Comme un clin d’œil aux cordonniers, les professions juridiques ont accusé un retard dans l’application du RGPD. Ce retard ne peut être imputé directement aux praticiens mais plutôt aux différents ordres qui tardent encore à donner leurs directives. Pourtant, celles récemment diffusées par l’ordre des huissiers sont claires. Elles font de la mise en conformité au RGPD et de la cybersécurité une évolution prioritaire. Ainsi, un changement des pratiques des huissiers paraît désormais d’autant plus nécessaire.
Nos équipes synthétisent dans cet article les enjeux importants auxquels les huissiers seront confrontés.
La sécurisation des données
Les données traitées par les huissiers sont nombreuses mais nous retrouvons parmi elles les données liées à des infractions. Ainsi des exigences particulières devront être portées quant à la préservation de la confidentialité, de l’intégrité et de la disponibilité de ces informations. D’autant que les ordonnances judiciaires révèlent également des données sur des tierces personnes. Pour prendre un exemple impactant, le cas des saisis sur salaires dans le cadre d’une garde exclusive d’un enfant est intéressant. En effet, la Cour de Justice de l’Union Européenne s’est récemment prononcée sur la nature sensible des informations liées aux conjoints. Ainsi, ces informations révèlent l’orientation sexuelle de la personne et constituent des données dont la collecte est par principe interdite.
Bien que l’interdiction de collecte ne s’applique pas ici, s’appliqueront, quant à elles, les exigences en matière de sécurisation des données. Le chiffrement des données et des échanges, l’administration du réseau informatique, l’utilisation de plateformes sécurisées, font partie des mesures qui pourraient venir chambouler les pratiques habituelles des huissiers.
Des textes de référence de l’Agence Nationale de sécurité des Systèmes d’Information peuvent être étudiés afin de se rapprocher au mieux à un niveau de cybersécurité conforme à l’état de l’art tels que :
- Le guide de l’hygiène informatique
- L’ensemble des recommandations et bonnes pratiques devant être appliquées par les entreprise
Le respect des procédures de "tiers autorisés"
En tant qu’huissier, un des principaux défis est d’obtenir les informations permettant d’exercer les pouvoirs qui lui sont confiés. Ainsi, les enquêtes sont au cœur de la profession. Il est d’ailleurs courant que nos clients reçoivent des demandes par courriers ou courriels de la part d’une étude. En revanche, il est beaucoup plus rare que celles-ci les informent qu’ils ne sont pas obligés d’y répondre en l’absence d’une ordonnance judiciaire la désignant expressément comme ayant autorité à exercer une telle demande.
Ainsi, les offices usent, volontairement ou non, de leur statut pour obtenir des informations. Or, le recueil des procédures « tiers autorisés » de la CNIL est univoque à ce sujet. Les procédures autorisées sont cantonnées aux :
- Organismes dans lesquels le débiteur a ouvert un compte ;
- Etablissements habilités par la loi à tenir des comptes de dépôt ;
- Administrations publiques nationales et locales ;
- Entreprises concédées ou contrôlées par une administration publique ;
- Etablissements publics ou organismes contrôlés par l’autorité administrative ;
- Tiers débiteur du débiteur dans les conditions prévues aux articles L. 211-1 et suivants du code des procédures civiles d’exécution.
Une évolution des procédures d’enquête, et surtout concernant l’information des destinataires, est essentielle.
Le recours aux détectives
Il est parfois nécessaire pour les huissiers de recourir à des détectives car ces premiers sont obligés de déclarer leur qualité d’officier ministériel et ne peuvent recourir à aucun « stratagème ». Ainsi, la combinaison de ces deux professions a déjà été admise en justice et notamment par la plus haute juridiction judiciaire en 2007 : la Cour de Cassation.
« (…) la cour d’appel a pu retenir comme mode de preuve licite un constat dressé par un huissier qui s’est borné à effectuer dans des conditions régulières à la demande de l’employeur des constatations purement matérielles dans un lieu ouvert au public et à procéder à une audition à seule fin d’éclairer ses constatations matérielles »
Or, une telle décision est contestable au regard du RGPD. En effet, l’enquête préliminaire effectuée par un détective constitue un traitement de données à caractère personnel. D’autant que se situer dans un lieu public ne justifie pas un tel traitement et heureusement. Sans cela, les dernières technologies de vidéosurveillance/vidéoprotection seraient déjà déployées sur l’ensemble du territoire.
Par conséquent, une approche nouvelle devra être pensée afin de permettre le respect de la règlementation tout en permettant aux huissiers de conserver, en tout ou partie, leurs méthodes d’enquête. Le recours à des analyses d’impact sur la protection des données sera sûrement un des points à creuser.
L’adaptation des mandats
En tant qu’officier ministériel, l’huissier dispose de pouvoir dont il assume l’entière responsabilité. Ainsi, il sera qualifié de responsable de traitement au sens du RGPD. Toutefois, cette qualification implique de nombreuses obligations parmi lesquelles se trouvent :
- L’information claire et accessible des personnes concernées ;
- Le respect des droits des personnes.
Or, lorsque celui-ci est mandaté, il est selon nous nécessaire de prévoir contractuellement, au sens du RGPD, les conditions dans lesquelles le mandat sera exécuté. Ainsi, diverses modalités devront être prévues :
- Méthodes d’information des personnes concernées
- Collecte des informations du demandeur
- Stockage / Hébergement
- Durées de conservation
- Conditions d’exercice des droits des personnes
- Etc.
En effet, il est aussi important de s’intéresser au traitement des informations des personnes sollicitant l’étude dans le cadre d’un mandat.
La tenue des registres obligatoires
Bien que cette obligation ne soit pas un bouleversement direct de l’activité, celle-ci constitue une évolution dans la manière de documenter l’activité. Nombreuses sont les offices ne disposant pas :
- D’un registre des activités de traitements à jour ;
- D’un registre des sous-traitants dont la conformité à la règlementation a été évaluée ;
- D’une cartographie du système d’information de l’étude ;
- D’un registre des demandes d’exercice de droits ;
- D’un registre des incidents le cas échéant ;
Nombreuses aussi sont les offices qui prennent en compte les exigences du RGPD vis-à-vis des tierces personnes à l’étude mais dont l’application aux membres du personnel est négligée.
Enfin, au regard de la sensibilité des données traitées par les études et pour faire écho à notre précédent article sur les officines de pharmacie, il ne serait pas étonnant que la CNIL se positionne sur une forte recommandation de nomination d’un délégué à la protection des données au-delà d’un certain seuil de chiffre d’affaires.