Sécuriser les données personnelles avec les Legaltech
Il est essentiel pour les professions juridiques (notaires, huissiers, commissaires-priseurs, …), qui ont accès à de très nombreuses données personnelles sur leur client (identité, logement, vie personnelle, etc), de pouvoir assurer la sécurité de ces données. Ces professions sont, elles aussi, concernées par les obligations du Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne.
Temps de lecture : 4 minutes
Importance de la sécurisation des données
Certes, le monde juridique n’a pas attendu la mise en application du RGPD en 2018 pour protéger les données de ses clients. Pour les notaires par exemple, les principes et obligations qui s’imposent sont quasiment les mêmes depuis près de 40 ans en France.
Cependant, il y a certaines nouveautés que les offices se doivent d’appliquer : la désignation d’un délégué à la protection des données, la mise en œuvre d’un plan d’action concernant la protection des données, l’information des clients sur le site internet et dans les actes, la tenue d’un registre digitalisé, transverse, exhaustif et pérenne, etc.
La CNIL a émis plusieurs « Autorisations Uniques » (AU), sorte de recommandations, pour les professions juridiques afin de les aiguiller dans la mise en place de leur dispositif RGPD. Par exemple, une AU-006 a été rédigée au sujet des traitements mis en œuvre par les offices notariaux. Ceux-ci permettent de produire, à partir de fichiers clients, des actes authentiques, de communiquer des données vers d’autres applications internes ou externes, de réaliser l’envoi dématérialisé d’actes de l’état civil, etc.
Ce document (AU-006) énumère les obligations des notaires en matière de protection des données personnelles et rappelle notamment que sont concernées les informations relatives :
- A l’exercice des activités notariales et à la rédaction des documents notariaux de l’office notarial
- A l’envoi dématérialisé de documents vers le service de la publicité foncière et au retour de documents dans le cadre du traitement Télé@ctes
- A l’envoi dématérialisé de documents vers les organismes bancaires et au retour de documents, dans le cadre du traitement « Mécanotaires »
- Aux échanges dématérialisés et à la procédure d’instruction des DIA (Déclaration d’Intention d’Aliéner)
- Aux partenaires du PACS (Pacte civil de solidarité), enregistrées par les notaires
- A la réception, l’attestation de conformité, la conservation et l’envoi dématérialisé vers la direction générale des finances publiques dans le cadre de la mission de tiers de confiance
Les professionnels n’ont pas forcément les ressources suffisantes pour s’occuper des enjeux de gestion de ces données et informations. Fort heureusement, de plus en plus de solutions existent pour les accompagner dans cette mise en conformité, notamment avec les LegalTechs et RegTechs.
Les Legaltechs au service de la protection des données personnelles
La réglementation en matière de lutte contre la cybercriminalité et la protection des données évolue relativement vite, et il n’est pas simple pour les entreprises de suivre ces changements. Face à ces enjeux, plusieurs LegalTechs se sont développées et spécialisées dans les solutions de gestion des données personnelles afin d’assurer la conformité continue des entreprises avec les réglementations.
En France, plusieurs LegalTechs font parler d’elles, notamment Data Legal Drive et Adequacy. Que proposent-elles pour protéger facilement les données personnelles, et mettre en place un dispositif RGPD conforme ?
- Adequacy est une solution de management de la protection des données qui propose des outils aux entreprises leur permettant de faciliter leur mise en conformité avec le RGPD, depuis 2016. La LegalTech peut :
- Accompagner l’entreprise dans la gestion de son projet de mise en conformité : organisation, planification et ordonnancement des chantiers, estimation des charges
- Mettre à disposition des référentiels pour que l’entreprise puisse auto-réaliser un état des lieux complet sur l’avancement de la mise en conformité
- Aider à la formalisation du registre des activités de traitement et faciliter sa gestion dans le temps
- Proposer une identification automatique des traitements devant faire l’objet d’une analyse d’impact relative à la protection des données
- Permettre d’automatiser le suivi des demandes d’exercice des droits des personnes
- Accompagner l’entreprise, en cas de violation des données personnelles, dans la qualification des faits jusqu’à la notification à l’autorité de contrôle
Fondée en 2018 par Sylvain Staub, avocat associé au sein du cabinet DS Avocats, la startup Data Legal Drive a elle développé un logiciel SaaS dédié à la mise en conformité au RGPD. Elle propose d’accompagner les entreprises, notamment les professions juridiques, dans chaque étape du processus et de simplifier le pilotage des données personnelles.
En particulier, la LegalTech permet de diagnostiquer la conformité RGPD et son avancement dans l’entreprise, de faciliter la constitution du registre des traitements et de gérer efficacement les demandes d’exercices de droits (salariés, clients prestataires, etc).
D’autres solutions, françaises et étrangères, existent pour accompagner les entreprises dans la protection des données personnelles (LordPrivacy, myDPO de DPO Consulting, Defendocs, Regdata, Varonis, Forgerock, etc.).
La protection des données personnelles doit être assurée dans chaque tâche
Assurer la protection et la confidentialité des données et lutter contre la cybersécurité ne s’arrête cependant pas à la mise en place d’un dispositif RGPD : il faut s’assurer que chaque activité de la profession, chaque outil et logiciel utilisé soit garant de la sécurité des données transmises par les clients.
Beaucoup de professionnels du légal et paralégal font de plus en plus appel à des LegalTechs pour les accompagner dans l’optimisation de leurs activités : utilisation du cloud pour le stockage et l’archivage de documents, de la signature électronique pour signer numériquement des documents PDF avec les tampons des différentes parties, automatisation de contrats, vérification de l’authenticité des documents, etc.
L’usage de ces services présente certains risques en matière de traitement des données personnelles, car ils impliquent de donner l’accès à des documents confidentiels et des données personnelles. C’est d’ailleurs l’une des raisons pour laquelle certains professionnels ne franchissent pas le pas avec les LegalTechs.
Dans le choix de ses partenaires et de ses outils informatiques, le professionnel doit donc vérifier le niveau d’éthique des services proposés au regard du traitement des données personnelles et notamment lorsqu’il va décider de faire appel à une LegalTech pour certains services.
La blockchain et les smart contracts : une plus grande sécurité ?
La blockchain représente pour les entreprises une nouvelle manière de stocker et de faire circuler de l’information. Cette technologie innovante se veut plus transparente, ultra sécurisée et surtout, dépourvue d’organe de contrôle.
Les échanges d’informations y sont groupés pour être sauvegardés sous forme de « blocs » liés les uns aux autres, formant ainsi littéralement une « chaîne de blocs » (d’où l’appellation de blockchain). Chaque bloc est codé mathématiquement par un « mineur » puis est validé par un « masternode » : une fois validé, il ne peut plus être modifié. Les données seraient ainsi protégées contre la fraude et la corruption.
Selon le Village Justice, une alliance future « LegalTech – Blockchain – Professionnels du droit » serait gagnante-gagnante, car plusieurs paramètres donnent à penser que cette combinaison pourrait permettre de sécuriser toute la chaîne de travail des professions du juridique.
Tout d’abord, du fait que les données ne peuvent être détruites ni modifiées, la blockchain semble une option intéressante pour la conservation des documents légaux. Mais le réseau décentralisé de la blockchain pourrait également servir à authentifier tous types de documents et transactions juridiques. Enfin, la blockchain permet l’exécution de « smart contracts » (contrats intelligents), des contrats qui s’exécutent automatiquement par un ordinateur dans un protocole informatique qui facilite, vérifie et exécute la négociation ou l'exécution d'un contrat.
Ayant bien saisi les bénéfices possibles de la blockchain, le Conseil Supérieur du Notariat travaille d’ailleurs depuis 2018 sur une technologie blockchain qui permettrait de garantir une traçabilité numérique des actes établis tout en garantissant leur authenticité.
Cependant, à l’heure actuelle, la blockchain présente certaines limites au regard du droit français en particulier. En effet, le droit français dispose qu’un contrat doit pouvoir être modifié par la volonté des parties (article 1193 du Code Civil) et qu’il doit pouvoir être renégocié si survenance d’un évènement imprévisible. Or, dans le cas des smart contracts, le « bloc » du contrat est inscrit dans le registre de la Blockchain et ne peut être modifié (c’est le principe même de la blockchain).
Certains remettent également en question la véracité des informations sur lesquelles se base la Blockchain : comment être certain que les informations et documents renseignés sont authentiques ? Pour pallier ce risque, il est possible que soit employés à l’avenir des « tiers de confiance numérique » dans la chaîne, qui auraient pour rôle de contrôler la légalité des opérations contractuelles établies dans la blockchain.
Aujourd’hui, une multitude de solutions existent pour assister les professionnels (avocats, notaires, huissiers, …) dans la lutte contre les risques cyber et la protection des données, que ce soit via des LegalTechs ou la blockchain. Si elle peut en effrayer certains par sa volonté de réduire le nombre de tiers de confiance nécessaires, cette technologie reste cependant loin de signer la fin des avocats, notaires, greffes, … car comme le souligne Le Village Justice, la blockchain permettrait surtout de libérer les professionnels de tâches chronophages et ingrates, et « les effectifs de la profession pourraient ne pas baisser, à condition que les métiers soient intelligemment adaptés ».