Données personnelles – RGPD
Le cabinet accompagne depuis plusieurs années les professionnels et les entreprises dans leur démarche de mise en conformité avec les règles applicables aux données à caractère personnel, renforcées depuis l’entrée en vigueur du règlement européen sur la protection des données personnelles (« RGPD ») en mai 2018.
Nous vous conseillons et vous apportons les solutions et les outils nécessaires pour votre conformité et pour gérer les problématiques que vos pratiques peuvent poser au regard de cette réglementation.
Nous rédigeons les clauses, contrats et autres mentions, actes ou documents utiles pour assurer le respect des obligations en matière de protection des données, tels que :
- Contrats, avenants et clauses contractuelles avec les sous-traitants, les clients, les utilisateurs…
- Mentions légales, information des personnes concernées, recueil du consentement
- Politique de protection des données, cookies, politique de confidentialité
- CGU, CGV (sites web, applications, logiciels…)
- Charte informatique
- Etc.
Nous pouvons intervenir en support du délégué à la protection des données (DPD, DPO) lorsqu’il a été désigné, pour l’assister dans la mise en œuvre des actions nécessaires, notamment pour la réalisation d’analyses d’impact, la gestion des contrats, la rédaction des mentions d’information des personnes concernées, la mise en place d’un nouveau traitement…, ou pour lui apporter une expertise sur des questions spécifiques ou complexes.
Audit de conformité RGPD
La réalisation d’un audit ou diagnostic de l’existant permet d’identifier les principaux écarts ou points de non-conformité, de recenser les traitements de données personnelles mis en œuvre (cartographie) et de mettre en place un plan d’actions en définissant des priorités pour la mise en conformité.
Mise en conformité RGPD
Les principales actions à prévoir dans le cadre d’une démarche de mise en conformité avec la règlementation relative à la protection des données sont généralement les suivantes :
- Désigner un DPO ou un pilote
- Elaborer un registre des traitements
- Réviser les contrats et clauses contractuelles entre le responsable de traitement et les prestataires / sous-traitants
- Mettre en conformité les traitements de données personnelles existants et les projets de nouveaux traitements, notamment en ce qui concerne les finalités, la base juridique, la durée de conservation, l’accès aux données, l’information des personnes concernées, le recueil du consentement, la sécurité des données…
- Réaliser une analyse d’impact pour certains traitements (AIPD ou PIA, privacy impact assessment)
- Mettre en place des procédures internes
- Documenter la conformité.
Le cabinet vous assiste dans la mise en œuvre de ces différentes actions, en tenant compte des spécificités de l’organisation et du fonctionnement de chaque structure et de ses services.
Pour en savoir plus : Les points clés de la conformité RGPD
Protection des données personnelles, loi Informatique et libertés, CNIL et RGPD
Depuis la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « loi Informatique et Libertés », toute personne qui met en œuvre un traitement de données à caractère personnel est tenue de respecter diverses obligations légales, sous peine de voir sa responsabilité civile ou pénale engagée.
Sont concernés tous types d’opérations (collecte, hébergement, transmission, traitement…) sur des données, dès lors qu’elles permettent d’identifier directement ou indirectement une personne physique (adresse email, numéro de téléphone, adresse IP, donnée de géolocalisation…).
Pour en savoir plus : Protection de données personnelles : les notions clés
La Commission nationale de l’informatique et des libertés (CNIL) veille au respect de ces règles, informe sur les droits et les obligations à respecter, et peut procéder à des contrôles.
Le règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit « RGPD » ou « GDPR », a créé de nouvelles obligations pour les entreprises : analyses d’impact, privacy by design, privacy by default, registre des traitements, désignation d’un DPO (délégué à la protection des données), principe de minimisation, notification des violations de données, clauses obligatoires dans les contrats avec les sous-traitants, obligation de transparence renforcée, etc.
Le RGPD accroît la responsabilité des responsables de traitement et de leurs prestataires, dits sous-traitants, qui interviennent sur les données, avec une logique de responsabilisation (accountability) et un renforcement des sanctions pouvant être encourues.