RGPD : la procédure du mois de mai

Beaucoup de cabinets pensent encore être en conformité avec le RGPD dès lors qu’une politique de confidentialité figure sur leur site internet. En pratique, cette seule démarche ne suffit pas. En 2025, la CNIL a prononcé 83 sanctions, dont 69 dans le cadre d’une procédure simplifiée concernant principalement des petites structures. Les amendes restent généralement limitées, entre 3 000 et 20 000 €, mais ces décisions sont publiques, ce qui peut également avoir un impact sur l’image et la confiance accordée au cabinet.

Pourquoi les cabinets patrimoniaux sont particulièrement concernés ?

Les données traitées dans ce secteur figurent parmi les plus sensibles : patrimoine, revenus, fiscalité, coordonnées bancaires, parfois santé. Dès lors que vos clients résident dans l'UE, soit la totalité des cabinets français, le RGPD s'applique, quelle que soit la taille de votre structure.

Les trois documents incontournables

1. Le registre des activités de traitement (art. 30 RGPD) C'est le document socle. Il recense tous vos traitements de données : collecte à l'entrée en relation, gestion des dossiers, transmissions à des partenaires, archivage, prospection. Pour chacun, vous documentez la finalité, la base légale, les données concernées, les destinataires et les durées de conservation. Un simple tableur suffit, ce qui compte, c'est qu'il soit tenu à jour. Un registre vierge ou jamais révisé est précisément ce que la CNIL relève en premier lors d'un contrôle.

2. La politique de confidentialité remise aux clients Avant toute collecte, votre client doit savoir : qui traite ses données, pourquoi, sur quelle base légale, combien de temps, et quels droits il peut exercer (accès, rectification, effacement, portabilité, opposition). Cette information doit être rédigée en français clair, pas en jargon juridique. Elle trouve naturellement sa place dans votre lettre de mission ou votre DER.

3. La procédure de gestion des violations de données En cas de fuite, piratage ou simple envoi de document au mauvais destinataire, vous disposez de 72 heures pour notifier la CNIL si l'incident présente un risque pour les personnes concernées. Improviser dans l'urgence est une mauvaise idée : rédigez la procédure à l'avance, qui alerte qui, comment évaluer la gravité, comment notifier la CNIL et les clients si nécessaire.

Ce que les contrôles révèlent le plus souvent

Les trois manquements les plus sanctionnés en 2025 : sécurisation insuffisante des données, droits des personnes ignorés (demandes d'accès ou d'effacement sans réponse), et absence de coopération avec la CNIL. En pratique, les angles morts les plus courants dans un cabinet sont : un CRM sans gestion des accès, des données conservées indéfiniment après la fin de la relation client, des emails avec pièces jointes sensibles envoyés sans chiffrement, et des prestataires cloud utilisés sans contrat de sous-traitance.

Le point souvent négligé : les sous-traitants

Chaque prestataire accédant aux données de vos clients, logiciel de gestion patrimoniale, CRM, signature électronique, comptable, est un sous-traitant au sens du RGPD. Un contrat spécifique (ou un avenant) est obligatoire avec chacun d'eux, précisant leurs obligations en matière de traitement, sécurité et confidentialité. Sans ce document, vous demeurez seul responsable en cas d'incident.

Par où commencer ?

Commencez par cartographier vos données : quelles informations collectez-vous, à quel moment, pour quelle raison, où sont-elles stockées, qui y a accès ? Cette réflexion alimente votre registre et fait apparaître vos zones de risque. La désignation d'un DPO n'est pas obligatoire sous 250 salariés, mais un référent RGPD interne, même à temps partiel, éventuellement mutualisé via votre association professionnelle, reste une bonne pratique.

Textes de référence : Règlement (UE) 2016/679, notamment art. 13, 14, 28, 30 et 33.