Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle

Compliance au RGPD et à la protection des données personnelles

Une nécessité, une opportunité et un atout concurrentiel

Le règlement UE n°2016/679, dit règlement général sur la protection des données (RGPD) impose une obligation stricte d’ « accountability ». Dès lors que vous traitez des données personnelles, vous devez être en mesure de démontrer votre propre conformité au nouveau règlement, en matière de sécurité, de transparence et de respect de la vie privée.

La non-conformité représente un risque potentiel sur de multiples plans, avec notamment la possibilité d’actions de groupe contre un responsable de traitement, des sanctions administratives lourdes et de graves impacts sur la réputation.

La nécessité de se mettre en conformité avec le RGPD impacte de nombreux aspects de la vie des sociétés, tels que les ressources humaines, les contrats avec les fournisseurs et les clients, la gestion des prospects, la sécurité informatique et les transferts des informations à l’étranger.

Cependant, le RGPD représente également une opportunité pour les entreprises, et la conformité sera un atout concurrentiel sur plusieurs niveaux. En effet, être privacy friendly sécurise et fidélise la clientèle, dans un cadre commercial où le consommateur est sensibilisé à ses droits.

Parallèlement, la donnée devient une valeur patrimoniale de votre entreprise, qui va augmenter si elle est de qualité, exploitée de manière licite et bien protégée. Ainsi, la mise en conformité et la sécurisation de vos données doit être considérée comme un investissement, de nature à rassurer vos prospects, vos clients, vos fournisseurs et vos investisseurs.

Le RGPD ne doit donc pas être vécu comme un épouvantail (quels que soient les risques encourus), mais plutôt comme un vecteur d’accélération de confiance, de valorisation de la donnée et, partant, de croissance et de création de nouveaux modèles économiques.

Nos avocats experts en compliance au RGPD et à la protection des données personnelles

Nos équipes d’avocats experts en protection des données personnelles et compliance au RGPD vous assistent dans votre mise en conformité RGPD. Notre approche consiste en un diagnostic de vos besoins, en fonction de la taille de votre entreprise et de vos activités de traitement, pour ensuite dresser un plan d’actions ajusté et sur-mesure.

La technologie seule peut suffire à assurer votre conformité. Ainsi, nous vous accompagnons dans l’objectif de transparence et de sécurisation des données résultant du RGPD dans vos pratiques internes, vos relations BtoB et BtoC, vos projets de croissance externe et/ou d’adossement financier ou industriel, ainsi que dans la formation de votre personnel.

Nous travaillons en synergie de compétences avec notre réseau d’experts en sécurité informatique afin d’assurer une vision augmentée de la protection de vos données.

Notre méthodologie – les briques de la conformité :

1. Comprendre : Phase formation et sensibilisation

Le RGPD agissant sur le principe de la responsabilité de l’entreprise, la formation du personnel est la clé de la réussite de la conformité. Les actions de formation s’inscrivent dans la démarche de loyauté attendue en cas de faille de sécurité ou de faille dans le processus de mise en conformité.

Le cabinet d’avocats ALTIJ vous aide à sensibiliser vos équipes via nos formations RGPD labellisées par la CNIL et nos outils de sensibilisation pratiques et novateurs, pour aider les organismes à comprendre leurs obligations et à prévenir les risques de sanctions.

Voir notre page formation RGPD dédiée où télécharger notre catalogue de formations (lien vers flyer).

2. Agir : Phase audit, registre et plan d’action

• Identifier le pilote de votre conformité
• Designer vos référents data et/ou votre DPO (Data Protection Officer / délégué à la protection des données) interne, externe et/ou mutualisé ;
• En savoir plus sur nos offres de DPO externe.

• Auditer les traitements des données et établir votre registre des traitements :

• Recensement des données traitées par l’organisme avec le concours de l’ensemble des métiers (RH, marketing, informatique, etc.) ;
• Identification des moyens et de la localisation du stockage et des transferts des données collectées par l’organisme ;
• Identification des acteurs tiers pouvant accéder aux données personnelles traitées ;
• Justification et documentation de la finalité de chacun des traitements et des bases légales ;
• Recommandations sur des délais de conservation ;
• Élaboration du registre des traitements des données.

• Établir un plan d’action

• Identifier les risques principaux de non-conformité liés à vos traitements de données personnelles ;
• Ordonner et prioriser les actions de compliance à mener (actions organisationnelles, techniques et juridiques)

3. Documenter : Phase documentation juridique

Nos avocats experts vous aident à établir les éléments documentaires de votre conformité :

• Transparence et information des personnes concernées

• Site internet : mise à jour de votre politique de confidentialité, de votre bandeau cookies, de votre politique de cookies et de l’information accompagnant vos différents formulaires de contact (opt-in newsletter, espace candidats, simulateurs en ligne, etc.) ;
• Ressources humaines : information de chaque membre du personnel sur le traitement de leurs données personnelles.

• Documentation contractuelle

• CGU / CGV :clauses protectrices des données à caractère personnel ;
• Sous-traitants :sécurisation de vos contrats de sous-traitance (SaaS, cloud, gestion informatique, marketing direct, paie, etc.) en conformité avec les exigences de l’article 28 du RGPD (« data processing agreement » – DPA) ;
• Accords intra-groupe et/ou avec les partenaires : sécurisation de vos échanges de données avec vos sociétés affiliées et/ou avec vos partenaires commerciaux (banques, investisseurs, franchisés / concessionnaires, partenaires R&D, etc.) via des accords ou politiques identifiant les rôles et responsabilités de chaque partie ;
• Transferts transfrontaliers : encadrement de vos transferts de données en dehors de l’EEE, notamment via la mise en place desclauses contractuelles types (CCT) de la Commission européenne et/ou l’analyse de l’applicabilité de BCRs (binding corporate rules) ;
• Ressources humaines :charte informatique, règlement intérieur, contrat de travail le cas échéant.

• Procédures internes

• Droits RGPD : procédures de gestion des demandes d’exercice des droits RGPD (droit d’accès, de rectification, à l’oubli / effacement, à la portabilité, d’opposition etc.) reçues par l’organisme (clients et salariés) ;
• Violations des données : procédures sur les démarches à suivre en cas de faille de sécurité et/ou violation des données personnelles, afin notamment de répondre à vos obligations de notification auprès de la CNIL et des personnes concernées ;
• Formulaires pour permettre l’exercice des droits RGPD.

4. Protéger : Phase DPIA

Si des risques élevés pour les droits et libertés des personnes concernées sont identifiés lors de la phase de diagnostic, nos avocats vous accompagnent pour la réalisation d’une ou plusieurs analyses d’impact (« DPIA » ou « Data Protection Impact Assessment ») afin de sécuriser vos activités de traitement clés et de répondre aux exigences de « data protection by design and by default » (protection des données dès la conception et par défaut). Dans ce cadre, nous vous accompagnons dans vos démarches de consultation de la CNIL.