Les implications pratiques pour la profession notariale

Les personnes habilitées à accéder directement aux informations contenues dans le traitement de données à caractère personnel étaient le notaire ainsi que les collaborateurs de l'office.

– L'autorisation unique conférée au notariat Cnil, délib. n^o 2014-016, 23 janv. 2014, portant autorisation unique de traitements de données à caractère personnel aux fins d'exercice des activités notariales et de rédaction des documents des offices notariaux (www.legifrance.gouv.fr/cnil/id/CNILTEXT000028655491/">Lien ; www.cnil.fr/sites/default/files/atoms/files/au6.pdf">Lien). avant l'entrée en vigueur du RGPD. – Sous l'empire de la loi informatique et libertés, les responsables de traitement des données à caractère personnel avaient l'obligation d'accomplir des formalités déclaratives auprès de la Cnil avant de mettre en œuvre leur traitement. Les notaires disposaient d'une autorisation unique spécifique de la Cnil adaptée aux nouvelles missions conférées à la profession, telles que :

Cette autorisation, connue sous la référence « AU-006 » Cnil, décl. n^o 6, Exercice des activités notariales (www.cnil.fr/sites/default/files/atoms/files/au6.pdf">Lien). , était obtenue automatiquement après avoir rempli des prérequis et donné un engagement de conformité.

Elle concernait les traitements permettant aux notaires de produire, à partir des fichiers de leurs clients, des actes authentiques et de communiquer des données vers d'autres applications, notamment le traitement Télé@ctes visant à la dématérialisation des échanges entre le notariat et le service de la publicité foncière. Étaient également visés dans cette autorisation l'envoi dématérialisé des actes de l'état civil, dans le cadre du traitement de gestion de l'état civil des communes et du ministère des Affaires étrangères, ainsi que les échanges d'informations ou de documents avec les organismes bancaires dans le cadre de l'application Mécanotaires Mécaniques d'échange avec le notariat dans le cadre d'opérations de crédits immobiliers en y intégrant des informations en provenance des traitements des offices notariaux ou en communiquant des données vers les applications de ces offices ; Cnil, délib. n^o 2009-358, 18 juin 2009, portant autorisation unique de traitements de données à caractère personnel aux fins de dématérialisation des échanges intervenant entre les caisses régionales du Crédit agricole et les offices notariaux dans le domaine du crédit immobilier, dans le cadre de l'application Mécanotaires (www.legifrance.gouv.fr/cnil/id/CNILTEXT000020972762/">Lien). .

Désormais, les responsables de traitement sont tenus de respecter les principes imposés par le RGPD et notamment les dispositions de l'article 5. Les notaires responsables du traitement des données à caractère personnel sont donc tenus de :

– Un contrôle a posteriori . – Suite à l'entrée en application du RGPD le 25 mai 2018, les normes adoptées par la Cnil, donc l'autorisation unique AU-006, n'ont plus de valeur juridique. Ce système d'autorisation a été aboli pour laisser place à un contrôle a posteriori Cnil, Comment se passe un contrôle de la Cnil ? (www.cnil.fr/fr/comment-se-passe-un-controle-de-la-cnil">Lien). basé sur la responsabilisation appelée « principe d'accountability ».

Depuis l'entrée en vigueur du règlement européen, il faut donc être en mesure de prouver les moyens mis en place pour protéger les données à caractère personnel La Cnil a mis en ligne des tutoriels d'aide à la mise en conformité pour une protection optimale des données (www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes">Lien). .

– Dans l'attente d'un nouveau référentiel. – Pour permettre aux responsables du traitement d'appréhender les mises en conformité issues de la nouvelle réglementation, dans l'attente de la parution de nouveaux référentiels RGPD, la Cnil a maintenu l'accessibilité des autorisations uniques et notamment l'AU-006 relative au notariat www.cnil.fr/sites/default/files/atoms/files/au6.pdf">Lien malgré leur absence de valeur juridique.

– L'obligation de désignation d'un délégué à la protection des données (DPD) Comm. com. électr. avr. 2018, n^o 4, dossier 6. . – Avec l'entrée en vigueur du règlement européen, l'ancien « correspondant informatique et libertés » (CIL) est devenu le « délégué à la protection des données » (DPD) JCP N 29 juin 2018, n^o 26, act. 579. . Parmi les trois hypothèses prévues à l'article 37 du RGPD, l'une d'elles impose au notaire de désigner un DPD en raison de sa mission d'ordre public. Cette obligation s'impose également aux instances de la profession.

La désignation du délégué à la protection des données est libre. Elle doit s'effectuer sur la base des qualités professionnelles du délégué pressenti, et en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, ainsi que de sa capacité à accomplir les missions visées à l'article 39 du RGPD RGPD, art. 37-5. .

Son rôle est d'informer, de conseiller l'office et ses employés, de contrôler le respect du RGPD, mais aussi d'être consulté par les personnes concernées (les clients) pour des problématiques relatives à leurs droits. Considéré comme point de contact, il coopère avec la Cnil.

– Redoubler de vigilance. – Traditionnellement stockées dans des dossiers papier, aujourd'hui l'archivage des données collectées par le notariat s'effectue sur des serveurs, ou en cloud via les gestions électroniques de documents (GED). Les échanges par courriels ainsi que l'envoi des questionnaires informatiques remplis par les clients permettent la collecte de ces informations. Il semble alors évident que le respect de l'obligation d'information du responsable du traitement des données doit être observé, de même que l'assurance du consentement de la personne concernée.

L'ensemble des actes notariés comprend aujourd'hui une clause relative aux données à caractère personnel via les logiciels d'aide à la rédaction d'actes. Il est essentiel de prêter attention à l'insertion de clauses similaires dans tout document adressé aux clients pour être en mesure de prouver, en tant que de besoin, la conformité des pratiques au règlement européen.

– La pratique de la sollicitation personnalisée JCl. Roulois, Fasc. 7300, Notariat. . – La sollicitation personnalisée est un mode de communication à effet de promouvoir les services des offices auprès de personnes identifiées et préalablement sélectionnées. Cette offre de services a été ouverte à la profession notariale en 2016 L. n^o 2016-1547, 18 nov. 2016, de modernisation de la justice du XXI ^e siècle, art. 3, III : JO 19 nov. 2016, n^o 0262. , y compris par voie numérique Rép. min. n^o 1750 : JO Sénat Q 1^er févr. 2018, p. 435 ; JCP N 2018, n^o 6, act. 212. . Elle se distingue de la publicité, interdite à la profession, en ce qu'elle s'adresse à des personnes ciblées et non pas à tous publics. Des règles strictes doivent être observées D. n^o 2019-257, 29 mars 2019, relatif aux officiers publics ou ministériels : JO 31 mars 2019, n^o 0077. afin de respecter le statut et les principes déontologiques relatifs à la profession D. n^o 73-1202, 28 déc.1973, relatif à la discipline et au statut des officiers publics, art. 42 à 44. . Dans ce cadre, le notaire en faisant usage est tenu de respecter les dispositions relatives à la protection des données. Ainsi chaque destinataire d'une sollicitation personnalisée doit donner son consentement et avoir la possibilité de s'opposer à la réception des messages JCP N 6 sept. 2019, n^o 36, act. 709. .

Au stade de sa conception, il est impératif que le délégué à la protection des données de l'office intervienne pour rédiger les mentions obligatoires et gérer le registre des données personnelles sensibles.

– La procédure de notification de violation des données à caractère personnel. – Le règlement européen (RGPD) prévoit l'obligation pour le responsable du traitement (en l'occurrence l'office notarial) de notifier à la Cnil toute violation de données à caractère personnel RGPD, art. 33 et 34. . Cette violation est avérée lorsqu'un événement entraîne la perte, l'altération, la destruction ou la divulgation non autorisée de données à caractère personnel. Cet événement doit être illicite ou accidentel pour entraîner la qualification de violations de données à caractère personnel, peu important qu'il soit la résultante d'une faille de sécurité. Ces violations peuvent être regroupées en trois catégories G29, avis n^o 03/2014 sur la notification des violations : https://edps.europa.eu/sites/edp/files/publication/18-12-14_edps_guidelines_data_breach_fr.pdf">Lien ; G29 : groupe de travail rassemblant les représentants de chaque autorité indépendante de protection des données nationales. :

La procédure se déroule en cinq étapes, à réaliser dans un délai de soixante-douze heures à compter de la constatation de la violation des données à caractère personnel RGPD, art. 33, 1. , c'est-à-dire précisément lorsque le notaire ou l'office notarial responsable du traitement est raisonnablement certain qu'un incident a compromis des données à caractère personnel. Au-delà de ce délai, les motifs de ce retard sont à fournir lors de la notification à la Cnil.

La divulgation de données personnelles peut être insignifiante selon le contexte. Cependant, elle peut devenir capitale lorsque ces données sont la proie d'algorithmes malveillants, ou de la sustentation des moteurs de recherche. Certains auteurs considèrent d'ailleurs que nos données sont aux prises d'un « coup data » A. Basdevant et J.-P. Mignard, L'Empire des données. – Essai sur la société, les algorithmes et la loi, éd. Don Quichotte, 2018. , d'une prise de pouvoir technologique. Même si la loi informatique et libertés demeure le premier texte de référence en France, la collecte des données à caractère personnel et leurs traitements font l'objet d'une réglementation européenne, à travers les dispositions du règlement général sur la protection des données (RGPD) PE et Cons. UE, règl. n^o 2016/679, 27 avr. 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) : JOUE 4 mai 2016, n^o L 119/1 (https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679">Lien). . Extrêmement difficile à décrypter, son adaptation dans notre législation nationale comme dans d'autres nécessite le regard aiguisé d'experts PE et Cons. UE, règl. n^o 2018/1725, 23 oct. 2018, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n^o 45/2001 et la décision n^o 1247/2002/CE (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32018R1725# :~ :text=Reglement (UE) 2018 /1725,(CE) n%C2%B0 45 /">Lien). V. infra, Commission 1, Partie III, n^os et s. .