PRÉSENTATION & SYNTHÈSE DES MISSIONS DE VOTRE AVOCAT RGPD
Avocat RGPD pour entreprises. Le cabinet de Maître Jonathan POUGET, docteur en droit et avocat, vous conseille et défend vos intérêts quelle que soit votre localisation géographique. En matière de RGPD, votre avocat vous accompagne de différentes façons:
- Il réalise un Audit RGPD de votre activité afin de déterminer les points d’amélioration à envisager afin d’être en conformité avec la règlementation;
- Il élabore les registres des activités de traitement (obligatoires en vertu du RGPD);
- Il réalise des analyses d’impact (obligatoires dans certains cas en vertu du RGPD);
- Plus généralement, il rédige la documentation interne qui permet aux représentants et au personnel de la structure d’assurer au quotidien le respect des exigences du RGPD;
- Il élabore la documentation qui doit légalement être présentée aux personnes physiques dont les données personnelles ont vocation à être collectées;
- Il conseille et accompagne le responsable de traitement;
- Il encadre les transferts de données en dehors de l’Union Européenne;
- Il vous représente dans vos recours à l’encontre de décisions contraignantes de la CNIL.
Le cabinet agit avec dévouement et compétence. Il prend toutes les mesures nécessaires à la protection, à la valorisation, et à la préservation de vos droits et de vos intérêts financiers. Mail: jonathan@pouget-avocat.fr / Tél: 0607625574.
Il s’adresse à toute personne physique ou morale soumise aux obligations RGPD. Il défend également les personnes physiques désireuses de faire valoir leurs droits à rectification, à suppression, ou à opposition au traitement de leurs données personnelles.
I. Réalisation d’un Audit RGPD – Avocat RGPD pour entreprises
L’Audit RGPD est une étape indispensable si votre société collecte déjà des données personnelles depuis un certain temps, sans qu’une méthodologie particulière ne soit suivie, ou sans que les obligations découlant du RGPD ne soient réellement connues par les représentants et par le personnel de la société commerciale.
L’audit permet de mettre en évidence les points d’amélioration qui doivent être atteints par la société commerciale.
En cas de contrôle de la CNIL, les sanctions peuvent être importantes. Celle-ci précise en effet sur son site internet que “le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.”.
L’audit peut être réalisé au besoin aussi bien sur place qu’à distance. Ce sont notamment les moyens informatiques utilisés par la société dans le traitement des données à caractère personnel qui peuvent justifier la réalisation d’un audit sur place.
Les points d’amélioration peuvent par exemple concerner:
- Les modalités de traitement des données personnelles;
- L’étendue et la nature des données personnelles qui sont traitées;
- Les finalités et la base juridique des traitements;
- Les risques liés aux traitements de données personnelles;
- Les transfert de données en dehors de l’Union européenne ;
- Les risques spécifiques sur la vie privée des personnes physiques ;
- Les responsables de traitements, le délégué à la protection des données (DPO) et les sous-traitants ;
- Les mentions d’information à destination des personnes physiques.
Votre avocat est compétent pour réaliser un audit RGPD de votre entreprise.
II. Elaboration des registres des activités de traitement
Le registre des activités de traitement permet de recenser vos traitements de données et de disposer d’une vue d’ensemble de ce que vous faites avec les données personnelles. La tenue d’un tel registre est imposée l’article 30 du RGPD.
Toutefois, élaborer ce registre ne permet pas uniquement de respecter l’article 30 du RGPD. Le registre permet de documenter les traitements de données de la société et de permettre au personnel de se poser les bonnes questions :
- Ai-je vraiment besoin de cette donnée dans le cadre de mon traitement ?
- Est-il pertinent de conserver toutes les données aussi longtemps ?
- Les données sont-elles suffisamment protégées ? Etc.
Cette étape permet:
- De prévenir les risques de violation du RGPD en permettant au personnel de la société d’adopter les bons réflexes;
- De déduire un plan d’action qui permettra à la société de mettre ses traitements de données personnelles en conformité avec les exigences du RGPD.
Votre Avocat RGPD pour entreprises est compétent pour élaborer ce registre.
III. Réalisation d’une analyse d’impact – Avocat RGPD pour entreprises
L’AIPD est un outil important pour la responsabilisation des organismes : elle les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au Règlement général sur la protection des données (RGPD). Elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés (articles 35 et 36 du RGPD).
Comment savoir alors si les traitements de données personnelles menées par votre société présentent des risques élevés ?
- Soit en fonction du type de données personnelles qui est traité;
- Soit le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29.
Votre avocat vous aide à y voir plus clair et à déterminer si la réalisation d’une analyse d’impact s’impose ou non à votre société. Attention, dans le cas où l’analyse d’impact est obligatoire, elle doit être réalisée avant tout traitement de données personnelles et être mise à jour pendant toute la durée du traitement.
IV. Mise en place d’un traitement de données personnelles licite.
Afin d’être conforme au RGPD, le traitement de données personnelles doit respecter plusieurs principes, quel que soit le type de données qui est traité. Votre avocat vous informe et vous conseille en la matière.
De plus, une interdiction de traitement de principe s’applique en présence de données sensibles: données génétiques, données biométriques aux fins d’identifier une personne physique de manière unique, données concernant la santé, données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Afin d’être valide, le traitement de ces données doit s’effectuer dans le respect de règles encore plus exigeantes que celles applicables aux données classiques. Votre avocat vous informe et vous conseille en la matière.
V. Rédaction d’une Politique de confidentialité: information et droits des personnes
A) La politique de confidentialité assurant l’information des personnes
Afin d’assurer la transparence du traitement de données à caractère personnel, il est important de distinguer deux cas:
- Celui dans lequel les données sont collectées directement auprès de la personne concernée;
- Celui dans lequel les données ne sont pas collectées directement auprès de la personne concernée;
Dans le premier cas, l’information de la personne pourra se faire notamment par la prise de connaissance de la politique de confidentialité de la société. Votre avocat est compétent pour rédiger cette politique.
Dans le second cas, il sera nécessaire d’informer la personne que ses données ont été collectées. Cette information doit alors se faire à personne, dans le respect des délais prévus par le RGPD. Votre avocat vous informe, vous conseille et est en mesure d’informer les personnes concernées dans les formes exigées par le RGPD.
B) La politique de confidentialité et la politique interne garantissant le droit des personnes
Le RGPD confère plusieurs droits aux personnes faisant l’objet d’un traitement de données à caractère personnel:
- Un droit d’accès aux données collectées;
- Un droit à la rectification et à l’effacement des données;
- Un droit à la limitation du traitement;
- Un droit à la portabilité des données;
- Un droit d’opposition.
Ce droits doivent être précisés au sein de la politique de confidentialité de la société. En pratique, certains sont ensuite directement exercés par les personnes physiques qui contactent le responsable des traitements de données de la société.
Mais dans d’autre cas, la Société se doit de favoriser ces droits. Des mesures doivent être prises en interne, en application d’une politique interne, afin de limiter les traitements ou encore afin de permettre aux personnes physique de jouir de leur droit à la portabilité de leurs données.
Votre Avocat RGPD pour entreprises vous accompagne une fois de plus dans la rédaction de la politique de confidentialité, mais aussi dans la rédaction d’une politique interne, et dans la mise en place de mesures permettant de favoriser l’exercice des droits des personnes consacrés par le RGPD.
VI. Accompagnement du responsable de traitement
Le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées.
Il met également en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.
Votre avocat accompagne le responsable de traitement dans le respect de ses obligations.
A) Respect d’un éventuel code de conduite
Par ailleurs, il est nécessaire de vérifier si un code de conduite approuvé par la CNIL s’applique dans le secteur d’activité auquel est rattaché la société. En cas de réponse positive, des contrôles peuvent être opérés au sein de la société dans le but de vérifier si les règles du code d conduite sont appliquées en interne par le responsable du traitement.
Votre Avocat RGPD pour entreprises est compétent pour vérifier si un tel code de conduite s’impose au cas de votre société, et pour analyser le respect de ses dispositions par le responsable de traitement.
B) Demandes de certifications nationales et/ou européennes
La certification permet d’établir qu’un produit, un service, un processus ou un système de données a été évalué conforme aux critères d’un référentiel. Ces critères ont été approuvés au préalable par la CNIL ou par le Comité européen de la protection des données. L’évaluation est effectuée par un tiers certificateur qui doit lui-même être agrée.
L’obtention d’une certification est une démarche volontaire. La certification est un outil de responsabilisation car elle permet aux entreprises de disposer d’éléments qui leur permettront de démontrer le respect du RGPD en justifiant de leur conformité à des critères précis.
Bien que la démarche soit volontaire, la certification est un outil juridiquement contraignant pour ceux qui choisissent de s’engager dans cette démarche. Ainsi, le candidat à la certification s’engage à :
- Respecter les critères approuvés par la CNIL (ou par le Comité européen de protection des données (CEPD) dans le cas de la certification européenne) ;
- Maintenir cette conformité aux critères pendant toute la durée de validité de son certificat ;
- Se soumettre à la vérification régulière effectuée par l’organisme certificateur.
Il est possible pour une société d’obtenir une certification nationale (approuvée par la CNIL) et européenne (approuvée par CEPD). L’envergure de la société est donc à prendre en considération afin de songer à demander une certification européenne.
La certification permet à une société de communiquer auprès du grand public et de ses partenaires à partir d’une marque de confiance. Votre Avocat RGPD pour entreprises vous accompagne dans la procédure d’obtention d’une certification nationale et/ou européenne.
VII. Encadrement de la relation de la société avec un sous-traitant
La société peut avoir recours à un sous-traitant afin de procéder au traitement de données à caractère personnel.
Le sous-traitant doit présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Votre avocat vous aide à déterminer si ces garanties sont présentes.
Egalement, un contrat doit être conclu avec le sous-traitant. Le contenu de ce contrat doit respecter les exigences du RGPD. Votre avocat est compétent pour rédiger ou réviser ces contrats de sous-traitance.
VIII. Encadrement des transferts de données personnelles en dehors de l’Union Européenne
Ce transfert n’est possible que dans la respect des conditions posées par le RGPD.
Il est important de s’assurer que la CNIL a constaté par voie de décision que l’organisation, le pays, ou le territoire tiers à l’Union Européenne assure un niveau de protection adéquat des données personnelles.
Si une telle décision n’existe pas, votre société ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que si elle a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.
Ces garanties appropriées n’ont pas obligatoirement à être validées par la CNIL. Toutefois, pour être considérées comme appropriées, ces garanties doivent respecter plusieurs conditions fixées parle RGPD. Votre avocat est compétent pour vous accompagner dans le respect de ces conditions.
IX. Exercice d’un recours contre une décision de la CNIL
Les décisions de sanction de la CNIL ou de mise en demeure de son président peuvent faire l’objet d’un recours devant le Conseil d’État, dans un délai de deux mois à compter de leur notification. Ce délai est porté à 4 mois dans le cas d’un organisme situé à l’étranger
Le RGPD consacre le droit pour toute personne physique ou morale de former un recours juridictionnel effectif contre une décision juridiquement contraignante de la CNIL.
Votre avocat est compétent pour s’assurer que la décision en cause produit bien des effets contraignants à l’égard de votre société, ainsi que pour vous représenter en justice dans le cadre d’une contestation de celle-ci.
X. Défense de la société en cas d’action en responsabilité ou de contrôle – Avocat RGPD pour entreprises
Le RGPD offre la possibilité à toute personne dont les données ont été collectées par une société d’engager la responsabilité de cette dernière dans le cas où les exigences du RGPD n’auraient pas été respectées, et qu’un ou plusieurs préjudices auraient été subis par cette personne. Votre avocat est compétent pour vous défendre dans le cadre d’une telle procédure.
Egalement, en cas de contrôle qui serait opéré par la CNIL, votre avocat est en mesure de vous accompagner tout au long de la procédure.
XI. Autres demandes
De façon plus générale, votre avocat vous accompagne dans tous les aspects liés au RGPD et aux données personnelles, mais aussi à la vie de votre société et à la protection de ses dirigeants.