Gestion des dossiers et conformité au GDPR pour les avocats

Les avocats doivent traiter les données de leurs clients en toute sécurité. Les données doivent être disponibles au bon endroit et au bon moment, mais nous devons également nous conformer au GDPR. Cet article traite des aspects de la conformité au GDPR à prendre en compte lors de l’utilisation d’un système de gestion des dossiers et d’Outlook dans le cadre du travail juridique.

By: Lars Houmann, CTO, Abakion
» Lars on Linkedin

Le défi le plus difficile à relever : le courrier électronique

Commençons par la partie où le GDPR cause normalement le plus de problèmes aux juristes : le courrier électronique. La plupart des juristes écrivent leurs courriels dans Outlook, et lorsque nous commençons à taper “il” dans le champ du destinataire, Outlook suggère immédiatement “Henrik”. La question est de savoir si le Henrik qu’Outlook a en tête est le bon.

L’activation de l’autocomplétion des destinataires des courriels est l’un des plus grands risques en matière de conformité au GDPR. Il ne fait aucun doute que la plupart des juristes pensent que seules les autres personnes commettent des erreurs, mais tout le monde peut tomber dans le piège lorsque l’activité est intense, et nous avons vu un grand nombre d’e-mails envoyés aux mauvais destinataires pour cette raison.

Évaluations individuelles

Le système de gestion des dossiers contient un grand nombre de données régies par le GDPR. Le système peut bien sûr contribuer à la mise en conformité avec le GDPR, mais de nombreuses décisions doivent encore être évaluées par les avocats.

Quand un dossier est-il obsolète ? Et qui est chargé d’évaluer si un dossier obsolète doit être effacé ou simplement anonymisé ?

Il en va de même pour les clients et les parties. Un client ou un parti obsolète doit-il être rendu anonyme ou supprimé ? Cela dépend de la situation.

Où sont stockées les données personnelles sensibles ?

Des données personnelles sensibles existent évidemment sur les dossiers, les clients et les parties, et elles peuvent se trouver à différents endroits. Il peut s’agir de données personnellement sensibles telles qu’un numéro de sécurité sociale sur la fiche du dossier, ou le dossier peut être enregistré comme concernant une maladie particulière ou quelque chose d’autre de nature personnellement sensible.

Mais où sont stockées les données personnelles sensibles ?

Qu’en est-il des anciens employés ? Il s’agit d’un domaine où l’anonymisation est particulièrement indiquée, car il peut s’agir d’enregistrements très anciens qui seront exigés ultérieurement à titre de documentation.

Les relevés de temps eux-mêmes, ainsi que les entrées affichées, peuvent indiquer quelque chose comme “collecte d’une note du médecin concernant un diagnostic de maladie mentale”. Il s’agit là aussi d’une question de sensibilité personnelle.

Il y a ensuite toutes les données stockées en dehors du dossier et du système ERP, comme tous les documents stockés dans une solution documentaire (par exemple SharePoint) ou sur un partage de fichiers. Ces documents contiennent naturellement de nombreuses données à caractère personnel.

Il n’est pas non plus certain que seuls des documents consultables soient concernés. Il peut s’agir de fichiers audio ou d’enregistrements vidéo d’audiences, par exemple. Il est plus difficile d’effectuer des recherches à partir de noms ou de détails personnels. Et que dire des pièces jointes aux courriers électroniques : comment les repérer ?


La suppression a des conséquences

Lorsque vous commencez à rendre les données anonymes et à les supprimer dans la pratique, un certain nombre de problèmes se posent.

Nous avons nous-mêmes intégré des fonctionnalités GDPR dans notre système de gestion des dossiers, Navokat. L’objectif est bien sûr de fournir aux avocats le plus de soutien possible dans l’anonymisation et l’effacement des données, mais toutes les décisions nécessitent des évaluations individuelles, de sorte qu’il est malheureusement loin d’être possible d’automatiser l’ensemble du processus.

Nous avons intégré une logique dans le système qui lui permet de suggérer des cas à supprimer. Il le fait en fonction de certains critères que vous définissez vous-même. L’avocat peut ensuite consulter les suggestions et choisir les dossiers à supprimer. Par exemple, vous pouvez demander à la solution de proposer des dossiers qui ont été archivés il y a plus de X années.

Malheureusement, nous avons déjà connu un client qui s’est trop fié aux suggestions du système et qui a fini par effacer des dossiers qui n’auraient pas dû l’être. Et maintenant, les données ont disparu. Elles ont complètement disparu, car s’il existait une fonction d’annulation, nous ne serions pas en conformité avec le GDPR.

Lorsque vous décidez de supprimer un dossier, ce ne sont pas seulement la fiche du dossier et le journal qui disparaissent. Il peut également s’agir des clients, des parties et de tous les documents associés à l’affaire. Cela inclut les enregistrements de temps, les entrées enregistrées – tout ce qui se trouve dans le ventre du système ERP.

La suppression d’un dossier est une décision lourde de conséquences. Elle est exigée par le GDPR, mais vous devez vous assurer que vous en comprenez les conséquences lorsque vous prenez votre décision.

Certaines affaires doivent être rendues anonymes – et non supprimées

Fondamentalement, le paramètre le plus important est le temps. Lorsque les dossiers sont si anciens qu’il n’y a plus d’intérêt à les conserver, ils doivent être supprimés. Certains juristes interprètent cela comme 10 ans, d’autres comme 5 ans. Les opinions varient, en fait, mais le temps est toujours le critère le plus important.



Cependant, tout ne doit pas être supprimé. Si vous avez une bonne raison de conserver les données, vous pouvez le faire. Une bonne raison peut être, par exemple, que l’affaire concerne des questions de principe ou qu’elle attire l’attention de la presse ou des autorités.

Les cas impliquant des questions de principe ne doivent pas être supprimés, bien sûr, mais il peut être nécessaire de les rendre anonymes à un moment ou à un autre.

Là encore, il s’agira de déterminer s’il est fondamental qu’un nom particulier apparaisse dans l’affaire ou si ce nom peut être rendu anonyme. Il s’agit là d’un autre jugement auquel votre solution informatique ne peut malheureusement pas contribuer.

Si nous voulons anonymiser Peter Petersen, un témoin dans une affaire, nous pouvons certainement rechercher son nom. À certains endroits, il n’est écrit que P. Petersen ou M. Petersen. Et à la page 37 d’un document, on peut lire “le propriétaire du magasin de vélos”, ce qui, bien sûr, signifie pour tout le monde Peter Petersen, puisqu’il s’agit d’une petite ville où il n’y a qu’un seul magasin de vélos. Cette mention doit également être anonymisée.

Il est difficile de faire reconnaître à un système informatique que “le propriétaire du magasin de bicyclettes” fait référence à Peter Petersen, et il s’agit donc d’une autre tâche pour laquelle il est difficile d’obtenir de l’aide de la technologie. La technologie ne doit pas seulement reconnaître que “le propriétaire du magasin de vélos” fait référence à une personne ; elle doit également juger s’il est pertinent, dans le cas de cette mention particulière, de savoir qu’il s’agit du marchand de vélos. Cela nécessite soit une intelligence artificielle sérieuse, soit de nombreuses heures de recherche manuelle.

Quel est le degré de maturité de votre système informatique ?

Les moyens par lesquels vos systèmes informatiques peuvent vous aider à supprimer et à rendre anonyme votre contenu se répartissent en quatre niveaux :

  1. Le niveau 1 correspond au moment où le système vous propose des cas à évaluer.
  2. Le niveau 2 correspond au moment où le système peut supprimer les dossiers, y compris les écritures et les pièces, que vous avez choisi de supprimer.
  3. Le niveau 3 est celui où le système peut procéder à l’anonymisation des dossiers en fonction des critères de recherche que vous avez choisis. Il s’agit d’une sorte de recherche et de remplacement dans le système de gestion des dossiers.
  4. Le niveau ultime est celui où le système peut utiliser l’intelligence artificielle pour trouver tous les termes personnellement sensibles, comme dans l’exemple “propriétaire d’un magasin de vélos”.

La grande majorité des systèmes se situent aux niveaux 1 et 2. Nous ne pouvons en citer aucun qui soit au niveau 4 ou qui ait la moindre chance de l’atteindre. Même si les systèmes pouvaient couvrir les points 1 à 4, une grande partie de la responsabilité de la conformité au GDPR incomberait toujours aux juristes qui doivent juger de ce qu’il convient de faire dans chaque cas.

Demande d’accès

En voilà assez sur la suppression et l’anonymisation. Les demandes d’accès sont un autre sujet qui peut représenter une charge de travail importante pour les juristes.

N’importe qui peut s’adresser à nous et demander à être informé de ce que nous savons sur lui. Ensuite, nous demandons à un employé de s’asseoir et de feuilleter les documents pour trouver les endroits où la personne concernée est mentionnée. La réception d’un grand nombre de demandes d’accès peut s’avérer extrêmement décourageante pour un cabinet d’avocats ordinaire. C’est une autre chose pour laquelle nous avons besoin de l’aide du système.

En principe, le défi est le même que pour l’anonymisation. Il faut pouvoir trouver les données dans tous les coins et recoins des dossiers et des documents. Le défi informatique est le même, et il est technologiquement difficile à résoudre.

Qui peut faire quoi ?

Il existe de nombreuses sous-tâches dans ce domaine, et la question est de savoir qui peut réellement faire quoi dans votre organisation. Lorsque vous disposez d’un bouton de suppression, il ne sert à rien que n’importe qui puisse accidentellement appuyer dessus et faire disparaître les données dans la nature.

  1. La première tâche est l’identification. Il s’agit d’établir une longue liste de dossiers et de données susceptibles de devoir être supprimés. Cette tâche relève essentiellement des systèmes informatiques et la plupart des personnes de l’organisation peuvent avoir accès à cette liste.
  2. La tâche suivante est l’évaluation de la liste longue. Dans ce cas, les juristes connaissant les cas particuliers doivent déterminer lesquels doivent être supprimés ou rendus anonymes. Il peut s’avérer nécessaire de mettre en place des procédures internes régissant le délai dans lequel une suppression peut être retardée sans qu’un partenaire soit impliqué dans la décision.
  3. Nous en venons ensuite à la suppression proprement dite. La question qui se pose ici est la suivante : qui aura l’autorité d’appuyer sur le bouton de suppression ? Qui sera autorisé à supprimer un dossier ? Nous pensons qu’il convient d’examiner attentivement la question de savoir si, par exemple, la suppression finale doit être approuvée par un partenaire.

Qui peut voir quoi ?

La protection des données consiste également à empêcher leur divulgation à des personnes non autorisées. Comment s’assurer que personne dans l’entreprise ne voit par hasard quelque chose qu’il ne devrait pas voir ?

Bien entendu, la sécurité informatique doit être maîtrisée afin que les pirates ne puissent pas voler des données et les vendre ou les retirer du système et exiger un paiement pour les récupérer, comme cela s’est déjà produit. Malheureusement, nous pouvons constater qu’il y a un grand nombre de tentatives de connexion échouées sur les bureaux distants avec la solution Navokat, où le logiciel travaille par essais et erreurs pour obtenir l’accès. Il s’agit d’une menace que tout le monde devrait prendre au sérieux.

Sur le plan interne également, nous devons tout simplement veiller à ce que seul le personnel compétent ait accès aux données. Tous les utilisateurs du bureau doivent-ils avoir accès à toutes les données dans tous les cas, ou peut-on concevoir des restrictions qui répondent aux exigences du GDPR sans entraver les activités quotidiennes ?

De même, on peut se demander si le fournisseur informatique externe doit avoir un accès illimité aux données à tout moment. Bien entendu, il doit être en mesure de fournir une assistance et de résoudre les problèmes informatiques et, dans ce contexte, il peut être judicieux de lui accorder un accès limité dans le temps aux données, mais le fournisseur informatique ne doit pas nécessairement disposer d’un accès libre en permanence.

Qui a accédé à quoi ?

Bien entendu, il est également important de pouvoir documenter la manière dont la personne a utilisé ses droits d’accès. Qui a consulté quelles données et quand ?

Il est important de disposer de ce registre d’accès pour pouvoir documenter le respect de la protection des données et répondre de manière satisfaisante aux demandes d’accès.

Où en êtes-vous dans le processus GDPR ?

Il y a beaucoup à faire pour qu’un cabinet juridique se conforme à tous les aspects du GDPR. Une autre question controversée est de savoir ce que l’on peut raisonnablement attendre d’un petit cabinet disposant de peu de ressources et si la technologie ne peut pas encore vous aider dans tous les domaines.

Mais la première étape consiste à faire le point pour savoir où vous en êtes, puis à planifier l’ampleur de vos ambitions dans le domaine du GDPR.

Si vous avez besoin de quelqu’un pour vous conseiller sur les questions relatives au GDPR en relation avec les systèmes de gestion des dossiers, nous serons heureux d’avoir une conversation sans que cela ne vous coûte un centime. Nous sommes toujours prêts à débattre de l’un des sujets qui préoccupent actuellement les avocats.