Mise en conformité RGPD

Notre cabinet d'Avocats situé à Bordeaux, Saintes et La Rochelle vous accompagne pour mettre en place votre conformité au RGPD.

Notre mission de mise en conformité RGPD

Notre cabinet d'Avocat propose un certain nombre de missions afin de vous permettre de mettre en conformité votre entreprise ou votre collectivité.

Les principales étapes de notre intervention en matière de mise en conformité RGPD

Notre intervention se déroule en plusieurs étapes principales.

PHASE  1 : L'ANALYSE ET LA REALISATION D'UN ETAT DES LIEUX

  1. Rencontre et analyse de vos activités, afin d'analyser les méthodes de traitements actuels
  2. Le recueil des informations nécessaires et l'état des lieux ;
  3. le déploiement de nos outils d'analyse ;
  4. L'Audit de la documentation actuelle (CGU, Charte Informatique, registre des traitements, PIA, etc.) ;
  5. L'Audit de vos traitements (un audit est réalisé pour chaque traitement) ;
  6. L'Audit du site internet de votre entreprise ;
  7. L'Audit en matière de sécurité générale de vos traitements (le cas-échéant, nos partenaires seront amenés à intervenir afin d'identifier les potentielles failles présentes au sein de votre système d'information) ; 
  8. L'Audit des procédures internes mises en place en cas de faille de sécurité (la procédure de notification à la CNIL est encadrée par des délais courts et impératifs) ;
  9. L'Audit de vos sous-traitants et autres tiers receuillant de la donnée collectée par votre entité ;
  10. L'audit de l'effectivité et du respect des droits des utilisateurs.

Cet état des lieux nous permettra d'obtenir un référentiel et d'identifier les actions correctives à mettre en oeuvre dans les meilleurs délais. 

PHASE 2 : RAPPORT D'AUDIT ET DEFINITION D'UN PLAN D'ACTION

A la suite de l'état des lieux effectué, nous pourrons être amené à vous faire part de nos conclusions sur la forme d'un rapport. Ce rapport contiendra l'analyse de la situation actuel et votre niveau de conformité.

Les éléments problématiques seront mis en avant en fonction de leur vraisemblance et de leur criticité, afin de déterminer un plan d'action ayant pour objectif de mettre en conformité votre entité dans les meilleurs délais. 

Une fois ce plan d'action validé, nous pourrions entamer nos travaux de mise en conformité.

PHASE 3 : ADAPTATIONS ET REDACTION DES ELEMENTS NECESSAIRE A VOTRE MISE EN CONFORMITE RGPD

Dans le cadre de notre actions, nous serons amené à rédiger, en coordination avec vos équipes : 

  • un registre des traitements complet
  • les études d'impacts (DPIA) détaillées concernant certains traitements ;
  • la procédure inhérentes aux failles de sécurité
  • la documentation "commerciale" (CGU, charte relative à la protection des données personnelles, etc.) ;
  • les procédures permettant l'effectivité des droits des utilisateurs ; 
  • les éléments permettant de mettre en conformité votre site internet (opt-in, information, etc.).

En outre, nous serons amenés à proposer la création de lignes directrices propres à votre entité relatives à la protection des données personnelles

PHASE 4 : AUDIT DE FIN DE MISSION ET SUIVI DE LA MISE EN CONFORMITE

A la suite de notre intervention, nous vous fournirons et ferons valider l'ensemble des documents rédigés en coordination avec vos équipes. 

Une documentation de synthèse vous sera fournie afin de mesurer l'impact de notre intervention. Cette documentation obligatoire servira (i) en cas de contrôle de la CNIL, (ii) d'une demande d'un utilisateur et (iii) de référentiel pour le suivi de votre mise en conformité.

En effet, il est recommandé de suivre votre conformité au moins une fois par an. A cet égard, nous pourrons vous proposer une mission complémentaire de suivi et d'adaptation de votre mise en conformité, sur la base d'un forfait annuel. 

Nos outils de mise en conformité RGPD

Notre cabinet d'Avocat possède un partenariat avec l’un des leaders français de la mise en conformité RGPD afin de déployer une solution logicielle adaptée.

Cette solution a été édité par un prestataire logiciel spécialisé dans la conformité et la protection des données personnelles depuis plus de 20 ans. Ce logiciel a été récemment mis à jour afin d’être intégralement en conformité avec les nouvelles exigences du règlement européen.

A cet égard, et dans le cadre de nos missions, nous pourrons vous octroyer un accès à ce logiciel regroupant l’ensemble de la documentation mise en place (PIA, registres, analyse, documentation en matière de faille, etc.).

Ce logiciel permet par ailleurs à nos clients d’entrer en contact avec notre cabinet en cas de nouveau traitement, de question ou de faille.

Cela permet d’avoir un suivi complet et un historique des actions, au sein d’un seul et même logiciel, en conformité avec les recommandations de la CNIL (cette autorité étant l’une des plus stricte en la matière).

Cette solution permet donc de gérer votre mise en conformité de manière unifiée, au sein d’un seul et même outil. Cela nous permet d’être plus efficace, d’éviter toute perte d’information et d’assurer ainsi un suivi complet de vos traitements et des actions à mener.

Enfin, ce logiciel permet d’assurer le suivi de la mise en conformité, grâce à un historique complet et répond à l’ensemble des recommandations CNIL.

Ce logiciel est bien évidemment intégralement chiffré et sécurisé.

Mettez-vous en conformité RGPD pour le 25 mai 2018 !

Le règlement européen sur la protection des données (RGPD) contient un certain nombre de nouvelles obligations. Cependant, la très grande majorité des éléments contenus dans le RGPD étaient déjà présents au sein de la Loi Informatique et Liberté datant de 1978.

 DEMANDE DE DEVIS GRATUIT EN LIGNE   

Une demande ? Une question particulière ?

Contactez nous au 09.72.60.94.89, par mail (contact@reclex-avocats.com) ou via notre tchat en ligne

Principes du RGPD

Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (dit RGPD ou GDPR) relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données est aujourd'hui entré en vigueur. 

Le Règlement Général sur la Protection des Données (RGPD) est une composante du « Package protection des Données » initié par le Parlement Européen. Ce règlement est entré en vigueur au mois de mai 2016.

Cependant, afin de laisser aux entités concernées (à savoir l’ensemble des données ayant à traiter des données personnelles, sauf rares exceptions), il a été décidé de repousser la date d’entrée en application de ce règlement au 25 mai 2018.

Le RGPD vient modifier et compléter l'ensemble des textes auparavant applicables, et notamment la loi "Informatique et Liberté" du 6 janvier 1978. A cet égard, la loi informatique et liberté vient d'être modifiée en février 2018, pour la vingtième fois depuis sa création.

Ce réglement européen entrera pratiquement en application à compter du 25 mai 2018. Pour plus d'informations, nous vous invitons à consulter notre fiche dédiée à la date d'application du RGPD.

Pour en savoir plus sur les nouveautés introduites par le RGPD, nous vous invitons à consulter notre fiche pratique dédiée.

L'intégralité des entreprises traitant des données personnelles (de manière directe ou indirecte) ainsi que l'ensemble des collectivités publiques doivent se mettre en conformité avec l'ensemble des dispositions du réglement européen

Ces obligations sont relativement nombreuses et combinent des obligations juridiques (information de l'utilisateur, contrôle des sous-traitants, transfert des données, etc.) mais aussi techniques (privacy by design, minimisation, localisation des données, procédures de contrôles, mesures anti-piratages, etc.).

En outre, les entreprises traitant de manière massive certains types de données personnelles ainsi que les collectivités doivent nommer un Délégué à la protection des données (ou Data Protection Officer) à compter du 25 mai 2018.

Ce règlement contient un certain nombre d’évolutions par rapport à la loi Informatique et Liberté. A cet égard, il convient de rappeler que dans l’hypothèse où les traitements actuels seraient conformes à la loi Informatique et Liberté, l’entrée en application du RGPD n’aurait que très peu d’effet sur la régularité de vos traitements.

Devant l’intérêt croissant de certaines entreprises ou confrères pour cette problématique, un certain nombre d’articles et de propositions commerciales sont présents sur Internet. Cependant, nous vous invitons à vous méfier des offres proposées et à vérifier les références et qualités des personnes effectuant ces propositions.

La réglementation RGPD ne contient aucune révolution quant au traitement des données personnelles. Toutefois, le RGPD nécessite la vérification d’un certain nombre d’éléments et la rédaction d’une documentation précise.

Quelles sont les sanctions en cas de non-respect de la réglementation RGPD ?

Les sanctions administratives pouvant être infligées sont encadrées par l'article 83 du réglement RGPD.

Au cas particulier, ces amendes peuvent atteindre (sous conditions) 20.000.000 € ou 4% du chiffre d'affaires mondial de l'entreprise, "le montant le plus élevé étant retenu".

Les amendes infligées sont ainsi particulièrement dissuasives afin d'obliger les entreprises concernées à se mettre en conformité.

Par ailleurs, le système déclaratif actuel de déclaration à la CNIL sera remplacé. Un système de contrôle a posteriori lui sera préféré à compter de la mise en place du règlement.

A cet égard, et en cas de contrôle (sur pièce ou directement par internet), chaque entreprise devra être en mesure de justifier de sa mise en conformité avec le réglement RGPD.

La protection des données, le domaine de la CNIL

L'autorité de régulation en charge du contrôle et des sanctions en matière de protection des données personnelles reste la CNIL

Notre cabinet propose une offre globale de mise en conformité de votre entreprise avec le règlement européen. 

 DEMANDE DE DEVIS GRATUIT EN LIGNE   

Contactez nous au 09.72.60.94.89, par mail (contact@reclex-avocats.com) ou via notre tchat en ligne

Les nouvelles obligations en matière de données personnelles à compter du 25 mai 2018

Bien qu'un grand nombre d'éléments issus de la Loi Informatique et Liberté soient conservés, un certain nombre de nouvelles obligations voient le jour avec l'entrée en application du RGPD.

Les principales nouveautés sont relatives à l'information renforcée des utilisateurs, la fin des procédures de déclaration (à l'exception de certaines procédures spécifiques) ainsi qu'à l'encadrement des relations avec les sous-traitants

Par ailleurs, des procédures spécifiques doivent être mises en place (aussi bien au niveau technique qu'au niveau juridique) afin d'assurer la protection des données personnelles.

Pour plus d'informations concernant ces nouvelles obligations issues du RGPD, nous vous invitons à consulter notre fiche pratique faisant la synthèse des nouveautés du RGPD à compter du 25 mai 2018.

Qu'est-ce qu'une donnée personnelle ?

La définition des données personnelles

Une donnée personnelle est une information se rapportant à une personne physique identifiée ou identifiable (de manière directe ou indirecte). 

Il s'agit de l'ensemble des données collectées et relatives à une personne (nom, adresse, adresse IP, géolocalisation, taille, habitudes, etc.).

La quasi-intégralité des entreprises sont donc concernées par le traitement des données personnelles vis-à-vis de leurs clients (fichier client, formulaires en ligne, etc.) mais aussi vis-à-vis de leur personnel (temps de travail, relevés d'absence, fonction, rémunération, etc.) au regard de l'article 88 du RGPD.

A cet égard, la réglementation européenne RGPD sera applicable et les normes édictées devront être scrupuleusement respectées.

Le cas particulier des données sensibles

Par ailleurs, les entreprises collectant directement ou indirectement des données "sensibles" seront soumises à des obligations de protection supplémentaires

Les données sensibles représentent les données personnelles attachées aux droits et libertés fondamentaux. 

Ces données sensibles sont notamment relatives à l'origine ethnique, la santé, les opinions politiques, etc. 

A cet égard, l'entreprise collectant des données sensibles devra respecter certains protocoles précis afin de garantir l'intégrité et la sécurité de ces données.

Encadrer les données personnelles, pour quoi faire ?

Les données personnelles (Data) constituent le pétrole du XXIème siècle. A cet égard, les données personnelles ont une valeur marchande considérable pour les entreprises qui les traitent et, parfois, les revendent.

Ces traitements peuvent avoir un impact sur la vie courante des individus et notamment sur l'exercice de certaines libertés.

C'est notamment pour cette raison que depuis 1978, la loi française encadre le traitement des données personnelles. Après plusieurs réformes de cette loi, le règlement européen sur la protection des données vient apporter un nouvel encadrement (et de nouvelles sanctions) aux entreprises traitant de la donnée (en pratique TOUTES les entreprises).

Nous vous invitons à consulter la vidéo ci-dessous édité par le site myshadow (https://myshadow.org/fr) relatif aux traces laissées sur Internet :

Votre entreprise est-elle concernée par la mise en conformité RGPD ?

Le RGPD s'applique "au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier."

En l'occurence, toutes les entreprises traitant de la donnée personnelle ont l'obligation de se mettre en conformité avec le RGPD au plus tard le 25 mai 2018.

 DEMANDE DE DEVIS GRATUIT EN LIGNE   

Contactez nous au 09.72.60.94.89, par mail (contact@reclex-avocats.com) ou via notre tchat en ligne

Quelle est la procédure permettant de mettre votre entreprise en conformité à la RGPD ?

Les entreprises traitant des données personnelles doivent respecter un certain nombre d'obligations afin d'être en conformité avec le réglement européen RGPD.

L'ensemble des procédures relatives au traitement de vos fichiers clients (entre autres) devront être revues afin de respecter les dispositions RGPD compliant

Ainsi, il s'agira d'utiliser des outils spécifiques et reconnus (CRM, solutions de tracking, etc.) mais aussi de veiller à ce que l'ensemble de votre documentation juridique (CGU, CGV, éléments relatifs à la donnée personnelle, relations avec les sous-traitants, partenaires, etc.) contienne les clauses de protection adéquates.

Une liste synthétique (et non-exhaustive) des principales obligations en matière est reprise ci-dessous (cette liste est très loin d'être exhaustive mais permet de déterminer les principaux éléments à mettre en place). 

Pour une information plus précise, nous vous invitons à consulter notre fiche pratique dédiée aux principales nouveautés du RGPD.

La nomination d'un délégué à la protection des données (data protection officer / DPO)

Le secteur public (Mairies, Hôpitaux, etc.) ainsi que les entreprises traitant de la donnée à grande échelle (big data, marketing, sondage, intelligence artificielle, etc.) auront l'obligation de désigner un Délégué à la Protection des Données interne ou externe (cabinet spécialisé, Avocat) ayant reçu une formation spécifique et reconnu comme tel par la CNIL.

A cet égar, Me Fabien DREY, DPO, dispose de locaux implantés à Bordeaux et à Saintes afin de vous accompagner en tant que DPO.

Pour plus d'informations quant à la nomination d'un DPO à Bordeaux ou en Charente-Maritime, nous vous invitons à cliquer sur notre page dédiée à nos missions de DPO.

L'information préalable des clients et le recueil du consentement, en fonction du fondement de la collecte

Le recueil du consentement des personnes dont les données personnelles seront collectées est l'un des éléments fondamentaux (mais non obligatoire en fonction du fondement de la collecte) du réglement RGPD. Ce consentement est d'ores et déjà encadré par la loi française actuelle. 

Cependant, les sanctions inhérentes à l'incapacité de prouver que l'utilisateur a bien donné son consentement préalable seront renforcées.

Par ailleurs, il convient d'informer l'utilisateur concernant notamment : 

  • la finalité du traitement des données ; 
  • la durée d'archivage ; 
  • les méthodes lui permettant de réclamer ses données (sous un certain format) ; 
  • le droit à la portabilité de ses données.

L'ensemble de la documentation juridique à destination de la clientèle devra donc être revue.

L'information des collaborateurs

Dans le même sens, l'entreprise devra s'assurer qu'elle respecte l'ensemble des normes RGPD (au niveau technique mais aussi au niveau juridique) et devra pouvoir rapporter la preuve de cette mise en conformité en cas de contrôle.

Les contrôles internes 

Le RGPD impliquera par ailleurs de respecter certaines normes techniques en matière de conservation et d'exploitation des données. 

Ainsi, les entreprises devront impérativement mettre en place les démarches suivantes : 

  • security by default : les données personnelles utilisées ne devront être celles qui sont strictement utiles à la finalité poursuivie par l'outil technique. Ainsi, chaque outil utilisé par l'entreprise ne devra avoir accès qu'aux données qui lui sont nécessaires afin de traiter la demande ;
  • privacy by design : l'ensemble des données personnelles devront être identifiées dès l'origine comme telle et traitées de manière séparées dans le système d'information. Cette modification demandera le plus souvent une mise en conformité de la plate-forme logiciel de l'entreprise et de sa manière de traiter numériquement la donnée ; 
  • l'accountability : l'ensemble des traitements de données doit être retracé et justifié afin que le responsable du traitement des données soit en mesure, à tout moment, de rapporter la preuve que la protection des données personnelles est assurée, au regard de la réglementation RGPD.

Le contrôle des transferts de données

L'ensemble des transferts de données à des sous-traitants ou des partenaires commerciaux, y compris à l'étranger, fera l'objet de mesures de protections strictes au niveau juridique (par l'intégration dans les contrats d'obligations relatives au respect du RGPD), mais aussi au niveau technique.

Le contrôle des sous-traitants et la rédaction de contrats spécifiques

L'entreprise devra à tout moment être en mesure qu'elle exerce un contrôle suffisant sur ses sous-traitants en matière de traitement des données personnelles et de compliance au RGPD.

A cet égard, un contrôle spécifique et une surveillance (par la preuve de justificatifs de traitements notamment) devra être mis en oeuvre par l'entreprise à destination de l'ensemble de ses sous-traitants.

 

 DEMANDE DE DEVIS GRATUIT EN LIGNE   

Une demande ? Une question particulière ?

Contactez nous au 09.72.60.94.89, par mail (contact@reclex-avocats.com) ou via notre tchat en ligne

Vous trouverez ci-dessous le détail de notre intervention en matière de mise en conformité RGPD (pour ce faire, nous serons assisté de partenaires extérieurs spécialisés dans le traitement technique de la protection des données).

  • 1

    Audit & Mapping

    Audit préalable juridique et technique

  • 2

    Revue des contrats externes

    Revue de l'ensemble de la documentation juridique à destination de vos clients.

  • 3

    Revue interne

    Revue de la documentation juridique à destination de vos collaborateurs.

  • 4

    Revue commerciale

    Revue de vos rapports avec l'ensemble de vos sous-traitants.

  • 5

    Modification de vos bases de données

    Modification de vos procédures de traitements des données personnelles

  • 6

    Revue de vos process d'alertes

    Mise en place de procédures d'alertes spécifiques en cas d'intrusion.

  • 7

    Sécurité informatique

    Mise en place de protection adéquates permettant de prévenir les intrusions.

  • 9

    Formation du personnel

    Formation de votre personnel sur l'impact du RGPD sur leur pratique quotidienne et formation en matière de sécurité informatique.