Secret professionnel et données d'adresses : ce que dit la loi

Pour la plupart des entreprises, la conformité RGPD est la principale contrainte qui pèse sur le traitement des données personnelles. Pour les avocats, les médecins, les notaires, les experts-comptables et une douzaine d'autres professions réglementées, ce n'est qu'une partie de l'équation. Au-dessus du RGPD plane l'article 226-13 du Code pénal : la violation du secret professionnel. Là où le RGPD impose des amendes administratives à l'entreprise, le 226-13 prévoit jusqu'à un an d'emprisonnement et 15 000 EUR d'amende contre la personne physique.

Ce que beaucoup sous-estiment : la simple existence d'une relation entre un professionnel soumis au secret et son client est déjà couverte. Un fichier d'adresses envoyé à un prestataire de dédoublonnage cloud peut suffire à constituer la révélation, même sans aucune information sur le dossier traité. Le simple fait qu'une personne soit cliente d'un cabinet d'avocats ou d'une consultation médicale est un secret protégé.

Nettoyer son fichier d'adresses sans toucher au secret professionnel ? ListenFix traite vos données entièrement en local, sur votre propre poste. Aucun envoi vers le cloud, aucune transmission à un tiers. Télécharger ListenFix gratuitement

Qui est tenu au secret professionnel ?

L'article 226-13 du Code pénal réprime la révélation d'une information à caractère secret par une personne qui en est dépositaire « soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire ». Concrètement, la jurisprudence et les textes spécifiques visent notamment :

• Médecins, chirurgiens-dentistes, sages-femmes, pharmaciens et autres professions de santé (article L. 1110-4 du Code de la santé publique)
• Avocats, notaires, huissiers, commissaires de justice
• Experts-comptables et commissaires aux comptes
• Psychologues, psychothérapeutes
• Travailleurs sociaux, conseillers conjugaux, médiateurs familiaux
• Banquiers (secret bancaire, articles L. 511-33 et L. 511-34 du Code monétaire et financier)
• Personnels des organismes de protection sociale, agents de la CAF, du Pôle emploi
• Ministres du culte
• Salariés et collaborateurs dépositaires en raison de leur mission

Le périmètre s'étend également aux personnes qui interviennent dans le cadre de la mission : assistants, secrétaires, sous-traitants techniques. Toute personne ayant accès aux données dans le cadre de la prestation est tenue à la même obligation, et engage sa responsabilité pénale propre.

Les coordonnées d'un client sont-elles vraiment un secret ?

C'est la question qui revient le plus souvent. La réponse jurisprudentielle est claire : oui, dès lors que la liste peut être rattachée à un cabinet ou à un praticien identifiable. La Cour de cassation a confirmé à plusieurs reprises que l'existence même d'une relation professionnelle entre un client et un avocat ou un patient et un médecin est couverte par le secret (Cass. crim., 16 mai 2000).

Exemples concrets souvent sous-estimés

Fichier : cabinet_dupont_clients_2026.xlsx
Contenu : 1 247 lignes — Nom, Adresse, E-mail

Ce fichier est protégé par le secret professionnel. Le nom du fichier rattache les personnes à un cabinet d'avocats précis. Le téléverser dans un outil cloud sans encadrement juridique suffisant peut constituer une révélation, même si aucune information sur les dossiers n'est jointe.

Fichier : psychologue_paris_envoi_voeux.csv
Contenu : Adresses pour la carte de vœux annuelle

Idem. Le fait qu'une personne soit en suivi psychologique est précisément ce qu'elle souhaite garder confidentiel. Le fichier est entièrement couvert.

Sanctions : pénal, civil et déontologique cumulés

Comparé au RGPD, l'article 226-13 frappe la personne physique, pas seulement la structure.

Aspect	RGPD	Article 226-13 du Code pénal
Nature de la sanction	Administrative (CNIL)	Pénale
Quantum	Jusqu'à 20 M EUR ou 4 % du CA	1 an de prison, 15 000 EUR d'amende
Visé	L'organisme responsable de traitement	La personne physique fautive
Voies de recours	Plainte CNIL, action civile	Plainte pénale, partie civile
Conséquences professionnelles	Indirectes	Radiation, suspension, retrait d'agrément possibles
Assurance	Partiellement	Le dol n'est jamais assurable
Prescription	3 ans (action CNIL)	6 ans (délit)

À cela s'ajoutent les sanctions disciplinaires : conseil de l'ordre pour les avocats, conseil départemental pour les médecins, commission régionale de discipline pour les experts-comptables. Les ordres professionnels prennent au sérieux les manquements au secret, indépendamment du déclenchement d'une procédure pénale.

La sous-traitance est-elle interdite ?

Non, mais elle est strictement encadrée. Plusieurs textes posent un cadre :

1. Article 226-13 lui-même. Il punit la révélation. La transmission à un sous-traitant en est une, sauf exception légale.
2. Article 226-14. Il liste les cas où la révélation est autorisée (signalement obligatoire, urgence vitale, etc.). Ces exceptions ne couvrent pas les opérations de back-office.
3. Article L. 1110-4 du Code de la santé publique pour les données de santé : il pose le principe du partage entre professionnels de santé prenant en charge le même patient, mais pas avec des prestataires techniques de manière générique.
4. RGPD, article 28. Il impose un contrat écrit avec le sous-traitant, mais ne suffit pas à lui seul à lever l'obligation pénale de secret.

En pratique, pour qu'une externalisation tienne juridiquement, il faut cumuler trois conditions : nécessité réelle de la sous-traitance, engagement écrit du sous-traitant et de chacun de ses collaborateurs au secret professionnel sur le fondement de l'article 226-13, contrôle effectif et documenté par le professionnel responsable.

Avec un fournisseur cloud international dont les opérations sont réparties entre plusieurs centres de données et dont le personnel change régulièrement, cette chaîne d'engagements est, dans les faits, extrêmement difficile à reconstituer.

Trois options réalistes pour le nettoyage d'un fichier d'adresses

Vous voulez dédoublonner votre fichier client, identifier les déménagements, harmoniser les civilités. Trois voies se distinguent.

Option 1 : traitement interne avec Excel ou des scripts maison

Avantage : aucune transmission à un tiers, aucune exposition à l'article 226-13.

Inconvénient : Excel ne reconnaît pas les doublons réels. « Martin, Jean, Rue de la Paix 12 » et « MARTIN J., 12 rue de la Paix » apparaissent comme deux personnes distinctes, alors qu'il s'agit du même client. Sur un fichier de 5 000 lignes, le travail manuel de rapprochement représente typiquement deux à trois jours-homme.

Option 2 : prestataire externe avec contrat de sous-traitance + engagement de secret

Avantage : algorithmes professionnels, charge interne réduite.

Inconvénient : préparation juridique lourde. Il faut un contrat de sous-traitance conforme à l'article 28 du RGPD et un engagement écrit au secret professionnel signé par chaque salarié du prestataire ayant accès aux données. À chaque rotation de personnel, l'engagement doit être renouvelé. La responsabilité pénale du professionnel reste engagée en cas de défaillance dans le contrôle.

Pour un nettoyage ponctuel, le coût juridique dépasse souvent le bénéfice. Pour des flux récurrents et volumineux, cela peut s'amortir, à condition que le prestataire documente réellement la chaîne d'engagements.

Option 3 : logiciel local, exécuté sur votre poste

Avantage : les données ne quittent jamais votre cabinet. Aucun tiers à engager au secret, puisqu'il n'y a pas de révélation. L'article 226-13 ne s'applique pas.

Inconvénient : il faut un logiciel qui travaille réellement en local, sans téléversement caché des fichiers ni télémétrie envoyant des métadonnées sensibles.

Cette troisième option est, pour la majorité des professions soumises au secret, la voie la plus simple à la fois juridiquement et économiquement.

Vérifier qu'un logiciel travaille réellement en local

Plusieurs éditeurs revendiquent une approche « locale » sans la pratiquer entièrement. Trois points méritent une vérification factuelle :

1. Activation de licence. Certains logiciels téléversent un extrait du fichier traité au moment de l'activation. Une analyse réseau (ou une attestation écrite de l'éditeur) permet de le vérifier.
2. Télémétrie. Même sans envoyer le contenu du fichier, certains programmes transmettent des métadonnées : noms de fichiers, nombre d'enregistrements, horodatages. Sur un fichier nommé cabinet_dupont_clients.csv, le seul nom du fichier peut révéler un secret.
3. Mises à jour. Elles doivent ne télécharger que du code, jamais renvoyer de données vers l'éditeur.

Pour approfondir le cadrage RGPD au-delà de l'article 226-13, voir notre article Validation d'adresses : pourquoi des adresses correctes valent leur poids en or et le guide général Dédoublonnage d'adresses.

Combien coûte un nettoyage conforme au secret professionnel ?

Cabinet de notaire de taille moyenne : 1 800 clients actifs, 4 200 fiches historiques, deux envois annuels (vœux, lettre d'information). Coûts annuels sans nettoyage :

• 6 000 plis × 1,29 EUR (Lettre verte impression incluse) = 7 740 EUR
• Taux de doublons estimé 7 % = 420 envois inutiles, soit 542 EUR perdus
• Retours pour adresses obsolètes (3 %) : 232 EUR de coût de traitement
• Total perdu : environ 774 EUR par an

Si le cabinet utilise les tarifs Destineo Marketing Direct de La Poste pour ses envois en nombre (à partir de 0,256 EUR par pli sous conditions), l'écart se déplace mais le pourcentage de gaspillage reste identique.

Comparaison des solutions de nettoyage :

Solution	Coût initial	Coût récurrent	Charge 226-13
Excel manuel	0 EUR	16 h ≈ 800 EUR	Aucune
Prestataire cloud	250–700 EUR par lot	Par lot	Sous-traitance + engagement écrit par collaborateur, contrôle continu
Logiciel local	70–150 EUR licence	0–99 EUR/an	Aucune (pas de révélation)

À ces volumes, la solution locale devient rentable dès la première année par rapport à la prestation externe — sans porter le risque pénal du secret professionnel.

Démarche pratique : par où commencer

Un protocole simple pour un cabinet ou une étude :

1. Cartographier les fichiers. Quelles listes existent et où ? Souvent éparpillées dans le logiciel métier, les contacts Outlook, d'anciens fichiers Excel et des bases de mailing.
2. Qualifier la sensibilité. Toute liste rattachable à un cabinet identifiable est couverte. Y compris les fichiers de simples destinataires de cartes de vœux.
3. Choisir la voie. Interne avec outils bureautiques, logiciel local spécialisé, ou prestataire externe avec engagement complet au secret. Cette dernière voie n'est rentable que pour des flux importants et récurrents.
4. Exécuter le nettoyage. Dédoublonnage tolérant aux fautes de frappe, normalisation des adresses (RNVP), marquage plutôt que suppression des fiches incertaines.
5. Documenter le résultat. Quelles fiches fusionnées, lesquelles supprimées ? Cette traçabilité est précieuse en cas de demande d'accès RGPD.

Ce qu'il faut retenir

L'article 226-13 du Code pénal n'est pas un obstacle bureaucratique : il protège la confiance que les clients placent dans leurs avocats, médecins ou experts-comptables. Cette confiance se traduit, sur le plan opérationnel, par une exigence simple : moins le fichier sort du cabinet, mieux on dort.

Les outils cloud sont rarement la voie la plus rapide pour un professionnel soumis au secret — souvent c'est la plus complexe juridiquement. Un logiciel qui travaille en local résout le problème à la racine, parce qu'aucune révélation n'a lieu. Pour la plupart des cabinets, c'est l'arbitrage évident, à la fois sur le plan du droit et du portefeuille.