Présentation vidéo
Précieuses ressources pour les entreprises, objets de nombreuses convoitises, les données à caractère personnel font l’objet d’intenses débats et sont soumises à un strict encadrement juridique.
Le règlement sur la protection des données (RGPD) qui est entré en application en mai 2018 a renforcé à l’échelle communautaire à la fois les droits des personnes (création d’un droit à la portabilité des données personnelles, anonymisation des données, dispositions propres aux mineurs, etc.) et la responsabilité des acteurs traitant ces données.
Les amendes et les sanctions associées constituent un risque significatif pour toute entreprise concernée.
Dans ce contexte et compte tenu de l’enjeu économique, il est impératif, quelle que soit votre activité, de vous adapter et de vous conformer aux obligations actuelles et à venir, variables selon la nature des traitements et la finalité des informations recueillies.
Expertise avocat protection des données personnelles
Notre Cabinet, fondé en 1978, l’année même du vote de la loi Informatique, fichiers et libertés, dispose, dans ce domaine, d’une expertise unique, pour laquelle on lui reconnaît une compétence de près de plus 40 ans.
Notre équipe d’avocats spécialisés en la matière vous accompagne dans la mise en œuvre des solutions nécessaires.
Quelle que soit votre secteur d’activité (banque, assurance, secteur industriel, automobile, grande distribution, organisme public, éditeur de logiciels… une entreprise nationale ou multinationale) nos experts sont à même d’intervenir sur l’ensemble de vos problématiques liées à la protection des données personnelles.
Prestations avocat protection des données personnelles
Nous intervenons à tous les stades du processus de mise en conformité au regard du droit de la protection des données à caractère personnel. Nos principales prestations sont ainsi les suivantes :
- mise en conformité au regard des exigences de la réglementation relative à la protection des données personnelles (RGPD, loi Informatique et libertés, décret d’application, doctrine de la Cnil et du CDPD) ;
- cartographie légale ;
- benchmark permettant de positionner son niveau de conformité par rapport aux autres acteurs du marché ;
- Etablissement des registres des traitements ;
- Demande d’avis à la Cnil ;
- accompagnement juridique de projets internationaux ;
- encadrement des flux transfrontières de données (contrats de transfert, BCR) ;
- audit juridique de la sécurité des traitements ;
- politique de durée de conservation des données à caractère personnel ;
- programme de sensibilisation au droit de la protection des données à caractère personnel ;
- rédaction et implémentation de procédures en matière de protection des données à caractère personnel (accountability) ;
- mentions obligatoires ;
- mise à jour des contrats de prestations de services au regard des exigences de la réglementation relative à la protection des données personnelles ;
- conseils stratégiques sur les nouveaux traitements (protection des données dès la conception), ainsi que sur tout projet impactant la protection des données à caractère personnel ;
- élaboration des dossiers d’analyse d’impact ;
- maintien en conditions opérationnelles de la conformité au regard de la protection des données à caractère personnel ;
- lobbying ;
- gouvernance Informatique et libertés ;
- plan de contrôle ;
- veille ;
- intervention dans le cadre de cellules de crise.
Nous assurons également des prestations auprès des Data protection officers, telles que :
- l’assistance des DPO dans le cadre de la gestion de leurs dossiers ;
- la réalisation de la mission de DPO par notre cabinet en infogérance juridique.
International
En parallèle de son intervention en France, l’activité en matière de droit de la protection des données personnelles du cabinet s’appuie sur son expérience et expertise dans la gestion de grands projets internationaux, notamment dans l’assistance de groupes internationaux pour la mise en place des exigences issues du RGPD mais également des réglementations locales en la matière.
Elle peut s’appuyer, dans ce cadre, sur son réseau de correspondants habituels dans le monde entier.>.
Outils dédiés
Nous avons développé un programme de mise en conformité aux exigences de la réglementation relative à la protection des données personnelles en 20 étapes :
Chatbot
RGPD
1
Chatbot RGPD
L’agent conversationnel ou chatbot du cabinet Lexing Alain Bensoussan Avocats répond à toutes vos questions concernant le Règlement Général sur la Protection des Données.
L’intégration sur les plateformes de messageries instantanées ou via les enceintes connectées facilitent les échanges pour une plus grande interactivité.
Chacun est invité à formuler sa demande en langage naturel (voix ou texte), celle-ci est alors affinée par un dialogue convivial grâce à l’intelligence artificielle.
Le chatbot apprend chaque jour sur les sujets du droit des technologies afin de vous informer sur vos nouvelles obligations.
Site d’Accountability
et workflow
2
Site d’Accountability et workflow
En vertu du principe d’accountability (ou principe de responsabilité), le responsable du traitement est tenu de garantir, et d’être en mesure de démontrer, que le traitement des données à caractère personnel est effectué dans le respect des dispositions du RGPD.
Le terme « accountability » correspond donc à deux concepts :
- • la responsabilité des responsables du traitement ;
- • la preuve de la conformité.
Les outils développés en mode Saas par le cabinet permettent l’implémentation des exigences d’accountability et la mise en œuvre de ce principe en regroupant, sur un seul site, l’ensemble des documents prouvant la politique de conformité Informatique et libertés et la réalisation de la conformité aux exigences du RGPD de ces mesures organisationnelles et techniques, et permettant de gérer l’ensemble des process relatifs à l’accountability.
Registre des activités de traitement
3
Registre des activités de traitement
Afin de pouvoir mesurer l’impact du RGPD sur la protection des données collectées et traitées et surtout documenter la conformité de chaque traitement, les responsables de traitement peuvent établir le registre exigé par l’article 30 du Règlement à l’aide de notre outil Registre responsable du traitement.
Dans le cadre des nouvelles obligations découlant du RGPD, vous devez documenter les traitements de données à caractère personnel que vous mettez en œuvre (principe de responsabilité ou d’ « accountability »).
Cette obligation de documentation se concrétise notamment par la tenue d’un registre des traitements.
Ce registre doit comporter les informations suivantes :
- • le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
- • les finalités du traitement ;
- • le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l’existence de garanties appropriées ;
- • une description des catégories de données traitées, ainsi que les catégories de personnes concernées par le traitement ;
- • dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ;
- • dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.
Notre outil en mode SaaS permet par recenser de façon précise les traitements de données personnelles mis en oeuvre.
Les sous-traitants peuvent également créer le registre exigé par l’article 30 du règlement européen à l’aide de l’outil Registre sous-traitant.
Lettres et registre
4
Violation de données
Lettres et registre
Avec le RGPD, tous les organismes sont soumis à une obligation de notification des violations de données personnelles à la CNIL. Une très grande réactivité est nécessaire en la matière. En outre, la gestion des violations de données à caractère personnel doit être documentée. Pour ce faire, le cabinet propose sur sa plateforme un Registre Violations de données personnelles en mode SaaS.
La caractérisation d’une violation de données à caractère personnel entraîne plusieurs obligations à la charge du responsable du traitement et du sous-traitant, concernant :
- • la notification des violations au responsable du traitement puis à l’autorité de contrôle ;
- • la communication des violations aux personnes concernées.
Le RGPD précise les informations qui devront obligatoirement figurer sur la notification effectuée auprès de l’autorité de contrôle, dans les 72 heures au plus tard de la constatation de la violation de données personnelles.
La notification devra notamment comporter :
- • la description de la nature de la violation de données personnelles ;
- • les mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données personnelles ;
- • la description des conséquences de la violation des données personnelles ;
- • les mesures à prendre ou prises pour remédier à la violation de données personnelles.
Une très grande réactivité est nécessaire en cas de violation de données à caractère personnel, qu’il s’agisse de résoudre l’incident ou de notifier et communiquer sur la violation.
La gestion des violations de données à caractère personnel doit être documentée. Pour ce faire, un Registre Violations de données personnelles doit être constitué.
Ces outils sont mis à la disposition de nos clients dans le cadre des prestations.
Publications en droit de la protection des données personnelles
Le cabinet a publié de nombreux ouvrages consacrés au droit de la protection des données personnelles Les ouvrages les plus récents sont les suivants :
- « Le Data Protection Officer » (2018, 2e éd.) ;
- « Règlement européen sur la protection des données » (2018, 2e éd.) ;
- « La Protection des données personnelles de A à Z » (2017) ;
- les « Failles de sécurité et violation de données personnelles » (2016) aux Éditions Larcier ;
- « General data protection regulation : Texts, commentaries and practical guidelines » (2017) aux Editions Wolters Kluwer.
Equipe avocat droit de la protection des données personnelles
L’équipe dédiée au droit de la protection des données personnelles du cabinet est, notamment, composée de professionnels ayant une expérience opérationnelle de la matière en raison des missions qu’ils ont réalisées pour le compte d’entreprises ou d’organismes publics.
Cette expérience leur permet d’apprécier les situations sous tous les angles qu’elles adressent, qu’ils soient technique, économique, opérationnel, commercial, juridique, tout en connaissant et anticipant les évolutions légales et réglementaires propre à la matière.
De plus, l’équipe d’avocats dédiées à la protection des données personnelles est à même d’intervenir de manière virtuelle, grâce aux moyens techniques du cabinet permettant la réalisation de vidéoconférences, de réunions virtuelles, d’espaces de partage de documents, d’assistance juridique en ligne, d’organisation de webinars.
Par ailleurs, le cabinet est doté d’outils informatiques puissants permettant la génération de contrats ou la réalisation de télédiagnostics dans le cadre de revue de conformité.
Chaîne YouTub avocat droit de la protection des données personnelles
Toutes nos vidéos sont diffusées sur notre chaîne Lexing Alain Bensoussan-Avocats. Abonnez-vous gratuitement.
