La mise en conformité au RGPD, pourquoi choisir un avocat ?

Le RGPD ou Règlement Général sur la Protection des Données est aujourd’hui au cœur des préoccupations des entreprises. Toutes les entreprises qui exploitent les données personnelles des résidents de l’Union européenne sont aujourd’hui concernées par ce dispositif, et donc par l’obligation de se mettre en conformité. Cependant, beaucoup de chefs d’entreprise ne savent pas encore que faire devant cette loi. Non seulement ils ne savent pas comment faire, mais aussi à qui faire appel. L’avocat est un interlocuteur de choix dans la démarche de la mise en conformité au RGPD. Découvrez pourquoi se faire accompagner par un avocat dans cette démarche.

Qu’est-ce que la mise en conformité au RGPD ?

Le Règlement Général de la Protection des Données (RGPD), encore connu sous le sigle GPDR ou General Data Protection Regulation, est un dispositif visant à protéger les informations personnelles des utilisateurs et à inciter les entreprises à mettre en place un processus clair dans le traitement des données de leurs clients. Entrée en vigueur le 5 mai 2018, ce texte remplace la directive sur la protection des données personnelles votée en 1995.

Le RGPD rentre en jeu dès lors qu’il y a un traitement de données personnelles qui concernent des résidents de l’Union européenne ou une collecte de données personnelles. La mise en conformité au RGPD consiste en une cartographie des processus de traitement des données clients mis en place par une entreprise ou organisme. Notons que cette démarche implique de nombreux changements internes au sein de l’entreprise, dont la nomination d’un Data Protection Officer (DPO) qui est en charge de la mise en conformité globale de l’entreprise.

On peut aussi citer la mise en place d’un registre pour chaque traitement de données réalisé par les différents départements au sein de l’entité. L’entreprise doit en outre mettre à la disposition de la CNIL un dossier contenant les preuves du respect des obligations du RGPD. Elle doit aussi respecter les droits RGPD des utilisateurs et leur délivrer des informations transparentes. Mettre en place ce procédé peut se révéler complexe. Voilà pourquoi, il est préférable de faire appel à un spécialiste, comme l’avocat RGPD.

Pourquoi faire appel à un avocat ?

La mise en conformité RGPD comprend deux aspects différents : technique et juridique. L’aspect technique concerne la mise en place opérationnelle du processus. Cette partie requiert des compétences techniques, notamment en IT. L’aspect juridique, quant à lui, concerne toute la partie liée à la mise aux normes légales, c’est-à-dire le contrôle de la conformité du processus, la mise en place des différents changements, etc. L’avocat RGPD intervient dans ce deuxième niveau de la mise en conformité.

Passer par un avocat pour la mise en conformité avec la RGPD, c’est bénéficier des conseils et de l’accompagnement d’un spécialiste pour se mettre rapidement en conformité avec le dispositif. En effet, l’avocat RGPD dispose des connaissances juridiques surtout, mais techniques aussi, pour aider une entreprise à se mettre en conformité. Le fait qu’il connaît parfaitement le processus et comment l’appliquer efficacement, permet aux entreprises de gagner du temps et de ne pas faire d’erreur. Ceci réduit les risques de sanctions. Il faut rappeler que le non-respect du RGPD fait encourir une amende pouvant aller jusqu’à 25 millions d’euros.

RGDP

Le rôle de l’avocat RGPD est ainsi de veiller à ce qu’une entreprise soit conforme avec les obligations du RGPD. Pour y arriver, il doit réaliser un certain nombre d’actions :

  • l’audit juridique et technique qui consiste à analyser la manière dont l’entreprise procède à la collecte et au traitement des donnée
  • la formation des différents responsables
  • la constitution du registre
  • la réalisation des formalités auprès de la CNIL
  • la rédaction des documents contractuels, etc.

L’avocat RGPD veille à ce que tout soit mis en place pour que l’entreprise se conforme au règlement. Pour cela, plusieurs étapes doivent être suivies :

La cartographie des traitements des données personnelles

La première étape pour se conformer au RGPD est de faire un diagnostic de l’existant, c’est-à-dire cartographier les traitements de données personnelles. Il s’agit de recenser et d’indiquer les caractéristiques des activités de traitement de données selon leur finalité. Chaque département de l’entreprise peut effectivement être amené à collecter et traiter des informations personnelles pour des finalités différentes comme la facturation, la prospection ou le recrutement. La cartographie consiste donc à faire un atlas de chaque type d’activité.

La cartographie des traitements permet de constituer au final un registre des données indiquant entre autres les différents traitements réalisés, le type de données utilisées, le lieu et la durée de conservation, les objectifs poursuivis, les acteurs qui s’occupent du traitement, les destinataires et les mesures de sécurité prises.

L’analyse de la conformité des traitements

Une fois les caractéristiques des traitements recensées, il faut ensuite les analyser pour s’assurer de leur conformité au règlement, mais pas seulement. Il faut aussi s’assurer du respect des modalités d’exercice des droits des personnes concernées, des mesures de sécurité mises en place et du respect des obligations par le sous-traitant.

La tenue d’un registre des activités de traitements et d’une documentation interne

Comme le RGPD a pour but de responsabiliser les personnes amenées à manipuler des informations personnelles, chaque entreprise doit consolider son dispositif contractuel concernant les garanties de confidentialité, assurer la tenue d’un registre des traitements ainsi que d’une documentation interne.

Ainsi, chaque responsable de département devra tenir un registre lié à ses activités de traitement de données personnelles. Chaque entreprise doit aussi conserver un dossier concernant la documentation liée aux traitements des informations personnelles, celle liée à l’information des personnes et les contrats définissant le rôle et la responsabilité de chaque acteur.

La sécurisation du traitement

La mise en conformité au RGPD implique aussi la mise en place d’un processus de gestion des risques de sécurité. Celui-ci concerne entre autres la sécurité du traitement des données et la gestion des failles de sécurité. En tant qu’interlocuteur direct de l’entreprise dans le processus de mise en conformité au RGPD, l’avocat RGPD accompagne cette première dans chacune de ces étapes. Non seulement il veille à ce que chaque étape soit correctement réalisée. Il met aussi à la disposition des entreprises les outils nécessaires pour sa mise en œuvre : solution logicielle, conseils, expertises …