Les outils du DPO pour piloter la mise en conformité

Les outils du DPO

Quels sont les outils du DPO pour piloter avec efficacité la mise en conformité des traitements au RGPD ? Chloé Torres, directrice du département Informatique et libertés anime un petit-déjeuner débat, le 25 mars 2020 sur ce thème.

Garant de la conformité des traitements au sein de l’entreprise, le délégué à la protection a besoin d’outils pour piloter au quotidien cette mise en conformité.

Quels sont ces outils, comment les mettre en oeuvre et surtout comment les mutualiser au sein d’un groupe ?

  • le tableau de bord mensuel et les indicateurs : liste des actions, traitements soumis à analyse d’impact, mise à jour des mentions d’information du site, actualisation du parcours client, intégration des référentiels Cnil, etc. ;
  •  les procédures et méthodologies relatives à un contrôle Cnil, la protection dès la conception, la gestion des droits des personnes, la gestion des données sensibles, la mise à jour des registres, la cartographie des traitements, etc. ;
  • le plan de route à 3 ans : chantiers prioritaires, trajectoire, anticipation de tendances sectorielles, futur label européen, etc. ;
  • les outils techniques : registres, chatbot, site d’accountability, etc. ;
  • le plan de formation des personnels ;
  • le plan d’audit des traitements, etc.

Tels sont les outils du DPO qui seront présentés par Chloé Torres, par ailleurs DPO du cabinet et secrétaire générale de l’Association des Data Protection Officers (ADPO)

Le petit-déjeuner débat aura lieu le 25 mars 2020 de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, situés Immeuble Cap Etoile, 58 Gouvion-Saint-Cyr, 75017 Paris.

   
Inscriptions closes

Cet évènement a rencontré un succès important dès son annonce, ce dont nous vous remercions.
Le nombre maximal de participants a été atteint très rapidement et il ne nous est malheureusement plus possible de prendre des inscriptions fermes.

   




Lexing Alain Bensoussan Avocats présent à Laval Virtual

Laval VirtualMarie Soulez intervient le 22 mars lors d’un colloque « Agrinumérique et droit » dans le cadre de la 21ème édition de Laval Virtual.

Du 20 au 24 mars 2019 se tient Laval Virtual, 21e salon international des nouvelles technologies et programme de conférences sur la VR/AR et les Techniques Immersives, dont le cabinet Lexing Alain Bensoussan Avocats est partenaire.

Dans le cadre de celui-ci, se tient le 22 mars un colloque sur le thème « Agrinumérique et Droit le numérique au service de l’entreprise agricole », organisé par la Faculté de droit – Antenne de Laval, sous la direction scientifique de Sylvie Lebreton-Derrien et Hélène Juillet-Regis, Maîtres de conférences (Le Mans Université), avec le soutien de la Cour d’appel d’Angers, du Barreau de Laval, du Lycée agricole de Laval et de la FDSEA (53).

Ce colloque a pour objectif de réfléchir à la transition numérique en agriculture, notamment en termes d’exploitation et de protection des données numériques agricoles.

En effet, les robots, les drones, les logiciels d’intelligence artificielle et autres objets connectés décuplent le nombre des données produites au sein des exploitations agricoles, tant les données professionnelles que les données foncières.

Les possibilités de développement de nouveaux services innovants pour les acteurs du monde agricole sont infinies et la collecte des données, non encadrée juridiquement, inquiète et questionne.

  • Comment tirer profit de la donnée au bénéfice des exploitations agricoles, de la production agricole et de l’écologie et, partant, de la souveraineté alimentaire ?
  • Comment anticiper et gérer les risques d’exploitation des données ?
  • Comment valoriser et sécuriser les données agricoles fournies par les entreprises agricoles ?
  • Comment laisser à l’agriculteur sa liberté de décision ?

Il s’agit de penser le futur de l’entreprise agricole, de l’agriculture et, partant, de la souveraineté alimentaire de la France, afin de donner à chacun, étudiants et professionnels, les clés de compréhension des bouleversements à venir, pour en être des acteurs éclairés.

Marie Soulez, Avocate, directrice du département Propriété intellectuelle contentieux du cabinet Lexing Alain Bensoussan Avocats, évoquera à cette occasion la gestion et la protection des données agricoles.

Programme

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique




Documation 2019 : RGPD, êtes-vous sûr d’être en conformité ?

Documation 2019Céline Avignon participe le 21 mars dans le cadre du salon Documation 2019 à une table ronde sur la conformité au RGPD. 

Le Règlement général sur la protection des données personnelles (RGPD) est entré en vigueur depuis près d’un an. Mais êtes-vous totalement conforme ?

  • Avez-vous mis en place une gouvernance de la donnée ?
  • Avez-vous nommé votre délégué à la protection des données (DPO) ?
  • Désigné des référents opérationnels ?
  • Avez-vous mis en place les bonnes procédures ?
  • Avec les méthodes voulues et les outils adéquats ?
  • Est-il possible de recourir aux services d’un DPO externe ?

Autant de questions qui seront abordées dans le cadre de la table ronde organisée dans le cadre du salon Documation 2019, à laquelle participe Céline Avignon, avocate, directrice du département Publicité et Marketing électronique de Alain Bensoussan Avocats Lexing.

Des DPO (Malakoff Médéric Humanis, MB2i) témoigneront également.

Informations pratiques

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique




Juristendances Informatique et libertés n° 81 – 2018

Informatique et libertésA retenir dans la Lettre Juristendances Informatique et libertés bimestrielle, la 2ème édition du Minilex Data Protection Officer aux éditions Larcier.

Parmi les actualités à retenir dans la Lettre Juristendances Informatique et libertés figurent également :

Articles Juristendances Informatique et libertés

Interviews et vie du cabinet

Outils et nouveautés

Formations

Enfin, à retenir dans la Lettre Juristendance Informatique et libertés nos petits-déjeuners à venir (Programmes et inscriptions).

Pour recevoir notre lettre électronique : inscription en ligne.

Lettre Juristendances Informatique et libertés n°81, Mai-Juin 2018




Journée Tendances ADPO spécial RGPD : demandez le programme !

ADPO spécial RGPDJournée Tendances ADPO spécial RGPD. L’ADPO dévoile le programme de son colloque du 5 juin 2018 sur le thème « Entrée en application du RGPD : mode d’emploi ».

Au lendemain du 25 mai 2018, date de l’entrée en application du Règlement général sur la protection des données personnelles (RGPD), l’Association des Data Protection Officers (ADPO) consacrera sa 2ème grande réunion annuelle « Tendances ADPO » au décryptage des enjeux liés à l’entrée en application effective du RGPD, sur le thème : « RGPD : mode d’emploi (démarche, méthodes et outils) ».

Cette 2ème Journée « Tendances ADPO » se déroulera

le Mardi 5 juin 2018 de 9H à 16H,

à l’Espace Saint-Martin – 199 bis rue Saint-Martin – 75003 Paris.

Elle sera suivie à 16H15 par l’Assemblée Générale de l’ADPO avec ses membres.

ADPO spécial RGPD : Programme

MatinéeL’entrée en application du RGPD et nouvelle loi sur la protection des données personnelles : un changement de paradigme.

  • 9H-9h30 : Ouverture, par Alain Bensoussan (« Le 25 mai 2018, tout commence »)
  • 9H30-10h10 : Première table ronde : « Le RGPD, c’est maintenant ! » avec la participation de Eric Bothorel (Député LREM des Côtes d’Armor), Hélène Legras (DPO Orano et Vice-Présidente de l’ADPO)
  • 10h10–11h : « La Cybersécurité » avec la participation du Groupe économique du Ministère de l’intérieur
  • 11h-11h30 : « Le RGPD : un périmètre d’application très large (aspects comparatifs) ; la localisation des données en Europe & les flux transfrontières » avec la participation de Anthony Coquer, Lexing Alain Bensoussan Avocats, Romain Robert, AbbVie.
  • 11H30-11h45 : Pause
  • 11h45-12H15 : « Quelles attentes pour les entreprises ? » Les effets positifs du RGPD en ce qu’il renforce les obligations de sécurité, donnant aux clients, collaborateurs et partenaires l’assurance d’un niveau de protection accru pour le traitement de leurs données personnelles. Avec la participation de Xavier Beaussac, Chief Operations Officer, Cylresc, Alessandro Fiorentino, Cabinet Infhotep, Vice Président de la Privacy Tech « ambassadeur du privacy by design »
  • 12h15-12h45 : « Le DPO, acteur clé de la conformité » : avec la participation de DPO, dont Hélène Legras, DPO Orano
  • 12h45-14h00 : Cocktail déjeunatoire

Après-midi – Le RGPD : retour sur les nouvelles obligations qui s’imposent aux entreprises (analyses d’impact, protection de la sécurité des données dès la conception du traitement de données concerné, obligation de documenter la conformité du traitement avec le RGPD…).

  • 14h00-14h40 : « L’accountability : la conformité dans le temps à compter du 25 mai 2018 – l’obligation de documenter cette conformité » : Chloé Torrès, Lexing Alain Bensoussan Avocats – modérateur, avec la participation de Muriel Grateau (CIL/DPO Groupama, Vice-Présidente Commission Gouvernance et Conformité ADPO), la GED par Pierre Fuzeau (Archimag) ;
  • 14h40-15h20 : « Les analyses d’impact » (Groupe G45 : Anne Renard – modérateur, Lexing Alain Bensoussan Avocats, Emmanuelle Nahum – Avocate associée, Quantic Avocats , Florence Houdot – Expert-comptable – Commissaire aux comptes – CRISC – SYC Consultants) ;
  • 15h20-16h : « Le RGPD et les PME » :Aurélie Banck – modérateur, Lexing Alain Bensoussan Avocats, Nathalie Chiche (Dataexpert), Sébastien Montusclat (BPI).

Fin après-midi – 16h15-17h15 : Assemblée Générale de l’ADPO avec ses membres.

Inscription en ligne : ici.

Renseignements :

Eric Bonnet
Directeur de la communication juridique
06 74 40 72 01




Association des DPO : l’entrée en application du RGPD, mode d’emploi

Association des DPOL’ Association des DPO consacrera le 5 juin 2018 sa grande réunion annuelle aux enjeux liés à l’entrée en application du RGPD.

Au lendemain du 25 mai 2018, date de l’entrée en application du Règlement Général sur la Protection des Données personnelles (RGPD), l’Association des Data Protection Officers (ADPO) consacrera sa seconde grande réunion annuelle « Tendance ADPO » au décryptage des enjeux liés à l’entrée en application effective du RGPD et à la loi relative à la protection des données personnelles.

Association des DPOAssociation des DPO et RGPD

Cette seconde Journée « Tendance ADPO » se déroulera le Mardi 5 juin 2018 de 9H à 17H30 à l’Espace Saint-Martin, 199 bis Rue Saint-Martin, 75003 Paris.

 

Avec la participation de (premiers noms) :

  • Alain Bensoussan, Avocat à la Cour, Lexing Alain Bensoussan Avocats, Président Fondateur de l’ Association des DPO ;
  • Hélène Legras, CIL / DPO, Groupe Orano, Vice Présidente de l’ADPO ;
  • Eric Bothorel, Député LREM des Côtes d’Armor ;
  • Anthony Coquer, Directeur du département Sécurité et Organisation, Lexing Alain Bensoussan Avocats ;
  • Virgil Da Silva Marques, Chargé de mission, Ministère de l’Intérieur ;
  • Franck Feuillet, Analyste, Ministère de l’Intérieur ;
  • Alessandro Fiorentino, Cabinet Infotep ;
  • Xavier Beaussac, Chief Operations Officer, Cylresc ;
  • Romain Robert, Contrôleur à la Protection des Données Européen.

Au programme :

  • Le RGPD et la loi sur la protection des données personnelles : un changement de paradigme ;
  • Le RGPD : un périmètre d’application très large (aspects comparatifs) ;
  • Le RGPD : retour sur les nouvelles obligations qui s’imposent aux entreprises (analyses d’impact, protection de la sécurité des données dès la conception du traitement de données concerné, obligation de documenter la conformité du traitement avec le RGPD, etc.) ;
  • Les sanctions encourues ;
  • La localisation des données en Europe ;
  • Les flux transfrontières ;
  • Le DPO, nouvel homme clé de la conformité ;
  • Les effets positifs du RGPD : renforcement de la confiance des clients, partenaires et collaborateurs, et de sa position concurrentielle ;
  • Quelles actions prioriser au lendemain du 25 mai 2018 ?

Inscription en ligne : lien

Renseignements :

Eric Bonnet
Directeur de la communication juridique
06 74 40 72 01
eric-bonnet@lexing.law




Les avocats et le RGPD : publication d’un guide pratique

Les avocats et le RGPDUn guide pratique « Les avocats et le RGPD » vient d’être publié par le CNB, le Barreau de Paris et la Conférence des Bâtonniers. Ce guide a pour objet d’aider les avocats à se mettre en conformité.

Le Règlement général sur la protection des données (RGPD) entrera en application dans l’ensemble des Etats membres de l’Union européenne le 25 mai prochain.

Les avocats et le RGPD

Les cabinets avocats sont concernés par cette réforme : ceux-ci sont évidemment amenés à mettre en œuvre un nombre important de traitements qui peuvent s’avérer d’une particulière sensibilité du point de vue du droit des données personnelles.

Pour les accompagner dans leur mise en conformité et leur permettre de conseiller utilement leurs clients, le Conseil national des barreaux (CNB), le Barreau de Paris et la Conférence des Bâtonniers publient un guide pratique auquel a largement contribué le cabinet Lexing Alain Bensoussan Avocats, intitulé « Les avocats et le RGPD ». 

L’occasion pour les trois institutions d’informer de manière concrète les avocats sur les bonnes pratiques à mettre en œuvre tant en qualité de responsable de traitement que de conseil auprès de leurs clients.

Après un bref rappel du cadre général de la protection des données à caractère personnel, ce guide aborde, sous forme de fiches pratiques, des thèmes aussi variés que les fichiers relatifs aux clients et aux prospects, les bonnes pratiques des sécurités des données ou encore les précautions à prendre avec les fournisseurs et les prestataires.

C’est plus particulièrement Anne Renard, avocate au Barreau de Paris, directrice de l’activité Conformité et Certification au sein du cabinet Lexing Alain Bensoussan Avocats, qui a participé en qualité d’expert à la rédaction de ce guide.

  • Au sommaire du guide « Les avocats et le RGPD » :
    • Cadre général de la protection des données à caractère personnel
    • Fiche n°1. Le traitement « RH »
    • Fiche n°2. Gestion des clients
    • Fiche n°3. Vidéosurveillance et vidéoprotection
    • Fiche n°4. Fournisseurs et prestataires
    • Fiche n°5. La gestion des accès au cabinet
    • Fiche n°6. La lutte contre le blanchiment et le financement du terrorisme
    • Fiche n°7. Sites internet
    • Fiche n°8. Bonnes pratiques de sécurité des données
    • Fiche n°9. Procédure en cas de violation de données
    • Fiche n°10. Le registre des activités de traitement
    • Fiche n°11. Le délégué à la protection des données de contrôle et sanctions
    • Fiche n°12. Autorité de contrôle et sanctions
    • Fiche n°13. Droit d’accès aux données
    • Méthodologie de mise en conformité

Eric Bonnet
Directeur du Département Communication juridique




Comment désigner un délégué à la protection des données ?

Comment désigner un délégué à la protection des données ?Le cabinet organise une 2ème session le 28 mars 2018 du petit-déjeuner intitulé : « Comment désigner un délégué à la protection des données ? » animé par Chloé Torres.

Le délégué à la protection des données

Le délégué à la protection des données (DPO) est au cœur du nouveau cadre juridique instauré par le Règlement général sur la protection des données (RGDP). Il est reconnu comme un acteur clé du nouveau système de gouvernance des données en Europe.

A compter du 25 mai 2018, sa désignation par les responsables de traitement et sous-traitants va devenir obligatoire dans de nombreux cas.

Dans les cas facultatifs, sa nomination peut faciliter la conformité et devenir un avantage concurrentiel pour les entreprises.

  • Quels sont les organismes soumis à la désignation d’un DPO ?
  • Comment le désigner ?
  • Quel est son profil, sa formation, ses missions, ses ressources ?
  • Est-il possible de nommer un DPO externe ? si oui, sur la base de quel contrat ?
  • Quels sont les outils de conformité à mettre en place ?
  • Quelles sont ses obligations en matière de sécurité ?
  • Quelles sont ses responsabilités ? Sur quelles bases peut-il être sanctionné ?

Me Chloé Torres, avocate directrice du département Informatique et libertés répondra à vos questions au côté de Anthony Coquer, administrateur de l’Association des Data Protection Officers (ADPO) et  Hélène Legras, DPO de ORANO (anciennement New AREVA Holding), vice-présidente de l’ADPO, tout trois coauteurs de l’ouvrage « Le data protection officer : une nouvelle fonction dans l’entreprise », Ed. Larcier, juillet 2017.

Le petit-déjeuner se déroulera de 9h30 à 11h00 (accueil à partir de 9h00) dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

Conférence gratuite. Pour y assister, l’inscription est obligatoire en renseignement les champs obligatoires (*) du formulaire ci-dessous :




Comment désigner un délégué à la protection des données ?

Comment désigner un délégué à la protection des données ?Le cabinet a organisé le 17 janvier 2018 un petit-déjeuner intitulé : « Comment désigner un délégué à la protection des  données ? », animé par Maître Chloé Torres.

Le délégué à la protection des données

Le délégué à la protection des données (DPO) est au cœur du nouveau cadre juridique instauré par le Règlement général sur la protection des données (RGDP). Il est reconnu comme un acteur clé du nouveau système de gouvernance des données en Europe.

A compter du 25 mai 2018, sa désignation par les responsables de traitement et sous-traitants va devenir obligatoire dans de nombreux cas.

Dans les cas facultatifs, sa nomination peut faciliter la conformité et devenir un avantage concurrentiel pour les entreprises.

  • Quels sont les organismes soumis à la désignation d’un DPO ?
  • Comment le désigner ?
  • Quel est son profil, sa formation, ses missions, ses ressources ?
  • Est-il possible de nommer un DPO externe ? si oui, sur la base de quel contrat ?
  • Quels sont les outils de conformité à mettre en place ?
  • Quelles sont ses obligations en matière de sécurité ?
  • Quelles sont ses responsabilités ? Sur quelles bases peut-il être sanctionné ?

Me Chloé Torres, avocate directrice du département Informatique et libertés a répondu à vos questions au côté de Hélène Legras, DPO de New AREVA Holding, vice-présidente de l’Association des Data Protection Officers (ADPO) et coauteur de l’ouvrage « Le data protection officer : une nouvelle fonction dans l’entreprise », Ed. Larcier, juillet 2017.

Le petit-déjeuner s’est déroulé de 9h30 à 11h00 (accueil à partir de 9h00) dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes. Une 2ème session est organisée le 28 mars 2018.




Parution du Minilex Le Data Protection Officer (DPO)

Minilex Le Data Protection Officer (DPO)Virginie Bensoussan-Brulé et Chloé Torres publient chez Larcier un ouvrage intitulé « Le Data Protection Officer : une fonction nouvelle dans l’entreprise ».

« Le Data Protection Officer : Une fonction nouvelle dans l’entreprise » : c’est le cinquième titre qui vient de paraître aux Editions Larcier dans la collection des Minilex Lexing-Technologies avancées & Droit.

Co-écrit par Virginie Bensoussan-Brulé, Anthony Coquer, Dominique Entraygues, Muriel Grateau, Bertrand Lapraye, Hélène Legras, Laurence Legris, Amal Marc, Véronique Tirel et Ch. Torres, il fournit des informations sur les meilleures pratiques à mettre en œuvre à destination des DPO de toute entreprise.

Le DPO est un nouveau métier de très haut niveau. Au-delà des nombreuses missions qui lui sont assignées (informer et conseiller le responsable de traitement, sensibiliser et former le personnel, contrôler le respect de la législation au sein de l’entreprise, coopérer avec l’autorité de contrôle, etc.), il doit surtout construire un nouveau modèle de gouvernance des données au sein de l’entreprise.

Le large spectre couvert par ses missions explique l’exigence du degré de compétences requis, qui sont autant juridiques, techniques, organisationnelles que stratégiques.

Il est en effet désigné sur la base de ses qualités professionnelles « et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions ».

Il doit par ailleurs pouvoir dialoguer avec les directions opérationnelles des aspects techniques relatifs notamment aux nouvelles exigences de la protection des données dès la conception et par défaut. Il doit en effet pouvoir analyser de façon assez précise les aspects techniques avant de les qualifier juridiquement. Pour cette raison, il doit être rattaché à la direction exécutive de l’organisme.

Il est doté de compétences élargies par rapport au Correspondant Informatique et libertés (Cil) auquel, à termes, il se substituera. C’est un acteur incontournable du traitement des données à caractère personnel sur lequel les entreprises pourront s’appuyer.

Sa désignation sera une étape essentielle de la mise en conformité au Règlement européen. Dans un monde hyper connecté, la protection des données à caractère personnel n’a jamais été autant au cœur des préoccupations des entreprises. Pour ces dernières, la désignation d’un DPO est un des meilleurs moyens d’assurer une protection optimale des données.

Cet ouvrage réalisé par des avocats et des Cil de grands groupes membres de l’Association des Data Protection Officers (ADPO) dont j’ai plaisir à signer la préface, s’inscrit pleinement dans cet objectif.

Comprendre le rôle et les missions du DPO, c’est en effet appréhender la nouvelle réglementation européenne de la protection des données et renforcer ainsi, la sécurité juridique des entreprises.

Fruit de réflexions, d’échanges et de concertation sur les meilleures pratiques à mettre en œuvre, quant aux missions qui leur sont dévolues, cet ouvrage permettra d’accompagner les DPO dans leurs nouvelles fonctions.

Le Data Protection Officer : Une fonction nouvelle dans l’entreprise
Editions Larcier, 1ère édition, août 2017
147 p.

 




Le DPO, au cœur du Règlement Général « Data Protection »

Le DPO, au cœur du Règlement Général « Data Protection »Le cabinet a organisé le 13 juin 2017 avec ITLC un petit-déjeuner consacré au RGPD et au Data Protection Officer (DPO). En partenariat avec Information Technology & Law Club (ITLC), ce petit-déjeuner débat a été l’occasion de présenter le personnage phare de cette réforme, le data Protection Officer (DPO).

DPO : J-365

Le Règlement européen sur la protection des données à caractère personnel (RGPD) du 27 avril 2016, dont les dispositions seront directement applicables dans tous les Etats membres dès le 25 mai 2018, va profondément modifier les règles applicables à l’environnement digital des entreprises.

Le compte à rebours s’accélère : celles-ci ont en effet jusqu’au 25 mai 2018 pour repenser la gouvernance actuellement mise en place en matière de protection des données personnelles et déployer de nouvelles actions pour être en conformité dans les délais imposés.

Le danger : se voir exposées à des risques d’atteinte à leur réputation et de violation du secret des affaires, en cas d’atteinte à leurs données personnelles mais également à celles de leurs partenaires et clients, sans parler des risques de condamnations civiles et même pénales, si notamment elles se trouvent associées via leur réseau informatique à toute sorte d’actions illégales.

Anticiper l’application du RGPD

Une chose est certaine : les entreprises doivent plus que jamais tout mettre en œuvre pour éviter le détournement de données à caractère personnel et se mettre à l’heure des nouvelles règles applicables, au premier rang desquelles la désignation obligatoire d’un Data Protection Officer (DPO) chargé notamment de veiller à ce que l’ensemble des obligations de conformité aient bien été mises en place à tous les niveaux de l’entreprise.

Pour répondre à vos questions, Alain Bensoussan est intervenu avec Jean-Philippe Rabu, qui est venu présenter à cette occasion la formation « ProDPO » proposée par ITLC en partenariat avec le cabinet Alain Bensoussan Avocats Lexing, permettant d’acquérir les connaissances et le savoir-faire indispensables à l’exercice du métier de DPO.

Le petit-déjeuner débat a eut lieu de 9h15 à 11h00 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.




Juristendances « Informatique et libertés » n° 74 – 2017

Juristendances Informatique et libertés n° 74-2017A signaler ce mois-ci la parution de notre ouvrage General data protection regulation aux Editions Wolters Kluwer 2017.

Parmi les actualités à retenir dans la Lettre Juristendances Informatique et libertés figurent également :

ARTICLES JURISTENDANCES :

INTERVIEWS ET VIE DU CABINET

FORMATIONS :

Pour recevoir tous les mois notre lettre électronique : inscription en ligne.

Lettre Juristendances Informatique et Libertés n°74, Mars-avril 2017.
.



Juristendances « Informatique et libertés » n° 73 – 2017

Juristendances Informatique et libertés n° 73-2016Parmi les actualités à retenir dans la Lettre Juristendances Informatique et libertés figurent notamment :

ARTICLES JURISTENDANCES :

FORMATIONS :

Pour recevoir tous les mois notre lettre électronique : inscription en ligne.

A signaler également :

Lettre Juristendances Informatique et Libertés n°73, Janvier-Février 2017.



Protection des données en Europe : le rôle du Data Protection Officer

Protection des données en Europe : le rôle du Data Protection OfficerInterviewé par Rémi Jacquet pour IT-expert Magazine, Alain Bensoussan nous présente le rôle et les fonctions du « Data Protection Officer ».

Qu’est-ce qu’un Data Protection Officer ?

Le nouveau règlement européen 2016/679 sur la protection des données introduit l’obligation de désigner un « Data Protection Officer » (DPO) ou délégué à la protection des données en charge du contrôle de la conformité des traitements.

Pour Alain Bensoussan, ce nouveau dispositif peut coexister avec l’actuel dispositif des correspondants Informatique et libertés (Cil) pour les organismes qui ne relèveraient pas directement du règlement.

Rappelons qu’aux termes de l’article 37 du Règlement 2016/679, sa désignation est obligatoire pour les organismes du secteur public et pour ceux du secteur privé, uniquement lorsque les « activités de base » de l’organisme (ou du sous-traitant) sont liées au traitement des données consistant en des opérations exigeant « un suivi régulier et systématique à grande échelle des personnes » ou consistant en des traitements « à grande échelle » de données sensibles ou à risque (1).

A qui est-il rattaché ?

Pour Alain Bensoussan, le Data Protection Officer est un nouveau métier de très haut niveau. Ces compétences sont autant juridiques, techniques, organisationnelles que stratégiques.

Il est en effet désigné sur la base de ses qualités professionnelles « et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions » (Art. 37, § 5).

Il doit par ailleurs pouvoir dialoguer avec les directions opérationnelles des aspects techniques relatifs notamment au « Privacy by Design » (protection dès la conception). Pour cette raison, Alain Bensoussan préconise de le rattacher à la direction exécutive de l’organisme. Il existe des cursus de formation (2) (…)

Alain Bensoussan pour IT-expert magazine, « Le Data Protection Officer », le 20-9-2016.

(1) Voir « Le délégué à la protection des données, un Cil renforcé » , Post du 13-6-2016.
(2) Voir également l’Association des Data Protection Officers (ADPO) fondée par Alain Bensoussan Avocats pour aider les DPO dans leurs fonctions.




Le délégué à la protection des données, un Cil renforcé

Le délégué à la protection des données, un Cil renforcéLe règlement européen (1) a créé le délégué à la protection des données,  acteur essentiel des données personnelles.

Le Data protection Officer (DPO), traduit dans la version française du règlement en « délégué à la protection des données », se substitue au Correspondant Informatique et libertés (Cil) et se voit doter de compétences élargies.

Tout d’abord, la désignation d’un délégué à la protection des données est impérative, pour le responsable et le sous-traitant dans les situations suivantes (2) :

  • le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
  • leurs activités de base consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou
  • leurs activités de base consistent en un traitement à grande échelle de données sensibles ou de données relatives aux condamnations pénales et aux infractions.

Force est de constater que certains des critères de désignation visés ci-dessus demeurent flous et requièrent d’être précisés par les autorités de contrôle, et ce avant le 25 mai 2018, date d’application du règlement.

Le rôle qui est confié au délégué à la protection des données prend de l’ampleur notamment dans l’étendue des missions qui lui sont attribuées (3). Ainsi, il sera chargé de :

  • informer et conseiller le responsable de traitement ou le sous-traitant sur les obligations qui lui incombent en matière de protection des données ;
  • contrôler le respect de la législation applicable en matière de protection des données et des règles internes du responsable de traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
  • dispenser des conseils sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ;
  • coopérer avec l’autorité de contrôle ;
  • faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable, et mener des consultations, le cas échéant, sur tout autre sujet.

Le large spectre couvert par ses missions explique, alors, l’exigence du degré de compétences requis, puisque le délégué à la protection des données doit être doté de « connaissances spécialisées du droit et des pratiques en matière de protection des données  (4) », et doit disposer de « la capacité à accomplir les missions » qui lui sont attribuées.

Cela n’empêche pas, toutefois, au responsable de traitement ou au sous-traitant de recourir, soit à un membre du personnel, soit de faire appel à un prestataire externe pour l’exercice de cette mission.

Le renforcement des compétences du délégué à la protection des données se traduit également par le fait qu’il constitue désormais une interface de contact auprès de l’autorité de contrôle mais également auprès du responsable de traitement notamment à la suite d’une analyse d’impact pour laquelle il existe un risque de violation de données personnelles (5).

Enfin, l’ensemble des missions confiées au délégué à la protection des données doit pouvoir être exercée en toute indépendance, ainsi, le responsable de traitement et le sous-traitant devront veiller à ce qu’il « ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions » (6).

Le délégué à la protection des données apparaît comme un des acteurs incontournables du traitement des données à caractère personnel, sous réserve que les autorités de contrôle interprètent de façon extensive les critères de désignation retenus par le règlement.

Lexing Alain Bensoussan Selas
Lexing Informatique et libertés

(1) Règlement 2016/679 du 27-4-2016.
(2) Règlement 2016/679 du 27-4-2016, art. 37.
(3) Règlement 2016/679 du 27-4-2016, art. 39.
(4) Règlement 2016/679 du 27-4-2016, art. 37.5.
(5) Règlement 2016/679 du 27-4-2016, art. 36.3.
(6) Règlement 2016/679 du 27-4-2016, art. 38.




Avocat RGPD, outils électroniques pour Cil et DPO

Lexing Tech« Notre objectif est de proposer à nos clients une gamme de produits et de services toujours plus étendue et adaptée à leurs attentes. », Alain Bensoussan.

A la veille de l’adoption du Règlement général sur la protection des données qui renforcera leur responsabilité, les entreprises privées comme les organismes publics doivent se préparer à assurer leur conformité aux nouvelles exigences requises.

Fort de son expertise de plus de 35 ans dans le domaine du droit de la protection des données à caractère personnel, notre cabinet a développé Avocat RGPD, une gamme d’outils simples et efficaces permettant de répondre aux besoins des Correspondants Informatique et libertés et des Data Protection Officers.

Avocat RGPD Registre Cil

« Avocat RGPD Registre Cil », répondant aux exigences de l’article 28 du projet de Règlement européen, sert à gérer la liste des traitements tenue par le Cil/DPO ainsi qu’à l’aider dans le pilotage de son projet de mise en conformité à la réglementation Informatique et libertés, et comprend notamment :

  • La gestion des modèles de fiches de traitement ;
  • La gestion du workflow de validation, de modification ou de suppression des fiches par les différents intervenants ;
  • L’horodatage automatique des fiches et verrouillage en base de données ;
  • La totalisation des fiches de traitement par entité ;
  • La gestion des demandes d’accès.

Un Cil témoigne

Hélène Legras, Cil d’Aréva, vice-présidente de l’ADPO, membre du groupe d’utilisateurs de l’outil:
« Cet outil permet une gestion simple, ergonomique et ludique des traitements de données à caractère personnel avec l’intégration en amont de modèles pré-remplis afin d’alléger la charge de gestion du registre CIL ».

Avocat RGPD Registre failles de sécurité

« Avocat RGPD Registre failles de sécurité » permet, conformément aux exigences de l’article 31 du projet de Règlement, à l’entreprise de conserver une trace documentaire des violations de données à caractère personnel en décrivant notamment la nature de la violation ainsi que les mesures prises et/ou à prendre pour atténuer les conséquences négatives.

Venez les tester !

Simples d’utilisation et personnalisables, ces outils faciliteront vos opérations de mise et de maintien en conformité de vos traitements dans le respect de la législation.

Vous pouvez contacter Chloé Torres (06.13.28.96.76 ou chloe-torres@lexing.law) pour toute information complémentaire.




Création de l’Association des Data Protection Officers (ADPO)

Création de l’Association des Data Protection Officers (ADPO)Lexing Alain Bensoussan Avocats crée l’Association des Data Protection Officers (ADPO) pour aider les DPO dans leur fonction.

Le Parlement Européen devrait définitivement adopter en avril 2016 le Règlement général sur la protection des données (RGPD) qui va mettre en place un nouveau cadre à la fonction de DPO. Lexing Alain Bensoussan Avocats, fort de son expertise reconnue en Informatique et libertés, anticipe cette conséquence majeure du règlement européen et crée l’Association des Data Protection Officers (ADPO) pour accompagner les DPO dans leur fonction.

Alain Bensoussan, Président et fondateur de l’ADPO, soulignait dès janvier 2014 : Le Cil est « responsable éthiquement, mais pas responsable pénalement de ses manquements aux obligations de conformité ». Le DPO « veillera à ce que l’ensemble des obligations de conformité aient bien été mises en place à tous les niveaux de l’entreprise, c’est un véritable nouveau service » (1).

Aujourd’hui, nous y sommes ! Le DPO nouveau arrive, avec de nouvelles responsabilités, et notre association a pour objectif de l’accompagner dans tous les méandres de ce nouveau métier.

Madame Hélène Legras, Cil du groupe Areva et vice-présidente de l’ADPO, l’affirme: « La privacy est un domaine incontournable à l’heure où les nouvelles technologies se développent, où sécurité et confidentialité sont au cœur de la conformité et surtout au moment où le CIL va devenir DPO un acteur incontournable pour protéger la vie privée ».

L’ADPO offrira à ces nouveaux acteurs un lieu de réflexions, d’échanges, de concertation, de sensibilisation, et d’information sur les meilleures pratiques à mettre en œuvre à destination des DPO, entreprises, pouvoirs publics, universités, etc., en France comme à l’international.

L’adhésion est ouverte aux personnes physiques comme aux personnes morales. Un bulletin d’inscription est en ligne.

Venez nous rejoindre et participer aux nombreuses actions proposées par l’association, conférences, débats, veilles juridiques, groupes de travail et commissions !

Pour adhérer, ainsi que pour toute question concernant l’association, vous pouvez d’ores et déjà contacter Chloé Torres, Secrétaire général de l’Association, 06 13 28 96 76 ou chloe-torres@lexing.law

(1) Voir notre post du 20 01 2014 Interview d’Alain Bensoussan pour IT-Expert Magazine




Label Cnil Gouvernance IetL délivré à Alain Bensoussan Selas

Label Cnil Gouvernance IetL délivré à Alain Bensoussan SelasLe Label Cnil Gouvernance Informatique et Libertés a été délivré par la Commission au Cabinet Alain Bensoussan Selas.

Après avoir obtenu le label CNIL « Lexing formation Informatique et Libertés » pour son catalogue de formations Informatique et Libertés et le label CNIL « Lexing audit Informatique et Libertés » pour sa procédure d’audit, le cabinet vient d’obtenir par délibération de la Commission du 17 décembre 2015 le Label « Gouvernance Informatique et Libertés ». 

La Cnil a labellisé l’ensemble des mesures, règles et bonnes pratiques du Cabinet dans la gestion des données à caractère personnel qu’il traite. Le Cabinet a satisfait aux 25 exigences de ce nouveau référentiel, lesquelles sont organisées en trois thématiques qui concernent :

  • l’organisation interne liée à la protection des données ;
  • la méthode de vérification de la conformité des traitements à la loi Informatique et Libertés ;
  • la gestion des réclamations et incidents.

Ainsi que l’explique la Cnil, le référentiel de ce label qui s’adresse aux organismes disposant d’un Correspondant Informatique et Libertés (CIL), a été préparé en concertation avec les associations de CIL et fait du CIL la pierre angulaire du dispositif qui orchestre et veille au respect des procédures et de la loi Informatique et Libertés.

Acteur essentiel d’une bonne gouvernance, le CIL peut aussi utiliser ce référentiel comme mode d’emploi ou guide des procédures à suivre et se fixer comme objectif l’obtention du label pour son organisme.

Délibération Cnil n° 2015-446 du 17 décembre 2015.




Lettre Juristendances Informatique et libertés 66-2015

Lettre Juristendances Informatique et libertés 66-2015L’édito de la Lettre juristendances porte sur les 10 ans d’existence du Correspondant Informatique et libertés (CIL).

A cette occasion, la Cnil a rassemblé en octobre dernier les Correspondants Informatique et libertés pour célébrer les 10 années d’existence de la fonction.

Depuis la parution du décret d’application de la loi Informatique et libertés en 2005, la fonction de Correspondant Informatique et libertés (Cil) est en plein essor et il est devenu un acteur incontournable de la protection des données à caractère personnel.

L’objectif de cet anniversaire était de permettre aux CIL d’échanger sur leurs expériences, pratiques, actions et procédures en matière de conformité à la réglementation Informatique et libertés. Le rassemblement avait également pour objet d’anticiper l’adoption prochaine du règlement européen et les changements envisagés des missions et moyens du CIL.

En effet, le projet de règlement européen, encore en discussion à ce jour, positionne les CIL au centre du dispositif de régulation et prévoit notamment :

  • d’alléger les formalités préalables à accomplir par les responsables de traitements ;
  • de renforcer les droits des personnes concernées ;
  • d’augmenter le montant des sanctions ;
  • de mettre en place des outils et des procédures afin de mieux prendre en compte les principes de protection des données.

La Cnil a déjà anticipé ces évolutions des missions et moyens du CIL en créant un service dédié. Le service CIL de la Cnil accompagne ainsi les CIL dans l’exercice de leurs missions et les guides dans l’application des dispositions de la réglementation Informatique et libertés grâce à des outils dédiés, une permanence téléphonique et des ateliers d’information.

Ce service est mis à la disposition des CIL désignés par plus de 16300 organismes, dont 53% dans le secteur privé et 47 % dans le secteur public.

Un FAQ est dédié à la désignation du correspondant informatique et libertés (pourquoi et comment le désigner, quelles sont ses missions).

La page sectorielle est conscrée aux missions de contrôle sur place qui ont conduit la Cnil à une sanction financière de 50 000 € à l’égard d’une société commerciale pour manquement à la sécurité et la confidentialité des données de ses clients (Délib. Cnil 2015-379).

Lettre juristendances Informatique et libertés n°66 Novembre-Décembre 2015




Un nouveau label Cnil « gouvernance Informatique et libertés »

Un nouveau label Cnil « gouvernance Informatique et libertés »La Cnil a adopté son quatrième référentiel lui permettant de délivrer des labels concernant les procédures de gouvernance Informatique et Libertés (1).

Ce nouveau label fait suite aux labels « formation », « procédure d’audit » et « coffre-fort numérique » pour lesquels la Cnil a délivré au total 37 labels aux organismes candidats.

La gouvernance « Informatique et Libertés », désigne l’ensemble des mesures, des règles et des bonnes pratiques qui permettent l’application des lois et règlements pour la gestion de ces données, et de préciser les responsabilités qui interviennent dans cette gestion.

Le label est un outil de responsabilisation et un véritable indicateur de confiance pour leurs clients ou usagers.

Ce nouveau référentiel définit les critères d’évaluation et les moyens permettant à la Cnil de déterminer si les procédures de gouvernance présentées sont conformes aux exigences fixées.

Ce nouveau référentiel prévoit 25 exigences cumulatives afin de bénéficier du label « Gouvernance Informatique et libertés ».

Ces exigences sont réparties selon les trois thématiques suivantes :

  • l’organisation interne liée à la protection des données, comprenant des exigences relatives à l’adoption d’une politique de protection des données et au statut, à la formation, aux ressources et aux activités du correspondant Informatique et libertés (Cil) ;
  • la méthode de vérification de la conformité des traitements à la loi Informatique et libertés avec des exigences sur l’analyse et le contrôle de la conformité ;
  • la gestion des réclamations et incidents, intégrant des exigences sur la gestion des réclamations et droits des personnes, sur la journalisation des événements de sécurité et sur la gestion des violations de données.

Il convient de préciser que ce référentiel s’adresse uniquement aux organismes disposant d’un correspondant Informatique et libertés (Cil).

Il permet de préparer les organismes aux règles du futur règlement européen en intégrant notamment le principe d’accountability.

Avant de déposer un dossier de candidature, il convient de réaliser un audit de conformité du dispositif aux exigences du référentiel.

Céline Avignon,
Raouf Saada,
Lexing Droit Marketing électronique

(1) Délib. n°2014-500 du 11-12-2014.




Gouvernance des données : parution du livre blanc

Gouvernance des données : parution du livre blancGouvernance des données. Le livre blanc « Gouvernance des données personnelles et analyse d’impact », résultant de la réflexion d’un groupe de travail composé de Cil, juristes d’entreprises, avocats, commissaires aux comptes, ingénieurs et RSSI, co-présidé par Serge Yablonsky du cabinet SYC consultants et Alain Bensoussan, est paru.

Présenté lors d’une conférence organisée par l’Académie des sciences et techniques comptables et financières en octobre dernier, ce livre a  pour objet est de définir les grands axes de la méthodologie applicable à l’analyse d’impact relative à la protection des données à caractère personnel (2).

Il est structuré en cinq parties :

  • Approche générale ;
  • Périmètre de l’analyse d’impact ;
  • Conduite de l’analyse d’impact ;
  • Description d’une méthodologie de l’analyse d’impact ;
  • Etude de cas.

Cet ouvrage comporte également des annexes, un glossaire et une bibliographie indicative.

Réalisé par une équipe pluridisciplinaire comprenant des délégués aux données personnelles ou CIL des plus grands groupes, des RSSI, des ingénieurs spécialisés, des juristes d’entreprises, des avocats et des commissaires aux comptes, ce livre blanc se veut un guide pratique pour :

  • comprendre le cadre juridique de l’analyse de risques et de l’analyse d’impact
  • comprendre quand une analyse d’impact est obligatoire
  • comprendre comment conduire une analyse d’impact
  • démontrer par l’exemple le déroulement d’une analyse d’impact

Au-delà du règlement européen, l’analyse de risques et l’analyse d’impact relatives à la protection des données personnelles sont des bonnes pratiques que les entreprises ont intérêt à appliquer pour montrer à leurs écosystèmes le respect qu’elles ont des personnes.

(1) « Livre blanc Gouvernance des données personnelles et analyse d’impact » Disponible en libre accès sur le site de l’Académie.
(2) Post du 15-10-2014.




Livre blanc gouvernance des données et analyse d’impact

Livre blanc gouvernance des données et analyse d’impactGouvernance des données – Alain Bensoussan participera à la conférence organisée par l’Académie des sciences et techniques comptables et financières pour présenter le livre blanc «Gouvernance des données personnelles et analyse d’impact» .

La gouvernance des données fait aujourd’hui partie intégrante de la stratégie d’entreprise et se traduit notamment par la mise en place d’une organisation spécifique et le développement d’outils dédiés.

Cette démarche est appelée à se généraliser dans la mesure où elle correspond à l’esprit du futur règlement européen sur la protection des données à caractère personnel, qui introduit un principe de responsabilité des organismes (« accountability »).

Parmi les obligations mises à la charge des organismes, ceux-ci devront notamment réaliser une analyse de l’impact de certains traitements envisagés sur la protection des données à caractère personnelle.
Or, la mise en place d’analyses d’impact au sein des organismes soulève d’importantes questions telles que :

  • quels traitements devront obligatoirement être soumis à analyse d’impact ?
  • quelle méthodologie adopter pour la réalisation d’une analyse d’impact ?
  • quels acteurs doivent être impliqués dans une analyse d’impact ?
  • à quel moment déclencher une analyse d’impact ?

Un groupe de travail composé de Cil, juristes d’entreprises, avocats, commissaires aux comptes, ingénieurs et RSSI, co-présidé par Serge Yablonsky du cabinet SYC consultants et Alain Bensoussan, s’est réuni régulièrement depuis 2 ans, afin d’échanger sur ces problématiques et de tenter de définir les grands axes de la méthodologie applicable à l’analyse d’impact.

Ces échanges ont abouti à l’élaboration d’un livre blanc, qui rassemble et organise les réflexions des membres du groupe de travail.

Ce livre blanc sera présenté lors d’une conférence prévue le mercredi 15 octobre 2014, de 17h30 à 19h30 à l’auditorium AG2R La Mondiale à Paris.

La conférence fournira également l’opportunité de prolonger le débat relatif à l’analyse d’impact à travers les interventions de :

  • M. Francis Jutand, Directeur Scientifique de l’Institut Mines Télécom, Membre du CNN ;
  • M. Christian Pardieu, Executive Counsel, Privacy & Regulatory Affairs GE Corporate;
  • Me Alain Bensoussan, Avocat à la Cour d’appel de Paris.

« Gouvernance des données personnelles et analyse d’impact » – Inscription gratuite sous réserve des places disponibles. L’enregistrement en ligne est obligatoire pour y assister. Pour vous inscrire




Dossier spécial sur la fonction de CIL dans l’entreprise

La fonction de CIL dans l'entreprise Chloé Torres et Hélène Legras (CIL Groupe AREVA) font le point sur la fonction de CIL dans l’entreprise dans un dossier spécial publié aux Cahiers de droit de l’entreprise (LexisNexis).

Pour être en conformité avec la réglementation Informatique et libertés, deux voies s’ouvrent aux entreprises : soit continuer à déclarer leurs traitements de données à caractère personnel auprès de la Cnil, soit s’en dispenser depuis 2004, pour les déclarations dites normales, en désignant un correspondant Informatique et libertés (communément appelé « CIL »).

La désignation d’un CIL est facultative en France. Les entreprises quelle que soit leur forme sociale, peuvent continuer à réaliser les formalités préalables auprès de la Cnil pour les traitements automatisés de données à caractère personnel qu’elles mettent en oeuvre. Les entreprises sont donc amenées à se poser la question de l’intérêt de désigner un CIL, puis des modalités de déploiement de sa mission.

Au sein des multinationales, les CIL rencontrent des problématiques particulières, notamment du fait des transferts de données à caractère personnel vers des filiales établies hors de l’Union européenne. La mission d’un CIL groupe est particulière dans la mesure où il est l’interlocuteur unique de plusieurs filiales auxquelles il n’est pas rattaché.

Les contrôles de la Cnil, instaurés dès 1978, ont été renforcés et encadrés lors de la réforme de 2004. Il est probable que la tendance s’intensifie. Ces possibilités d’actions font désormais partie de l’activité normale de la Cnil qui a réalisé 458 opérations de contrôle sur place en 2012. Les contrôles sont, par ailleurs, une priorité pour la Commission comme en témoigne le programme ambitieux des contrôles adopté par la Commission, le 19 mars 2013.

La proposition de règlement général sur la protection des données intervient afin de créer un cadre juridique harmonisé pour l’ensemble des pays de l’Union européenne. Parmi les points clés de la proposition figure l’obligation, sous certaines conditions tenant à la taille de l’entreprise ou aux traitements mis en oeuvre, de désigner un « délégué à la protection des données », CIL génération 2.

Chloé Torres et Hélène Legras, « Les aspects pratiques de la fonction de CIL dans l’entreprise » (Dossier spécial) Cahiers de droit de l’entreprise n° 6, LexisNexis, Novembre 2013.




Cil : devenir avocat correspondant à la protection des données

Cil : devenir avocat correspondant à la protection des donnéesCil avocat – Alain Bensoussan revient, pour la revue Dalloz Avocats, sur l’intérêt que présente pour les entreprises la désignation d’un avocat en tant que correspondant à la protection des données.

Cette désignation est une prérogative accordée aux entreprises par la loi du 2004-801 6 août 2004, un décret du 20 octobre 2005 en ayant précisé les modalités d’application.

Ainsi, toute personne physique ou morale tiers à une société, tel que notamment un avocat, est éligible à la fonction de Cil sous réserve que l’entreprise ayant en charge la mise en oeuvre des traitements ou ayant directement accès à ces traitements comprenne moins de cinquante salariés. La proposition de règlement européen, qui devrait entrer en vigueur en 2015, exclut toutefois toute considération du nombre de salariés. Le responsable du traitement ou le sous-traitant pourra donc, lorsque le règlement sera adopté, librement choisir de désigner un délégué à la protection des données interne ou externe à l’entreprise, notamment un avocat.

Certaines dispositions particulières ont été insérées dans le Règlement intérieur du Barreau de Paris (RIBP) concernant les avocats parisiens exerçant les fonctions de Cil. Préalablement à l’exercice de cette fonction, l’avocat est ainsi tenu d’informer le bâtonnier, un registre des avocats parisiens correspondants à la protection des données personnelles étant tenu par l’Ordre.

Le recours à un avocat Cil peut revêtir un intérêt particulier au regard notamment de la complexité de certaines formalités préalables, dont les demandes d’autorisation.

Par ailleurs, la proposition de règlement européen sur la protection des données prévoit d’instituer un délégué à la protection des données en lieu et place du correspondant à la protection des données, dont la désignation sera impérative pour l’entreprise. Ce délégué, pourvu de connaissances spécialisées de la législation et de la pratique en matière de protection des données, sera doté d’un réel rôle de contrôle et de vérification s’agissant de la bonne application du règlement. Il devra également exercer la fonction de point de contact pour l’autorité de contrôle. De nouvelles missions relevant de la compétence des avocats…

Alain Bensoussan, Dalloz Avocats, « La possibilité de devenir avocat correspondant Cil : pourquoi et comment ? », n°8-9, août-septembre 2013 (reproduction avec l’aimable autorisation de Dalloz Avocats)