigné un CIL qui se transformera automatiquement en DPD. Pour le quart restant, dont les nouveaux installés, c’est la priorité ! Ils ont plusieurs options. La première consiste à externaliser la mission en désignant Cil.not. Mandatée par le Conseil supérieur du notariat (CSN) pour être le délégué mutualisé de la profession notariale comme le prévoit la réglementation, notre structure n’est toutefois pas en situation de monopole. Il est ainsi possible, c'est la deuxième option, de faire appel à un délégué externe proposé par des cabinets d’avocats, des sociétés d’audit ou des structures d’accompagnement. Enfin, la troisième voie est celle où l’étude se charge elle-même de la conformité en désignant un délégué interne parmi ses collaborateurs. Il peut s’agir d’un notaire salarié, mais en aucun cas d’un notaire associé en raison du risque de conflit d’intérêt soulevé par la réglementation. Encore faut-il être certain que le délégué soit compétent pour exercer sa mission et dispose des moyens pour la réaliser conformément à la réglementation. Pour les délégués internes, cela signifie que les notaires devront financer une formation et libérer les collaborateurs le temps nécessaire au bon accomplissement de leur mission. Que tous les notaires se mettent en règle vis-à-vis de l’obligation de conformité est un objectif d’intérêt général.
Un délai de rattrapage est-il prévu pour les retardataires qui n’auront pas désigné de DPD le 25 mai ?
A. M. : Non, ils ne seront pas en conformité avec le RGPD et s'exposent à des sanctions. Il reviendra à l’Autorité de contrôle de les mettre en œuvre. Malgré nos communications régulières depuis un an, nous observons une forte croissance sans réussir toutefois à convaincre tous les notaires. Les retardataires doivent se dépêcher, il est encore temps ! Qu’ils contactent Cil.not qui se chargera des démarches ou qu’ils remplissent des formulaires de désignation sur le site de la Commission nationale informatique et libertés (CNIL).
Après avoir désigné un délégué à la protection des données, que faut-il entreprendre ?
A. M. : La désignation en elle-même n’est pas suffisante. La deuxième étape consiste à mettre en œuvre le plan d’actions établi par le délégué et à documenter la politique de protection des données, ce qui pourrait se résumer par « D'écrire ce que l’on fait et faire ce que l’on écrit ». Le délégué rédige un rapport qui comporte des préconisations dont le notaire doit absolument prendre connaissance et mettre en œuvre. Ainsi, en pratique, une information sur le traitement des données dans le cadre de l’activité doit être mise en place. Les notaires sont tenus d’informer leurs clients via des mentions sur leur site internet et dans leurs actes, un affichage dans l’étude, etc. Le RGPD met fin au formalisme administratif et lui substitue un principe d’« accountability », une forme de contrôle a posteriori par la CNIL. Toutes les déclarations CNIL sont supprimées. Toutefois, la Commission pourra demander à chaque étude des preuves de la conformité de ses traitements de données avec le règlement. Se conformer ne doit pas être perçu comme une contrainte mais plutôt comme un avantage concurrentiel. Les notaires sont garants du secret professionnel. Pourquoi ne sensibiliseraient-ils pas leurs clients afin que ceux-ci leurs confient leurs données en toute sérénité ?
Le règlement impose de notifier les violations de données. Quid, en pratique, pour les notaires ?
A. M. : Le RGPD rend cette notification obligatoire pour tous les responsables de traitement, donc pour tous les chefs d’entreprise. À partir du 25 mai, un notaire qui identifiera une fuite de données ou une perte de confidentialité devra la notifier à la CNIL, par exemple en cas de vol d’un ordinateur ou lors du blocage de tous les fichiers de son étude par un virus. S’il existe un risque pour les droits et libertés des personnes propriétaires des données, il devra les en informer. Le risque est important, en termes d’image, tant vis-à-vis de la clientèle de l’office que de la profession dans son ensemble. En effet, le RGPD prévoit la possibilité d’une action de groupe. Les clients qui s’estimeront lésés pourront saisir une association. Le réseau notarial est ultra-sécurisé mais il n’est pas à l’abri d’intrusions sur le système de l’étude. Les notaires sont tenus à une obligation de sécurité au niveau de leur système d’information (SI). Or, ils ont trop souvent abandonné cette responsabilité au profit de prestataires de services qui interviennent sans contrôle. En cas de fuite de données donnant lieu à notification, la responsabilité du notaire sera recherchée. Le CSN a engagé une action pour auditer les éditeurs de logiciels de rédaction d’actes.
Que leur recommandez-vous ?
A. M. : D'abord, se méfier des prestataires informatiques qui se connectent à distance sur le SI pour mettre à jour des outils. L’intention est bonne, le dessein n’est généralement pas frauduleux mais les notaires n’ont aucune idée des actions engagées sur leurs systèmes. Ils doivent rester vigilants face à toutes les interventions des prestataires informatiques, en cas de gestion d’une panne pas exemple. Les notaires doivent examiner les contrats de prestations de service afin que le rôle de chacun soit bien encadré puis contrôler le respect des obligations. Ils doivent aussi, le cas échéant, se réapproprier la maîtrise de leur SI. Le profil d’administrateur est parfois attribué à un prestataire qui détient alors toutes les clés d’accès. Un notaire ne doit jamais se contenter d’un simple profil d’utilisateur.
Ensuite, être prudents dans l'utilisation de certains outils. Les transferts de données sur des boites mail non sécurisées peuvent donner lieu à la captation et à la perte de données (contrairement aux messageries Real ou aux échanges ultra-sécurisés établis dans le cadre des relations avec l’administration). Les notaires doivent agir de façon réfléchie. Dès qu’ils utilisent un outil gratuit mis à disposition par des plateformes numériques, des navigateurs ou des réseaux sociaux, ils doivent s’interroger sur le modèle économique. Dans le cadre d’un usage professionnel, ces données seront exploitées par celui qui offre le service.
Enfin, s'informer. Le CSN prévoit la diffusion d’un guide pratique pour se mettre en conformité. Cil.not organise, lors du prochain Congrès des notaires à Cannes, un petit-déjeuner qui se déroulera le mercredi 30 mai à 9 heures sur le stand de l’Association pour le développement notarial (ADSN). Que les notaires n’hésitent pas à venir nous rencontrer.
Propos recueillis par Alexandra DESCHAMPS
Aurélie MERQUIOL
