I – Notre accompagnement

Nous avons été parmi les premiers Cabinets à avoir endossé pour nos Clients, la fonction d’avocat Correspondant à la protection des données à caractère personnel défini dans le titre III (articles 42 à 55) du décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, plus connu sous l’appellation de « Correspondant Informatique et Libertés » (CIL), et ce dès 2011.

Avant l’entrée en application du Règlement général sur la protection des données (RGPD), 2016/679 du 27 avril 2016, le CIL était chargé de veiller au respect de la loi Informatique et Libertés au sein de l’entreprise, du groupe, de l’association ou de l’administration qui l’avait désigné.

Aujourd’hui, nous sommes Délégué à la protection des données (DPD) ou Data Protection Officer (DPO), évolution naturelle du CIL.

Cette fonction de DPD est définie dans le RGPD principalement par le considérant 97 et par sa section 4. L’article 37 traite de la désignation du DPD, l’article 38 en décrit les fonctions et l’article39 en liste les missions.

Depuis le 25 mai 2018, les DPD sont formellement désignés par les responsables de traitement auprès des autorités de contrôle (la CNIL en France), soit obligatoirement soit volontairement.

La mission principale d’un DPD est de faire en sorte que l’organisme qui l’a désigné soit en conformité avec le cadre légal relatif aux données personnelles. Cela suppose comme le rappelle la CNIL :

  • Une expertise juridique et technique en matière de protection des données personnelles,
  • Une bonne connaissance du secteur d’activité de l’entité concernée, de son organisation interne, en particulier ses opérations de traitements, ses systèmes d’information, des besoins en matière de protection et de sécurité des données,

qualités que nous sommes en mesure de déployer dès que la situation le requiert.

Notre expertise en matière de protection et de traitement des données personnelles nous permet ainsi d’accompagner nos Clients dans le défi que la gestion de ces questions peut représenter pour leurs organisations.

II – Nos types d’interventions (quelques exemples)

Notre cabinet vous propose un accompagnement diversifié en fonction de vos besoins (désignation en qualité de DPD, simple audit de l’existant et préconisations d’amélioration, ou encore mission de conseil et assistance à DPD déjà en place).

Nos missions peuvent couvrir les champs suivants :

  • Audit de la conformité des processus internes de traitement des données personnelles,
  • Rapport sur les risques encourus et leurs effets potentiels sur l’activité,
  • Gestion de la liste de traitement,
  • Rédaction de recommandations en vue de la mise en conformité au RGPD ou l’amélioration des traitements réalisés (traitement des demandes de droits des personnes, précautions à prendre en matière de contenu de zones de libre commentaire ou de cookies, détermination des durées de conservation, conception des mentions d’information des personnes, etc.),
  • Accompagnement dans la mise en place des plans d’actions arrêtés,
  • Maintien et mise à jour en matière de respect des conditions légales de traitement,
  • Réalisation d’une étude d’impact sur la vie privée (EIVP),
  • Consultation préalable en matière de « Privacy by Design » (prise en compte des impacts sur la vie privée dès la conception),
  • Établissement et maintien d’une documentation accessible au titre de « l’Accountability » (documentation relative aux traitements de données à caractère personnel (dont le registre des traitements)),
  • Rédaction du bilan annuel des activités,
  • Gestion des réclamations et plaintes des personnes concernées par les traitements pour lesquels le DPD a été désigné, garantir le respect du droit des personnes dans le traitement desdites réclamations et plaintes,
  • Accompagnement d’un contrôle sur place de la CNIL,
  • Préparation de demandes d’avis ou d’autorisation auprès de la CNIL,
  • Gestion des notifications de violation de données auprès de la CNIL et communications aux personnes concernées,
  • Sensibilisation et formation des personnels, diffusion d’une culture RGPD et « Informatique et Libertés »,
  • Etc.