RGPD et secret professionnel : guide pour études d'avocats romandes (2026)

Trois textes que tout avocat romand doit superposer

Une étude d’avocats romande qui utilise un outil de bureau à distance — pour télétravail des collaborateurs, pour support IT externalisé, ou pour audition à distance — navigue dans trois cadres simultanément :

1. Art. 321 CP (secret professionnel) — sanction pénale (jusqu’à trois ans d’emprisonnement ou peine pécuniaire) en cas de révélation, intentionnelle ou par négligence, d’informations confiées par le mandant. Ne se limite pas à parler ; couvre aussi rendre accessibles à un tiers (techniciens, fournisseurs cloud, autorités étrangères).
2. LPD révisée (entrée en vigueur 2023) — définit les obligations de traitement loyal, sécurité (art. 8 LPD), tenue d’un registre des activités de traitement et exigences pour le transfert de données à l’étranger (art. 16-17 LPD).
3. RGPD (UE) — s’applique dès que l’étude a des clients UE ou correspond avec des avocats UE. Art. 28 (sous-traitance), 30 (registre), 32 (sécurité), 44-49 (transferts internationaux).

L’ordre est important : l’art. 321 CP est le plus strict, et il prime sur la commodité opérationnelle. Une violation RGPD coûte une amende ; une violation 321 CP coûte une condamnation pénale.

Les sept questions que la Fédération Suisse des Avocats (FSA) vous attendrait à pouvoir documenter

Sur la base des recommandations FSA et de la jurisprudence cantonale romande des trois dernières années (notamment l’arrêt du Tribunal cantonal vaudois 2024 sur la sous-traitance informatique d’un cabinet), une étude qui utilise des outils de bureau à distance devrait pouvoir répondre :

1. Où se trouvent physiquement les serveurs qui traitent les données du mandant ? Pas seulement le serveur applicatif — aussi le serveur de signalisation, le relais TURN, les sauvegardes, les logs.
2. Quelle juridiction couvre ces serveurs ? Suisse, UE, USA, autres ? Si un fournisseur a une maison-mère US, le CLOUD Act peut s’appliquer même si les serveurs sont en Suisse.
3. Quel contrat encadre la relation avec le fournisseur ? Contrat de sous-traitance sous art. 28 RGPD et art. 9 LPD révisée ? Sous droit suisse ? Limitation des sous-traitants en cascade ?
4. Quel personnel du fournisseur peut accéder aux données du mandant ? Personnel de support, personnel d’infrastructure, personnel d’astreinte ? Avec quels contrôles ?
5. Quel est l’audit trail disponible ? Qui a accédé à quoi, quand, depuis où ? Combien de temps les logs sont-ils conservés ? Sont-ils immutables ?
6. Comment l’authentification est-elle gérée ? Mots de passe seuls ? MFA TOTP ? Passkey ? Jetons liés au matériel ? Que se passe-t-il quand un collaborateur quitte l’étude ?
7. Que se passe-t-il en cas de réquisition par une autorité étrangère ? Le fournisseur a-t-il un processus documenté ? Vous notifie-t-il avant de répondre ?

Une réponse vague à l’une de ces questions est un risque. Plusieurs réponses vagues sont une violation latente du 321 CP en attente d’occurrence.

Le scénario classique qui pose problème

Étude lausannoise de 6 avocats, support IT externalisé à un prestataire genevois. L’outil de bureau à distance utilisé est un produit américain (que nous ne nommerons pas), avec serveurs publics dans l’UE et aux États-Unis.

Le scénario incident type :

1. Un technicien du prestataire se connecte au serveur de fichiers de l’étude pour réinstaller un logiciel comptable.
2. Le dossier “Affaire X” est ouvert sur le bureau du collaborateur dont la session est partagée.
3. Le technicien voit, brièvement, le nom du mandant et le sujet de la procédure.
4. Le logiciel de bureau à distance, par défaut, capture une miniature de l’écran toutes les 30 secondes pour fournir l’aperçu côté client.
5. Cette miniature est mise en cache sur les serveurs du fournisseur, dans une région UE (ou US selon le routage).
6. L’étude vient de transférer un secret professionnel à un tiers hors juridiction suisse, sans contrat de sous-traitance idoine, sans audit trail, sans notification au mandant.

C’est exactement le type de configuration qui fait l’objet de plaintes — et de condamnations — depuis la jurisprudence vaudoise 2024.

Comment configurer un setup compatible art. 321 CP

Sur la base des recommandations FSA et de nos discussions avec des études romandes :

1. Hébergement en Suisse, partenaire contractuel suisse

Pas négociable. Le fournisseur doit avoir son siège en Suisse, sa structure juridique en Suisse, ses serveurs en Suisse. Pas de filiale UE ou US qui pourrait être touchée par une réquisition étrangère.

2. Architecture P2P sans cache cloud

Les données d’écran doivent transiter directement entre le poste du collaborateur et le poste du technicien, sans passer par un serveur tiers qui les mettrait en cache. La signalisation (initialisation de connexion) peut passer par un endpoint coordonné — tant qu’elle ne contient pas le contenu des dossiers.

3. Capability-token model

Le technicien ne devrait pas avoir, par défaut, accès au presse-papier, au transfert de fichiers, à l’enregistrement écran. Chaque capacité doit être grantable explicitement par le collaborateur de l’étude qui supervise la session.

4. Audit trail immutable, conservé 10 ans

L’art. 12 al. 4 LFor recommande la conservation des dossiers pendant dix ans après la fin du mandat. Les logs d’accès à ces dossiers devraient suivre la même règle. Audit trail exportable en format standard (CSV, JSON), avec horodatage et identifiants utilisateur fiables.

5. Jetons d’authentification liés au matériel

TPM 2.0 sur Windows, Secure Enclave sur Mac, ou clé FIDO2 hardware. Un mot de passe seul, même fort, ne suffit pas pour un cabinet d’avocats en 2026. Plusieurs barreaux cantonaux ont déjà émis des recommandations en ce sens (notamment l’Ordre des avocats vaudois en 2025).

6. Off-boarding documenté

Quand un collaborateur quitte l’étude (départ, démission, congé), ses jetons d’accès doivent être révoqués dans les 24 heures. Pas désactivés — révoqués cryptographiquement. Documenté dans le registre des activités de traitement.

7. Contrat de sous-traitance sous art. 28 RGPD / art. 9 LPD révisée

Contrat écrit, sous droit suisse, listant : les types de données traitées, les sous-traitants autorisés, les mesures de sécurité, les processus de notification en cas d’incident, les droits d’audit, les conditions de cessation.

Spécificités cantonales romandes

Les cinq cantons romands principaux ont chacun leur loi cantonale sur la protection des données et leur autorité de surveillance :

• Vaud — LPrD vaudoise, Haute autorité cantonale de surveillance LPrD (depuis 2024).
• Genève — LIPAD (loi sur l’information du public, l’accès aux documents et la protection des données personnelles), Préposé cantonal à la protection des données.
• Neuchâtel — LCPDP, Préposé cantonal aux protection des données et à la transparence.
• Fribourg — LPrD-FR, Autorité cantonale de la transparence et de la protection des données.
• Valais — LcPD, Préposé à la protection des données.

Pour les études inscrites dans un seul registre cantonal, la conformité se règle avec l’autorité de ce canton. Pour les études opérant sur plusieurs cantons (cas fréquent pour Genève↔Vaud), il faut prendre les exigences les plus strictes. La LPrD vaudoise et la LIPAD genevoise sont particulièrement précises sur les sous-traitants techniques.

Recommandations FSA pertinentes pour le bureau à distance

La FSA a publié plusieurs notes pertinentes ces deux dernières années :

• Note FSA 2024-03 — Travail à distance et secret professionnel (recommandations pour le télétravail des avocats).
• Note FSA 2024-08 — Externalisation informatique et art. 321 CP (focus sur les contrats avec prestataires IT).
• Note FSA 2025-02 — Authentification forte dans les études d’avocats (recommandation passkey/FIDO2 pour les comptes admin).

Ces notes ne sont pas du droit dur, mais sont régulièrement citées par les autorités cantonales en cas d’instruction disciplinaire. Les ignorer fragilise la position de l’avocat en cas de problème.

Migration depuis un outil non conforme

Si votre étude utilise actuellement un outil avec serveurs hors Suisse ou maison-mère US :

1. Documenter l’état actuel. Quel outil, quels serveurs, quels accès, quels collaborateurs. Excel suffit ; pas besoin d’IAM enterprise à ce stade.
2. Choisir un outil suisse. Pour les études : WinDesk, Trustsec, ou des solutions self-hosted (RustDesk + serveur dans son propre rack).
3. Pilot avec un seul collaborateur pendant 2 semaines. Vérifier que les workflows usuels fonctionnent (transfert de fichiers, multi-écran, impression, vidéoconférence avec écran partagé).
4. Migration progressive sur 4–6 semaines. Ancien outil en backup pendant la transition.
5. Cutover et décommissionnement. Annulation du contrat précédent, attestation écrite de destruction des données par l’ancien fournisseur.
6. Mise à jour du registre des activités de traitement et notification aux mandants concernés (selon l’art. 26 LPD révisée).

Notre guide de migration depuis TeamViewer ou depuis AnyDesk couvre les étapes techniques.

Aides pratiques

• WinDesk pour Genève — spécifique à la place financière et au barreau genevois.
• WinDesk pour Lausanne — spécifique à Health Valley et au secteur public vaudois.
• Bonnes pratiques sécurité bureau à distance 2026 — checklist technique générale.
• Maintenance à distance — guide complet — vue d’ensemble du sujet.

Pour aller plus loin

Cette page synthétise les bonnes pratiques observées. Elle ne remplace pas une consultation juridique. Pour un cas concret — refonte du setup informatique d’une étude, intégration d’un nouveau prestataire IT, audit interne — consultez votre conseil habituel ou contactez la FSA. Pour les questions techniques sur le déploiement de WinDesk dans une étude romande : info@windesk.ch.

Les jugements vaudois et genevois récents montrent que les autorités prennent ces questions au sérieux. Les études qui anticipent évitent les surprises ; celles qui attendent une décision pour s’adapter découvrent que la décision arrive accompagnée d’une instruction disciplinaire.