Parution du Minilex DPO édition 2020

DPOLa 3ème édition du Minilex DPO 2020 qui vient de paraître aux Editions Larcier fait le point sur le rôle du délégué à la protection qu’a instauré le RGPD. Il est à jour des deux référentiels de certification des compétences élaborés par la Cnil en 2019.

Les compétences requises pour exercer cette fonction sont autant juridiques que techniques, organisationnelles et stratégiques. Le délégué à la protection doit, en effet, pouvoir dialoguer non seulement avec la direction générale mais également avec les directions opérationnelles notamment des aspects techniques liés aux exigences de protection des données « dès la conception » et de sécurité « par défaut ».

Dans le DPO édition 2020 vous trouverez :

  • Comment choisir son délégué ?
  • Quels sont ses missions, pouvoirs et responsabilités ?
  • Sur quelles bases peut-il être sanctionné ?
  • Quels sont les outils nécessaires au délégué pour exercer ses missions ?
  • Quelles sont les obligations du délégué en matière de sous-traitance ?
  • Une sanction pécuniaire administrative est-elle assurable ?
  • Comment assurer le droit d’accès aux données par les personnes concernées ?

Le délégué apparaît comme un des acteurs incontournables du traitement des données personnelles de l’entreprise. Et même dans les cas où sa désignation est facultative, celle-ci facilitera la conformité au RGPD et à la loi informatique et libertés modifiée en juin 2019.

Par des experts de l’Association des Data Protection Officers

Réalisé par des avocats et des DPO de grands groupes tous membres de l’Association des Data Protection Officers (ADPO), cet ouvrage est le fruit de leur expérience.

La troisième édition de cet ouvrage recueille le témoignage de nouveaux experts dans le domaine des services aux entreprises et administrations, de la banque, de la finance et de l’assurance, qui permettront d’accompagner au mieux les délégués dans leurs nouvelles fonctions.

Le DPO 2020 aux éditions Bruylant

Le Minilex « Le Data Protection Officer : une nouvelle fonction dans l’entreprise » est paru chez Bruylant, Editions Larcier, dans la collection Lexing-Technologies avancées & Droit.

Cet livre fait partie de la collection des Minilex qui rassemble des ouvrages traitant l’essentiel des questions juridiques d’une technologie.

Les auteursVirginie Bensoussan-Brulé, Nadine Chaussier, Hind Chenaoui, Dominique Entraygues, Frédéric Forster, Fabien GandrilleBertrand Lapraye, Hélène Legras, Laurence Legris, Amal Marc, Chloé Torres.




Les outils du DPO pour piloter la mise en conformité

Les outils du DPO

Quels sont les outils du DPO pour piloter avec efficacité la mise en conformité des traitements au RGPD ? Chloé Torres, directrice du département Informatique et libertés anime un petit-déjeuner débat, le 25 mars 2020 sur ce thème.

Garant de la conformité des traitements au sein de l’entreprise, le délégué à la protection a besoin d’outils pour piloter au quotidien cette mise en conformité.

Quels sont ces outils, comment les mettre en oeuvre et surtout comment les mutualiser au sein d’un groupe ?

  • le tableau de bord mensuel et les indicateurs : liste des actions, traitements soumis à analyse d’impact, mise à jour des mentions d’information du site, actualisation du parcours client, intégration des référentiels Cnil, etc. ;
  •  les procédures et méthodologies relatives à un contrôle Cnil, la protection dès la conception, la gestion des droits des personnes, la gestion des données sensibles, la mise à jour des registres, la cartographie des traitements, etc. ;
  • le plan de route à 3 ans : chantiers prioritaires, trajectoire, anticipation de tendances sectorielles, futur label européen, etc. ;
  • les outils techniques : registres, chatbot, site d’accountability, etc. ;
  • le plan de formation des personnels ;
  • le plan d’audit des traitements, etc.

Tels sont les outils du DPO qui seront présentés par Chloé Torres, par ailleurs DPO du cabinet et secrétaire générale de l’Association des Data Protection Officers (ADPO)

Le petit-déjeuner débat aura lieu le 25 mars 2020 de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, situés Immeuble Cap Etoile, 58 Gouvion-Saint-Cyr, 75017 Paris.

Information : le Petit-déjeuner débat sur les outils du DPO pour piloter la mise en conformité est reporté.

   
Inscriptions closes

Cet évènement a rencontré un succès important dès son annonce, ce dont nous vous remercions.
Le nombre maximal de participants a été atteint très rapidement et il ne nous est malheureusement plus possible de prendre des inscriptions fermes.

   




Juristendances Informatique et libertés n° 81 – 2018

Informatique et libertésA retenir dans la Lettre Juristendances Informatique et libertés bimestrielle, la 2ème édition du Minilex Data Protection Officer aux éditions Larcier.

Parmi les actualités à retenir dans la Lettre Juristendances Informatique et libertés figurent également :

Articles Juristendances Informatique et libertés

Interviews et vie du cabinet

Outils et nouveautés

Formations

Enfin, à retenir dans la Lettre Juristendance Informatique et libertés nos petits-déjeuners à venir (Programmes et inscriptions).

Pour recevoir notre lettre électronique : inscription en ligne.

Lettre Juristendances Informatique et libertés n°81, Mai-Juin 2018




DPO édition 2018 : le Minilex Data Protection Officer

DPO édition 2018Dans le DPO édition 2018, le règlement européen 2016/679 du 27 avril 2016 sur la protection des données qui entrera en application le 25 mai 2018, introduit l’obligation pour un bon nombre d’entreprises de désigner un Délégué à la protection des données (DPD ou DPO pour « Data Protection Officer » ), véritable pilote de la conformité RGPD.

Les organismes assujettis à cette obligation, et particulièrement les grands groupes et les organismes publics, ont d’ores et déjà intégré à leur politique de compliance les obligations découlant du règlement européen et, pour la plupart, désigné un DPO.

La fonction de DPO est un nouveau métier pour lequel les compétences requises sont autant juridiques que techniques, organisationnelles et stratégiques. Le DPO doit, en effet, pouvoir dialoguer non seulement avec la direction générale mais également avec les directions opérationnelles notamment des aspects techniques liés aux exigences de protection des données « dès la conception » et de sécurité « par défaut ».

Dans le DPO édition 2018 vous trouverez :

  • Comment choisir son DPO ?
  • Quels sont ses missions, pouvoirs et responsabilités ?
  • Sur quelles bases peut-il être sanctionné ?
  • Quels sont les outils nécessaires au DPO pour exercer ses missions ?
  • Quelles sont les obligations du DPO en matière de sous-traitance ?
  • Une sanction pécuniaire administrative est-elle assurable ?

Le DPO apparaît comme un des acteurs incontournables du traitement des données personnelles de l’entreprise. Et même dans les cas où sa désignation est facultative, celle-ci facilitera la conformité au RGPD.

Par des experts de l’Association des Data Protection Officers

Réalisé par des avocats et des DPO de grands groupes tous membres de l’Association des Data Protection Officers (ADPO), cet ouvrage est le fruit de leur expérience.

La seconde édition de cet ouvrage DPO 2018 recueille le témoignage de nouveaux experts dans le domaine de la sous-traitance, de la banque, de la finance et de l’assurance, qui permettront d’accompagner au mieux les DPO dans leurs nouvelles fonctions.

Le DPO 2018 aux éditions Bruylant

Le Minilex « Le Data Protection Officer : une nouvelle fonction dans l’entreprise » est édité dans la collection Lexing-Technologies avancées & Droit.

Cet livre fait partie de la collection des Minilex qui rassemble des ouvrages traitant l’essentiel des questions juridiques d’une technologie.

Les auteurs :Aurélie Banck, Virginie Bensoussan-Brulé, Anthony Coquer, Dominique Entraygues, Muriel Grateau, Bertrand Lapraye, Hélène Legras, Laurence Legris, Amal Marc, Véronique Tirel, Chloé Torres.




Journée Tendances ADPO spécial RGPD : demandez le programme !

ADPO spécial RGPDJournée Tendances ADPO spécial RGPD. L’ADPO dévoile le programme de son colloque du 5 juin 2018 sur le thème « Entrée en application du RGPD : mode d’emploi ».

Au lendemain du 25 mai 2018, date de l’entrée en application du Règlement général sur la protection des données personnelles (RGPD), l’Association des Data Protection Officers (ADPO) consacrera sa 2ème grande réunion annuelle « Tendances ADPO » au décryptage des enjeux liés à l’entrée en application effective du RGPD, sur le thème : « RGPD : mode d’emploi (démarche, méthodes et outils) ».

Cette 2ème Journée « Tendances ADPO » se déroulera

le Mardi 5 juin 2018 de 9H à 16H,

à l’Espace Saint-Martin – 199 bis rue Saint-Martin – 75003 Paris.

Elle sera suivie à 16H15 par l’Assemblée Générale de l’ADPO avec ses membres.

ADPO spécial RGPD : Programme

MatinéeL’entrée en application du RGPD et nouvelle loi sur la protection des données personnelles : un changement de paradigme.

  • 9H-9h30 : Ouverture, par Alain Bensoussan (« Le 25 mai 2018, tout commence »)
  • 9H30-10h10 : Première table ronde : « Le RGPD, c’est maintenant ! » avec la participation de Eric Bothorel (Député LREM des Côtes d’Armor), Hélène Legras (DPO Orano et Vice-Présidente de l’ADPO)
  • 10h10–11h : « La Cybersécurité » avec la participation du Groupe économique du Ministère de l’intérieur
  • 11h-11h30 : « Le RGPD : un périmètre d’application très large (aspects comparatifs) ; la localisation des données en Europe & les flux transfrontières » avec la participation de Anthony Coquer, Lexing Alain Bensoussan Avocats, Romain Robert, AbbVie.
  • 11H30-11h45 : Pause
  • 11h45-12H15 : « Quelles attentes pour les entreprises ? » Les effets positifs du RGPD en ce qu’il renforce les obligations de sécurité, donnant aux clients, collaborateurs et partenaires l’assurance d’un niveau de protection accru pour le traitement de leurs données personnelles. Avec la participation de Xavier Beaussac, Chief Operations Officer, Cylresc, Alessandro Fiorentino, Cabinet Infhotep, Vice Président de la Privacy Tech « ambassadeur du privacy by design »
  • 12h15-12h45 : « Le DPO, acteur clé de la conformité » : avec la participation de DPO, dont Hélène Legras, DPO Orano
  • 12h45-14h00 : Cocktail déjeunatoire

Après-midi – Le RGPD : retour sur les nouvelles obligations qui s’imposent aux entreprises (analyses d’impact, protection de la sécurité des données dès la conception du traitement de données concerné, obligation de documenter la conformité du traitement avec le RGPD…).

  • 14h00-14h40 : « L’accountability : la conformité dans le temps à compter du 25 mai 2018 – l’obligation de documenter cette conformité » : Chloé Torrès, Lexing Alain Bensoussan Avocats – modérateur, avec la participation de Muriel Grateau (CIL/DPO Groupama, Vice-Présidente Commission Gouvernance et Conformité ADPO), la GED par Pierre Fuzeau (Archimag) ;
  • 14h40-15h20 : « Les analyses d’impact » (Groupe G45 : Anne Renard – modérateur, Lexing Alain Bensoussan Avocats, Emmanuelle Nahum – Avocate associée, Quantic Avocats , Florence Houdot – Expert-comptable – Commissaire aux comptes – CRISC – SYC Consultants) ;
  • 15h20-16h : « Le RGPD et les PME » :Aurélie Banck – modérateur, Lexing Alain Bensoussan Avocats, Nathalie Chiche (Dataexpert), Sébastien Montusclat (BPI).

Fin après-midi – 16h15-17h15 : Assemblée Générale de l’ADPO avec ses membres.

Inscription en ligne : ici.

Renseignements :

Eric Bonnet
Directeur de la communication juridique
06 74 40 72 01




Juristendance Informatique et Télécoms n°190-2018

Informatique et TélécomA signaler dans la Lettre Juristendance Informatique et Télécoms du mois de mai, la grande réunion annuelle « Tendance ADPO » du 5 juin consacrée à l’entrée en application du RGPD.

Egalement a signaler dans la Lettre Juristendance Informatique et Télécoms :

Articles Juristendance

Interviews et vie du cabinet

Outils et nouveautés

Formations

Enfin, à signaler, dans la Lettre Juristendance Informatique, nos petits-déjeuners à venir (Programmes et inscriptions).

Pour recevoir notre lettre électroniqueinscription en ligne.

Lettre Juristendance Informatique et télécoms n°190, Mai 2018.




RGPD : mode d’emploi (démarche, méthodes et outils)

RGPD : mode d’emploiL’Association des Data Protection Officers organise le 5 juin 2018 un colloque dédié à l’entrée en application du RGPD.

Au lendemain du 25 mai 2018, date de l’entrée en application du Règlement Général sur la Protection des Données personnelles (RGPD), l’Association des Data Protection Officers (ADPO) consacrera sa 2ème grande réunion annuelle « Tendances ADPO » au décryptage des enjeux liés à l’entrée en application effective du RGPD.

RGPD : mode d’emploi (démarche, méthodes et outils)

L’occasion également de faire le point sur la loi relative à la protection des données personnelles actuellement en cours d’examen devant le Parlement.

Cette 2ème Journée « Tendances ADPO » se déroulera le :

Mardi 5 juin 2018 de 9H à 16H
à l’Espace Saint-Martin – 199 bis Rue Saint-Martin – 75003 Paris

Elle sera suivie à 16H15 par l’Assemblée Générale de l’ADPO avec ses membres.

Avec la participation de :

  • Alain Bensoussan, Avocat à la Cour, Lexing Alain Bensoussan Avocats, Président Fondateur de l’ADPO ;
  • Hélène Legras, CIL/DPO groupe Areva, Vice-présidente de l’ADPO ;
  • Aurélie Banck, Directeur du département Conformité RGPD Banque et Assurance, Lexing Alain Bensoussan Avocats ;
  • Xavier Beaussac, Chief Operations Officer, Cylresc ;
  • Eric Bothorel, Député LREM des Côtes d’Armor ;
  • Nathalie Chiche, Présidente de la société Dataexpert ;
  • Anthony Coquer, Directeur du département Sécurité et Organisation, Lexing Alain Bensoussan Avocats ;
  • Pierre Fuzeau, groupe Serda-Archimag ;
  • Alessandro Fiorentino, cabinet Infhotep ;
  • Groupe économique du ministère de l’Intérieur ;
  • Florence Houdot, Expert-comptable, Commissaire aux comptes, CRISC-SYC Consultants ;
  • Sébastien Montusclat, BPI ;
  • Emmanuelle Nahum, Avocate associée, Quantic Avocats ;
  • Anne Renard, Directeur de l’activité Conformité et Certification, Lexing Alain Bensoussan Avocats ;
  • Romain Robert, Contrôleur à la protection des données européen ;
  • Chloé Torrès, Directeur du département Informatique et libertés, Lexing Alain Bensoussan Avocats.

Au programme du RGPD : mode d’emploi

  • L’entrée en application du RGPD et de la loi sur la protection des données personnelles : un changement de paradigme ;
  • Le RGPD : un périmètre d’application très large (aspects comparatifs) ;
  • Le RGPD : retour sur les nouvelles obligations qui s’imposent aux entreprises (analyses d’impact, protection de la sécurité des données dès la conception du traitement de données concerné, obligation de documenter la conformité du traitement avec le RGPD) ;
  • Les sanctions encourues ;
  • La localisation des données en Europe ;
  • Les flux transfrontières ;
  • Le DPO, acteur clé de la conformité ;
  • Les effets positifs du RGPD : renforcement de la confiance des clients, partenaires et collaborateurs, et de sa position concurrentielle ;
  • Quelles actions prioriser au lendemain du 25 mai 2018 ?

Inscription en ligne : ici.

Renseignements :

Eric Bonnet
Directeur de la communication juridique
06 74 40 72 01




Association des DPO : l’entrée en application du RGPD, mode d’emploi

Association des DPOL’ Association des DPO consacrera le 5 juin 2018 sa grande réunion annuelle aux enjeux liés à l’entrée en application du RGPD.

Au lendemain du 25 mai 2018, date de l’entrée en application du Règlement Général sur la Protection des Données personnelles (RGPD), l’Association des Data Protection Officers (ADPO) consacrera sa seconde grande réunion annuelle « Tendance ADPO » au décryptage des enjeux liés à l’entrée en application effective du RGPD et à la loi relative à la protection des données personnelles.

Association des DPOAssociation des DPO et RGPD

Cette seconde Journée « Tendance ADPO » se déroulera le Mardi 5 juin 2018 de 9H à 17H30 à l’Espace Saint-Martin, 199 bis Rue Saint-Martin, 75003 Paris.

 

Avec la participation de (premiers noms) :

  • Alain Bensoussan, Avocat à la Cour, Lexing Alain Bensoussan Avocats, Président Fondateur de l’ Association des DPO ;
  • Hélène Legras, CIL / DPO, Groupe Orano, Vice Présidente de l’ADPO ;
  • Eric Bothorel, Député LREM des Côtes d’Armor ;
  • Anthony Coquer, Directeur du département Sécurité et Organisation, Lexing Alain Bensoussan Avocats ;
  • Virgil Da Silva Marques, Chargé de mission, Ministère de l’Intérieur ;
  • Franck Feuillet, Analyste, Ministère de l’Intérieur ;
  • Alessandro Fiorentino, Cabinet Infotep ;
  • Xavier Beaussac, Chief Operations Officer, Cylresc ;
  • Romain Robert, Contrôleur à la Protection des Données Européen.

Au programme :

  • Le RGPD et la loi sur la protection des données personnelles : un changement de paradigme ;
  • Le RGPD : un périmètre d’application très large (aspects comparatifs) ;
  • Le RGPD : retour sur les nouvelles obligations qui s’imposent aux entreprises (analyses d’impact, protection de la sécurité des données dès la conception du traitement de données concerné, obligation de documenter la conformité du traitement avec le RGPD, etc.) ;
  • Les sanctions encourues ;
  • La localisation des données en Europe ;
  • Les flux transfrontières ;
  • Le DPO, nouvel homme clé de la conformité ;
  • Les effets positifs du RGPD : renforcement de la confiance des clients, partenaires et collaborateurs, et de sa position concurrentielle ;
  • Quelles actions prioriser au lendemain du 25 mai 2018 ?

Inscription en ligne : lien

Renseignements :

Eric Bonnet
Directeur de la communication juridique
06 74 40 72 01
eric-bonnet@lexing.law




Le nouveau formulaire de désignation du DPO par la Cnil

formulaire de désignation du DPOLa Cnil a publié un formulaire de désignation du DPO ou Data protection officer pour Délégué à la protection des données, à remplir en ligne afin de faciliter la mise en conformité avec le Règlement général sur la protection des données (RGPD) (1) des entreprises.

En effet, les entreprises doivent répondre à certaines conditions afin de nommer un DPO conformément aux exigences du RGPD.

A ce titre, le DPO doit détenir les compétences requises, disposer des moyens suffisants pour exercer sa mission et avoir la capacité d’agir en toute indépendance. La Cnil donne une description détaillée de ces conditions.

Le formulaire de désignation du DPO

Une entreprise dont le candidat répond à ces prérequis, peut commencer à effectuer la désignation de son DPO à l’aide du formulaire proposé sur le site de la Cnil.

Cette désignation comporte quatre étapes à l’occasion desquelles il convient de :

  • identifier l’organisme désignant le DPO ;
  • identifier le DPO ;
  • communiquer les coordonnées publiques.

La dernière étape est constituée du récapitulatif de la demande et de son envoi à la Cnil.

Céline Avignon
Débora Cohen
Lexing Marketing et publicité électronique

(1) Règlement (UE) 2016/679 du 27-4-2016, art 37.




Les enjeux du RGPD pour les avocats : le cabinet sur tous les fronts

RGPD pour les avocatsAnne Renard est en charge du RGPD pour les avocats à travers l’offre DPO de la profession au sein du cabinet Lexing Alain  Bensoussan Avocats.

Le Règlement général sur la protection des données (« RGPD » ou « GDPR » en anglais), adopté le 27 avril 2016, sera directement applicable dans l’ensemble des Etats membres le 25 mai 2018.

Le RGPD pour les avocats

Les avocats sont concernés par le RGPD, étant amenés à mettre en œuvre un nombre important de traitements qui peuvent s’avérer d’une particulière sensibilité d’un point de vue Informatique et libertés.

Ceci nécessite un encadrement particulier de ces traitements notamment en termes de sécurité, de confidentialité et de protection du secret professionnel.

Directrice de l’activité Conformité et Certification au sein du cabinet Lexing Alain Bensoussan Avocats, en charge de l’offre DPO de la profession d’avocat, Anne Renard participera début mars à deux formations :

  • le 5 mars 2018 à l’EFB (17h-20h) : « Le RGPD applicable au 25 mai 2018 : quels enjeux pour les cabinets d’avocats et leurs clients » (niveau 1: découverte) ;
  • le 7 mars 2018 à la Maison du Barreau (9h-12h) : « Le RGPD applicable au 25 mai 2018: quels enjeux pour les cabinets d’avocats et leurs clients » (niveau 2: approfondissement) ;
  • le 13 mars 2018 à la Maison du Barreau (18h30 à 20h30) : « Data Protection Officer : le CIL 2.0 ? ».

Le RGPD pour les avocats dans la presse

Anne Renard a par ailleurs été interviewée par la Lettre des Juristes d’Affaires et Droit & Patrimoine sur les enjeux du RGPD pour les avocats et leur structure.

Les avocats sont-ils prêts ?

Dans un article signé pour la LJA du 9 février 2018 par Anne Portmann intitulé « Les avocats sont-ils prêts », Anne Renard déclare que « Certains avocats sont sensibilisés au sujet, mais d‘autres estiment que le secret professionnel suffit et les dispense de se conformer au RGPD ». Et d’ajouter: « En réalité, c’est parce qu’ils sont soumis au secret professionnel que cela les astreint d’autant plus à une protection renforcée des données personnelles ».

Elle estime en outre que le RGPD s’inscrit « dans la continuité de la loi de 1978 et de la directive de 1995 et renforce les obligations imposées en matière de protection des personnelles qui existaient déjà depuis de nombreuses années. »

« Ce qui doit être compris, avertit Anne Renard, c’est que dès lors qu’ils traitent de la donnée client, les avocats sont concernés par le RGPD. Ils le sont tout autant pour leur gestion RH ».

Et d’évoquer notamment l’information des personnes concernées et la nécessité d’une mention dans les contrats et notamment dans les conventions d’honoraires, la sous-traitance, la gestion de l’accès aux locaux et au système informatique, l’archivage des dossiers et la durée de conservation des données.

En conclusion, « la sensibilisation des avocats au nécessaire respect du RGPD progresse même si la prise de conscience n’est pas encore suffisante. Je pense qu’on avance, malgré tout, en particulier grâce aux ordres et aux écoles d’avocats qui se saisissent peu à peu de cette question ».

Les professions du droit et du chiffre sont-elles prêtes ?

Dans un article de Caroline Dupuy publié par Droit et Patrimoine (n°277, février 2018), Anne Renard revient sur la désignation du cabinet Lexing Alain Bensoussan Avocats comme DPO mutualisé de la profession d’avocat.

Elle indique avoir déjà reçu de nombreux appels: « Pour le moment, nous sommes essentiellement contactés par des petites structures qui s’interrogent sur l’applicabilité du RGPD à leur cabinet. Leurs questions concernent aussi leur obligation de désigner un DPO et quel en est l’intérêt lorsqu’ils n’y sont pas obligés ». Et d’ajouter que le cabinet joue également un rôle de sensibilisation: « L’objectif est de les accompagner dans leur démarche de mise en conformité et de les alerter sur les risques financiers et en termes d’image ».

DPO mutualisé de la profession d’avocat

A noter que le cabinet, qui a conçu une gamme d’outils pour aider les entreprises à se mettre en conformité avec le Règlement général sur la protection des données, est depuis fin 2017, sous l’égide du Conseil National des Barreaux, Délégué à la Protection des Données (DPD) de la profession d’avocat.

Lexing Alain Bensoussan Avocats




Comment désigner un délégué à la protection des données ?

Comment désigner un délégué à la protection des données ?Le cabinet organise une 2ème session le 28 mars 2018 du petit-déjeuner intitulé : « Comment désigner un délégué à la protection des données ? » animé par Chloé Torres.

Le délégué à la protection des données

Le délégué à la protection des données (DPO) est au cœur du nouveau cadre juridique instauré par le Règlement général sur la protection des données (RGDP). Il est reconnu comme un acteur clé du nouveau système de gouvernance des données en Europe.

A compter du 25 mai 2018, sa désignation par les responsables de traitement et sous-traitants va devenir obligatoire dans de nombreux cas.

Dans les cas facultatifs, sa nomination peut faciliter la conformité et devenir un avantage concurrentiel pour les entreprises.

  • Quels sont les organismes soumis à la désignation d’un DPO ?
  • Comment le désigner ?
  • Quel est son profil, sa formation, ses missions, ses ressources ?
  • Est-il possible de nommer un DPO externe ? si oui, sur la base de quel contrat ?
  • Quels sont les outils de conformité à mettre en place ?
  • Quelles sont ses obligations en matière de sécurité ?
  • Quelles sont ses responsabilités ? Sur quelles bases peut-il être sanctionné ?

Me Chloé Torres, avocate directrice du département Informatique et libertés répondra à vos questions au côté de Anthony Coquer, administrateur de l’Association des Data Protection Officers (ADPO) et  Hélène Legras, DPO de ORANO (anciennement New AREVA Holding), vice-présidente de l’ADPO, tout trois coauteurs de l’ouvrage « Le data protection officer : une nouvelle fonction dans l’entreprise », Ed. Larcier, juillet 2017.

Le petit-déjeuner se déroulera de 9h30 à 11h00 (accueil à partir de 9h00) dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

Conférence gratuite. Pour y assister, l’inscription est obligatoire en renseignement les champs obligatoires (*) du formulaire ci-dessous :




Comment désigner un délégué à la protection des données ?

Comment désigner un délégué à la protection des données ?Le cabinet a organisé le 17 janvier 2018 un petit-déjeuner intitulé : « Comment désigner un délégué à la protection des  données ? », animé par Maître Chloé Torres.

Le délégué à la protection des données

Le délégué à la protection des données (DPO) est au cœur du nouveau cadre juridique instauré par le Règlement général sur la protection des données (RGDP). Il est reconnu comme un acteur clé du nouveau système de gouvernance des données en Europe.

A compter du 25 mai 2018, sa désignation par les responsables de traitement et sous-traitants va devenir obligatoire dans de nombreux cas.

Dans les cas facultatifs, sa nomination peut faciliter la conformité et devenir un avantage concurrentiel pour les entreprises.

  • Quels sont les organismes soumis à la désignation d’un DPO ?
  • Comment le désigner ?
  • Quel est son profil, sa formation, ses missions, ses ressources ?
  • Est-il possible de nommer un DPO externe ? si oui, sur la base de quel contrat ?
  • Quels sont les outils de conformité à mettre en place ?
  • Quelles sont ses obligations en matière de sécurité ?
  • Quelles sont ses responsabilités ? Sur quelles bases peut-il être sanctionné ?

Me Chloé Torres, avocate directrice du département Informatique et libertés a répondu à vos questions au côté de Hélène Legras, DPO de New AREVA Holding, vice-présidente de l’Association des Data Protection Officers (ADPO) et coauteur de l’ouvrage « Le data protection officer : une nouvelle fonction dans l’entreprise », Ed. Larcier, juillet 2017.

Le petit-déjeuner s’est déroulé de 9h30 à 11h00 (accueil à partir de 9h00) dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes. Une 2ème session est organisée le 28 mars 2018.




Lexing forme la première promotion de DPO en Côte d’Ivoire

Lexing forme la première promotion de DPO en Côte d’IvoireFrédéric Forster a formé, la semaine dernière, la première promotion de DPO en Côte d’Ivoire, ainsi que les acteurs de l’administration ivoirienne.

Du 11 au 15 septembre 2017, Frédéric Forster, directeur du département Télécoms du cabinet Lexing Alain Bensoussan Avocats, a animé, à Abidjan, un séminaire de formation des 75 premiers DPO ivoiriens à la loi de Côte d’Ivoire n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel.

Intervention de Monsieur Bilé-DiéméléouCe séminaire, tenu à l’Heden Golf hôtel d’Abidjan-Cocody, a été ouvert par Monsieur Bilé-Diéméléou, Directeur général de l’Autorité de régulation des télécommunications de Côte d’Ivoire (ARTCI).

Une formation qui confirme l’implication de la Côte d’Ivoire dans la mise en place d’un cadre juridique et institutionnel en matière de protection des données à caractère personnel.

Cette formation s’est conclue par une cérémonie officielle de remise des attestations de formation, par Messieurs Bilé-Diéméléou et Forster et Madame G’Bato-Dorcas, Directrice de l’Autorité de protection des données à caractère personnel, marquant ainsi le point de départ de la prise de fonction de la première promotion de DPO.

Par ailleurs, Frédéric Forster est également intervenu, le lundi 18 septembre 2017, dans un séminaire de sensibilisation des cadres de l’administration publique ivoirienne à « La protection des données à caractère personnel dans l’administration publique », organisé également par l’ARTCI à l’Heden Golf hôtel d’Abidjan-Cocody.

Ce séminaire a été ouvert par les discours de Messieurs Bilé-Diéléméou et Lemassou Fofana, ce dernier étant le Président du Conseil de régulation de l’ARTCI.

Il s’inscrit dans le cadre des évolutions technologiques marquées en Côte d’Ivoire par une amorce de dématérialisation des services publics pour une administration numérique.

Il a réuni près de 200 personnalités, dont des députés, des préfets, des maires, des directeurs de cabinet, des responsables et les directeurs de différents ministères pour une journée de sensibilisation et de mise en situation autour des problématiques spécifiques de protection des données à caractère personnel que peuvent rencontrer ces institutions et collectivités.

L’ARTCI qui s’est vue confier en Côte d’Ivoire le contrôle de l’application de la loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, avait déjà organisé, les 9 et 10 mai 2016, à Abidjan, un séminaire de sensibilisation à la mise en œuvre pratique de la loi, au cours duquel Frédéric Forster était déjà intervenu.

Eric Bonnet
Directeur du Département Communication juridique




Parution du Minilex Le Data Protection Officer (DPO)

Minilex Le Data Protection Officer (DPO)Virginie Bensoussan-Brulé et Chloé Torres publient chez Larcier un ouvrage intitulé « Le Data Protection Officer : une fonction nouvelle dans l’entreprise ».

« Le Data Protection Officer : Une fonction nouvelle dans l’entreprise » : c’est le cinquième titre qui vient de paraître aux Editions Larcier dans la collection des Minilex Lexing-Technologies avancées & Droit.

Co-écrit par Virginie Bensoussan-Brulé, Anthony Coquer, Dominique Entraygues, Muriel Grateau, Bertrand Lapraye, Hélène Legras, Laurence Legris, Amal Marc, Véronique Tirel et Ch. Torres, il fournit des informations sur les meilleures pratiques à mettre en œuvre à destination des DPO de toute entreprise.

Le DPO est un nouveau métier de très haut niveau. Au-delà des nombreuses missions qui lui sont assignées (informer et conseiller le responsable de traitement, sensibiliser et former le personnel, contrôler le respect de la législation au sein de l’entreprise, coopérer avec l’autorité de contrôle, etc.), il doit surtout construire un nouveau modèle de gouvernance des données au sein de l’entreprise.

Le large spectre couvert par ses missions explique l’exigence du degré de compétences requis, qui sont autant juridiques, techniques, organisationnelles que stratégiques.

Il est en effet désigné sur la base de ses qualités professionnelles « et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions ».

Il doit par ailleurs pouvoir dialoguer avec les directions opérationnelles des aspects techniques relatifs notamment aux nouvelles exigences de la protection des données dès la conception et par défaut. Il doit en effet pouvoir analyser de façon assez précise les aspects techniques avant de les qualifier juridiquement. Pour cette raison, il doit être rattaché à la direction exécutive de l’organisme.

Il est doté de compétences élargies par rapport au Correspondant Informatique et libertés (Cil) auquel, à termes, il se substituera. C’est un acteur incontournable du traitement des données à caractère personnel sur lequel les entreprises pourront s’appuyer.

Sa désignation sera une étape essentielle de la mise en conformité au Règlement européen. Dans un monde hyper connecté, la protection des données à caractère personnel n’a jamais été autant au cœur des préoccupations des entreprises. Pour ces dernières, la désignation d’un DPO est un des meilleurs moyens d’assurer une protection optimale des données.

Cet ouvrage réalisé par des avocats et des Cil de grands groupes membres de l’Association des Data Protection Officers (ADPO) dont j’ai plaisir à signer la préface, s’inscrit pleinement dans cet objectif.

Comprendre le rôle et les missions du DPO, c’est en effet appréhender la nouvelle réglementation européenne de la protection des données et renforcer ainsi, la sécurité juridique des entreprises.

Fruit de réflexions, d’échanges et de concertation sur les meilleures pratiques à mettre en œuvre, quant aux missions qui leur sont dévolues, cet ouvrage permettra d’accompagner les DPO dans leurs nouvelles fonctions.

Le Data Protection Officer : Une fonction nouvelle dans l’entreprise
Editions Larcier, 1ère édition, août 2017
147 p.

 




Le DPO, au cœur du Règlement Général « Data Protection »

Le DPO, au cœur du Règlement Général « Data Protection »Le cabinet a organisé le 13 juin 2017 avec ITLC un petit-déjeuner consacré au RGPD et au Data Protection Officer (DPO). En partenariat avec Information Technology & Law Club (ITLC), ce petit-déjeuner débat a été l’occasion de présenter le personnage phare de cette réforme, le data Protection Officer (DPO).

DPO : J-365

Le Règlement européen sur la protection des données à caractère personnel (RGPD) du 27 avril 2016, dont les dispositions seront directement applicables dans tous les Etats membres dès le 25 mai 2018, va profondément modifier les règles applicables à l’environnement digital des entreprises.

Le compte à rebours s’accélère : celles-ci ont en effet jusqu’au 25 mai 2018 pour repenser la gouvernance actuellement mise en place en matière de protection des données personnelles et déployer de nouvelles actions pour être en conformité dans les délais imposés.

Le danger : se voir exposées à des risques d’atteinte à leur réputation et de violation du secret des affaires, en cas d’atteinte à leurs données personnelles mais également à celles de leurs partenaires et clients, sans parler des risques de condamnations civiles et même pénales, si notamment elles se trouvent associées via leur réseau informatique à toute sorte d’actions illégales.

Anticiper l’application du RGPD

Une chose est certaine : les entreprises doivent plus que jamais tout mettre en œuvre pour éviter le détournement de données à caractère personnel et se mettre à l’heure des nouvelles règles applicables, au premier rang desquelles la désignation obligatoire d’un Data Protection Officer (DPO) chargé notamment de veiller à ce que l’ensemble des obligations de conformité aient bien été mises en place à tous les niveaux de l’entreprise.

Pour répondre à vos questions, Alain Bensoussan est intervenu avec Jean-Philippe Rabu, qui est venu présenter à cette occasion la formation « ProDPO » proposée par ITLC en partenariat avec le cabinet Alain Bensoussan Avocats Lexing, permettant d’acquérir les connaissances et le savoir-faire indispensables à l’exercice du métier de DPO.

Le petit-déjeuner débat a eut lieu de 9h15 à 11h00 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.




Le DPO public, obligatoire pour tous les organismes publics

Le DPO public, obligatoire pour tous les organismes publicsLe règlement 2016/679 du 27 avril 2016 rend obligatoire la désignation d’un DPO au sein des organismes publics.

Organismes publics concernés

En effet, le règlement (1) à l’article 37 prévoit que « le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque : (a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ». C’est donc une nouvelle contrainte imposée à tous les organismes publics.

Cependant, le règlement ne définit pas les notions d’ « autorité publique » ou d’ « organisme public ». Le Groupe de travail Article 29 estime que ces notions doivent être interprétées par le droit national ; il reconnaît que ces organismes peuvent exister à plusieurs niveaux :

  • au niveau national ;
  • au niveau régional ;
  • au niveau local.

La seule dérogation prévue par le texte est celle accordée aux juridictions, lorsqu’elles agissent dans l’exercice de leur fonction juridictionnelle (1).

Le G29 rappelle qu’une mission de service public peut être exercée, en plus des autorités ou organismes publics, par des personnes physiques ou morales gouvernées par le droit public ou privé. Le G29  fait notamment référence aux secteurs tels que les transports publics, la fourniture d’eau et d’électricité, les infrastructures routières, etc. (2).

Le G29 recommande aux personnes privées en charge de missions de service public de désigner un délégué à la protection des données (abrégé en « DPO », acronyme anglais pour « Data Protection Officer »).

Nécessité d’un DPO public

Le DPO public a, entre autres fonctions, celle d’intermédiaire avec les autorités de contrôle et les personnes concernées. Or, lorsqu’un traitement est mis en œuvre par un organisme public, les personnes concernées par le traitement risquent d’avoir peu ou pas de maîtrise sur la façon dont leurs données sont traitées. Le DPO public offre alors à ces personnes un degré supplémentaire de protection.

Possibilité de mutualiser un DPO public

Le règlement prend en compte la spécificité des organismes publics et leur permet de mutualiser un DPO public :

« Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille» (2).

Cette disposition permet à des organismes publics de se regrouper pour désigner leur DPO public. Un exemple parlant est celui des collectivités territoriales, particulièrement celui des communes. Les communes doivent désigner un DPO pour gérer les traitements de données à caractère personnel qu’elles mettent en place. Des communes dans des situations similaires (géographique, économique etc.) mais également compte tenu de leur structure organisationnelle et de leur taille, pourront avoir intérêt à désigner le même DPO, qui sera plus à même de traiter les problématiques spécifiques aux services publics gérés par ces collectivités territoriales.

Mise en conformité

Les organismes publics doivent se mettre en conformité avec le règlement avant le 25 mai 2018 ; pour ces derniers, la désignation d’un DPO sera une étape essentielle de la mise en conformité au RGPD

Lexing Alain Bensoussan Selas
Lexing Publicité et marketing électronique

(1) Règl. (UE) 2016/679 du 27-4-2016, art. 37
(2) Règl. (UE) 2016/679 du 27-4-2016, art. 37




Protection des données en Europe : le rôle du Data Protection Officer

Protection des données en Europe : le rôle du Data Protection OfficerInterviewé par Rémi Jacquet pour IT-expert Magazine, Alain Bensoussan nous présente le rôle et les fonctions du « Data Protection Officer ».

Qu’est-ce qu’un Data Protection Officer ?

Le nouveau règlement européen 2016/679 sur la protection des données introduit l’obligation de désigner un « Data Protection Officer » (DPO) ou délégué à la protection des données en charge du contrôle de la conformité des traitements.

Pour Alain Bensoussan, ce nouveau dispositif peut coexister avec l’actuel dispositif des correspondants Informatique et libertés (Cil) pour les organismes qui ne relèveraient pas directement du règlement.

Rappelons qu’aux termes de l’article 37 du Règlement 2016/679, sa désignation est obligatoire pour les organismes du secteur public et pour ceux du secteur privé, uniquement lorsque les « activités de base » de l’organisme (ou du sous-traitant) sont liées au traitement des données consistant en des opérations exigeant « un suivi régulier et systématique à grande échelle des personnes » ou consistant en des traitements « à grande échelle » de données sensibles ou à risque (1).

A qui est-il rattaché ?

Pour Alain Bensoussan, le Data Protection Officer est un nouveau métier de très haut niveau. Ces compétences sont autant juridiques, techniques, organisationnelles que stratégiques.

Il est en effet désigné sur la base de ses qualités professionnelles « et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions » (Art. 37, § 5).

Il doit par ailleurs pouvoir dialoguer avec les directions opérationnelles des aspects techniques relatifs notamment au « Privacy by Design » (protection dès la conception). Pour cette raison, Alain Bensoussan préconise de le rattacher à la direction exécutive de l’organisme. Il existe des cursus de formation (2) (…)

Alain Bensoussan pour IT-expert magazine, « Le Data Protection Officer », le 20-9-2016.

(1) Voir « Le délégué à la protection des données, un Cil renforcé » , Post du 13-6-2016.
(2) Voir également l’Association des Data Protection Officers (ADPO) fondée par Alain Bensoussan Avocats pour aider les DPO dans leurs fonctions.




Le délégué à la protection des données, un Cil renforcé

Le délégué à la protection des données, un Cil renforcéLe règlement européen (1) a créé le délégué à la protection des données,  acteur essentiel des données personnelles.

Le Data protection Officer (DPO), traduit dans la version française du règlement en « délégué à la protection des données », se substitue au Correspondant Informatique et libertés (Cil) et se voit doter de compétences élargies.

Tout d’abord, la désignation d’un délégué à la protection des données est impérative, pour le responsable et le sous-traitant dans les situations suivantes (2) :

  • le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
  • leurs activités de base consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou
  • leurs activités de base consistent en un traitement à grande échelle de données sensibles ou de données relatives aux condamnations pénales et aux infractions.

Force est de constater que certains des critères de désignation visés ci-dessus demeurent flous et requièrent d’être précisés par les autorités de contrôle, et ce avant le 25 mai 2018, date d’application du règlement.

Le rôle qui est confié au délégué à la protection des données prend de l’ampleur notamment dans l’étendue des missions qui lui sont attribuées (3). Ainsi, il sera chargé de :

  • informer et conseiller le responsable de traitement ou le sous-traitant sur les obligations qui lui incombent en matière de protection des données ;
  • contrôler le respect de la législation applicable en matière de protection des données et des règles internes du responsable de traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
  • dispenser des conseils sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ;
  • coopérer avec l’autorité de contrôle ;
  • faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable, et mener des consultations, le cas échéant, sur tout autre sujet.

Le large spectre couvert par ses missions explique, alors, l’exigence du degré de compétences requis, puisque le délégué à la protection des données doit être doté de « connaissances spécialisées du droit et des pratiques en matière de protection des données  (4) », et doit disposer de « la capacité à accomplir les missions » qui lui sont attribuées.

Cela n’empêche pas, toutefois, au responsable de traitement ou au sous-traitant de recourir, soit à un membre du personnel, soit de faire appel à un prestataire externe pour l’exercice de cette mission.

Le renforcement des compétences du délégué à la protection des données se traduit également par le fait qu’il constitue désormais une interface de contact auprès de l’autorité de contrôle mais également auprès du responsable de traitement notamment à la suite d’une analyse d’impact pour laquelle il existe un risque de violation de données personnelles (5).

Enfin, l’ensemble des missions confiées au délégué à la protection des données doit pouvoir être exercée en toute indépendance, ainsi, le responsable de traitement et le sous-traitant devront veiller à ce qu’il « ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions » (6).

Le délégué à la protection des données apparaît comme un des acteurs incontournables du traitement des données à caractère personnel, sous réserve que les autorités de contrôle interprètent de façon extensive les critères de désignation retenus par le règlement.

Lexing Alain Bensoussan Selas
Lexing Informatique et libertés

(1) Règlement 2016/679 du 27-4-2016.
(2) Règlement 2016/679 du 27-4-2016, art. 37.
(3) Règlement 2016/679 du 27-4-2016, art. 39.
(4) Règlement 2016/679 du 27-4-2016, art. 37.5.
(5) Règlement 2016/679 du 27-4-2016, art. 36.3.
(6) Règlement 2016/679 du 27-4-2016, art. 38.




Le délégué à la protection des données « CIL » version 2

Le délégué à la protection des données "CIL" version 2La proposition de règlement général sur la protection des données instaure le délégué à la protection des données qui

remplace le correspondant Informatique et libertés. Le délégué à la protection des données est une personne désignée par une entité ou un groupe d’entreprise pour une durée minimale de deux ans et qui doit avoir des connaissances spécialisées de la législation et de la pratique en matière de protection des données.

Le délégué à la protection des données peut être un salarié de l’entité concernée ou peut accomplir ses tâches sur la base d’un contrat de services.

Le responsable du traitement et le sous-traitant doivent désigner un délégué à la protection des données dès lors que l’une de ces conditions est remplie :

  • le traitement est effectué par une autorité ou un organisme public ;
  • le traitement est effectué par une entreprise employant plus de 250 personnes ;
  • les activités de base du responsable du traitement ou du sous-traitant en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées.

Lorsque le responsable du traitement ou le sous-traitant ne remplit pas les conditions détaillées ci-dessus, la désignation du délégué à la protection des données est facultative. Le responsable du traitement et le sous-traitant doivent (1) :

  • communiquer le nom du délégué à la protection des données à l’autorité de contrôle ainsi qu’au public ;
  • veiller à ce que le délégué à la protection des données soit associé à toute question relative à la protection des données ;
  • veiller à ce que le délégué puisse exercer ses fonctions en toute indépendance ;
  • aider le délégué à exercer ses fonctions et à lui fournir toutes les ressources nécessaires à sa mission.

Le règlement définit les missions du délégué à la protection des données qui a un réel rôle de contrôle et de vérification s’agissant de la bonne application du règlement. Le délégué à la protection des données doit se voir confier par le responsable du traitement et le sous-traitant au minimum les missions suivantes :

  • informer et conseiller sur les obligations du responsable du traitement et du sous-traitant découlant du règlement et conserve une trace documentaire de cette activité et des réponses reçues ;
  • contrôler la mise en œuvre et l’application des règles internes en matière de protection des données ;
  • contrôler la mise en œuvre de la bonne application du règlement tels que les principes de protection des données dès la conception ;
  • veiller à ce que la documentation du responsable du traitement ou du sous-traitant soit tenue à jour ;
  • contrôler la documentation, la notification et la communication en cas de violation de données à caractère personnel ;
  • vérifier que l’analyse d’impact a été réalisée ;
  • vérifier qu’il a été répondu aux demandes de l’autorité de contrôle ;
  • exercer la fonction de point de contact pour l’autorité de contrôle.

Afin d’anticiper cette réforme, les entreprises pourraient d’ores et déjà désigner un correspondant Informatique et libertés.

Chloé Torres
Lexing Droit Informatique et libertés

(1) Proposition de règlement 2012-0011 (COD) 25-1-2012, art.36, art.37.