L’importance de faire appel à un avocat RGPD pour la conformité des entreprises
L’importance de faire appel à un avocat RGPD pour la conformité des entreprises
Le Règlement général sur la protection des données[1] (RGPD)entré en application en 2018 a eu pour objectif principal d’harmoniser les règles de la protection des données dans l’Union européenne en responsabilisant plus sérieusement les acteurs du traitement des données personnelles, et en renforçant les droits des personnes concernées sur leurs données personnelles.
Ce nouveau Règlement a fait émerger de nouvelles règles et de nouvelles obligations pour les entreprises, associations, fondations (et de manière générale pour tout organisme) traitant des données personnelles. Ces nouvelles règles et obligations ont donc impliqué la nécessité de se mettre en conformité afin d’éviter les lourdes amendes à la clé.
Dans l’optique de s’assurer d’un accompagnement pointilleux et de qualité, les entreprises ont dans la majorité des cas fait appel à un avocat RGPD, c’est-à-dire à un avocat disposant d’une expertise certaine en matière de protection des données personnelles et au fait des évolutions réglementaires en la matière.
Me Mathilde Barbour est avocat RGPD et DPO depuis plusieurs années et bénéficie d’une grande expertise en la matière en ayant accompagné de nombreuses entreprises, associations, fondations dans la mise en conformité au RGPD de leurs activités.
[1] Règlement UE 2016/679
Comprendre le RGPD
Comme nous l’avons rappelé en introduction, le RGPD a deux principaux piliers qui doivent vous être rappelés par votre Avocat RGPD :
- La responsabilisation des acteurs : depuis2018, c’est aux acteurs du traitement (responsables du traitement, sous-traitants) de s’assurer par eux-mêmes que leurs traitements sont mis en œuvre respectueusement avec le RGPD. Les acteurs ont plusieurs obligations légales et réglementaires. A titre d’illustration, il n’est plus requis des responsables du traitement de déclarer leurs traitements auprès de la CNIL(sauf pour les demandes d’autorisation, mais il s’agit d’un cas spécifique),mais il leur est demandé de tenir eux-mêmes « l’accountability »c’est-à-dire la conformité générale de leurs traitements en assurant une documentation efficiente de leurs activités de traitements (mise en place de registres des traitements par exemple).
- Le renforcement des droits des personnes concernées : les droits des personnes dont les données personnelles sont traitées ont été considérablement accrus. Ils sont pour l’ensemble listés directement dans le RGPD aux articles 15 et suivants, ainsi que dans la loi informatique et libertés modifiée pour d’autres droits plus spécifiques (comme le droit d’interrogation par exemple). Toute personne peut exercer ses droits, et ce à tout moment sous réserve que leur exercice respecte les modalités prévues par les textes.
Votre Avocat RGPD sera en mesure de vous sensibiliser et de vous former avec pédagogie à une compréhension fine du RGPD, afin que vous et vos équipes puissiez disposer des principaux réflexes attendus en la matière. N’hésitez pas non plus à solliciter votre Avocat RGPD en cas de demande d’exercice des droits de la part d’une personne concernée.
Les risques de non-conformité
Les risques en cas de non-conformité peuvent conduire à des sanctions importantes de la part de l’autorité de contrôle (en France, il s’agit de la CNIL). En fonction de la non-conformité en cause, vous pouvez obtenir un simple rappel à l’ordre, une limitation du traitement, une suspension des flux de données mais également une amende administrative. Pour les infractions les plus graves, le montant des amendes peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.
Les conséquences pour votre entreprise en cas de non-conformité peuvent être dramatiques, tant d’un point de vue financier que du point de vue de l’image et de la réputation de votre organisme. Depuis quelques temps également, les concurrents n’hésitent pas à faire jouer la concurrence déloyale au profit d’une entreprise concurrent non-conforme. C’est une des raisons pour laquelle vous ne devez pas hésiter à vous faire accompagner par un Avocat RGPD pour préserver votre entreprise de situations évitables.
A titre d’illustration, une société n’ayant pas respecté le principe de minimisation des données, ni celui de l’information des personnes et n’ayant pas encadré correctement ses relations avec ses sous-traitants a été condamnée à 125 000€ d’amende.
Aussi, une société éditant un site internet proposant des articles, forums, tests e, liant avec la santé et le bien-être a été condamnée à 380 000€ d’amende pour défaut de recueil du consentement, défaut de sécurité des données, et défaut d’encadrement des relations avec ses sous-traitants.
Le rôle de l’avocat RGPD
Le rôle de l’Avocat RGPD est central pour vous assister dans vos démarches de conformité. L’avocat RGPD joue un rôle crucial pour assurer la sensibilisation, formation et point de contact avec vos équipes et pour vous aiguiller de la meilleure des manières sur vos droits et obligations. A titre d’illustration, un Avocat RGPD va souvent entendre de la part de ses clients qu’il est nécessaire de collecter le consentement pour traiter des données personnelles. Cette croyance est fausse : vous n’avez pas nécessairement besoin de collecter le consentement des personnes concernées pour traiter leurs données personnelles. En revanche, dans des cas bien spécifiques, le consentement demeure obligatoire c’est le cas notamment des actions de prospection commerciales en BtoC ou de traitement de données de santé dans l’hypothèse où vous avez créé une application en santé.
L’Avocat RGPD doit savoir s’adapter aux besoins de son client, maitriser le secteur d’activité, et s’adapter aux ressources et au niveau de maturité des personnes qu’il conseille.
Évaluation de la conformité
L’avocat RGPD saura aider les entreprises à évaluer leur niveau de conformité en posant des questions élémentaires, en échangeant avec les équipes, en analysant les process et politiques de l’entreprise et en comprenant le secteur dans lequel son client évolue.
Chaque Avocat RGPD travaille à sa manière, il n’existe pas d’outils et de méthodologies imposée pour évaluer le niveau de conformité d’un organisme. L’essentiel pour l’Avocat RGPD est de bien comprendre les activités de traitement de son client, de poser les bonnes questions, et bien souvent d’être capable d’avancer en autonomie pour soulager son client lorsque ce dernier n’est pas à un stade mature de conformité.
Mise en conformité et plan d’action
Dans le cadre d’une mise en conformité au RGPD, votre Avocat RGPD cherchera dans un premier temps à comprendre vos traitements de données personnelles et procèdera sans doute à la réalisation d’une cartographie des traitements, suivi d’un audit de conformité et d’un plan d’action. Toutefois, chaque avocat RGPD dispose de sa propre méthode pour assurer la conformité au RGPD de ses clients.
L’un des éléments fondamentaux de la mise en conformité au RGPD consiste en la tenue et la mise à jour de la documentation sur les activités de traitement, et en la formation et la sensibilisation du personnel. Votre Avocat RGPD saura vous assister et vous conseiller au mieux dans ces démarches.
Gestion des violations de données
Dans l’hypothèse où vous subissez une violation de données personnelles, votre avocat RGPD peut être indispensable vous vous assister dans les démarches à réaliser. Tout d’abord il peut vous aider à qualifier la violation, et à quantifier le risque, le nombre de personnes concernées, le nombre de données personnelles visées, les conséquences possibles de la violation etc. L’objectif étant de savoir si la violation de données personnelles nécessite une notification auprès de la CNIL et/ou des personnes concernées.
En effet, le risque pour les personnes concernées est la clé de voute de la violation de données personnelles. En cas de risque, vous devrez faire une notification auprès de la CNIL dans les 72h. Seulement si la violation présente un risque élevé pour les personnes concernées, vous devrez également procéder à une notification auprès des personnes concernées dans les meilleurs délais.
Pour conclure…
Le fait de solliciter un avocat RGPD pour vous assister dans vos démarches de mise en conformité vous permettra de gagner en efficience et de connaitre vos priorités dans les démarches à accomplir. Le Cabinet Barbour Avocat vous conseille vivement de consulter un avocat RGPD pour des conseils personnalisés et l’assistance juridique idoine en matière de protection des données personnelles.
[1]Règlement UE 2016/679