RGPD : le cabinet Lexing Alain Bensoussan Avocats, Délégué à la Protection des Données externalisé des TPE et Start-up
Le cabinet Lexing Alain Bensoussan Avocats offre une prestation de « Délégué à la protection des données » (« Data protection officer » en anglais) externalisé, spécialement adaptée aux besoins des Très Petites Entreprises (TPE) et Start-up.
Les obligations imposées aux entreprises par le RGPD :
Le Règlement général sur la protection des données (« RGPD » ou « GDPR » en anglais), adopté le 27 avril 2016, est directement applicable dans l’ensemble des Etats membres depuis le 25 mai 2018.
Comme toutes les entreprises qui sont amenées à mettre en œuvre des traitements de données personnelles dans le cadre de leurs activités, les TPE et les Start-up sont concernées par le RGPD.
Ce texte complexe et technique leur impose de se plier à de nouvelles obligations, telles que :
Le RGPD va imposer aux cabinets de se plier à de nouvelles obligations, telles que :
- l’obligation d’être, à tout moment, en mesure de démontrer la conformité du traitement avec le RGPD ;
- la prise en compte de la protection de la sécurité des données, tant logique que physique, dès la conception du traitement;
- l’obligation de notifier à la Cnil toute violation de données à caractère personnel.
- la réalisation d’analyses d’impact avant la mise en œuvre d’un traitement de données pouvant présenter des risques pour les droits et libertés des personnes ;
Au regard des amendes particulièrement dissuasives que la Cnil peut désormais prononcer et du préjudice d’image qui peut résulter d’une telle sanction, la mise en conformité avec le RGPD constitue un enjeu majeur pour toute entreprise.
Le respect du RGPD, et plus généralement de la réglementation Informatique et libertés, induit également des effets positifs, puisque c’est un facteur de transparence et de confiance de l’entreprise vis-à-vis des tiers, et tout particulièrement vis-à-vis de ses clients et de ses partenaires.
Le Délégué à la protection des données est placé au cœur du nouveau cadre juridique, en tant que pilote de la mise en conformité des entreprises avec les dispositions du RGPD.
Le Délégué à la Protection des Données (DPD/DPO) :
En application de l’article 37 du RGPD les entreprises du secteur privé dont les activités de base consistent en un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des catégories particulières de données à caractère personnel ont l’obligation de désigner un Délégué à la protection des données.
Toutes les autres entreprises ont la faculté de désigner spontanément un Délégué à la protection des données.
Par ailleurs, le Délégué à la protection des données peut, sous certaines conditions, être mutualisé entre plusieurs entreprises.
Concrètement, le Délégué à la protection des données constitue un atout pour comprendre et respecter les obligations en matière de protection des données à caractère personnel, dialoguer avec les autorités de contrôle et réduire les risques de contentieux et de sanctions.
Nos missions en tant que Délégué à la protection des données externalisé :
En tant que délégué à la protection des données externalisé, le cabinet prendra en charge les missions qui, au terme de l’article 39 du RGPD, incombent à tout délégué à la protection des données, à savoir :
Informer et conseiller sur les obligations Informatique et libertés
Informer et conseiller sur les obligations Informatique et libertés
1. L’une des missions du Délégué à la protection des données consiste à informer le responsable de traitement sur les obligations qui lui incombe en vertu de la loi Informatique et libertés n° 78-17 du 6 janvier 1978 modifiée et du règlement (UE) 2016/679 applicable depuis le 25 mai 2018.
2. En tant que Délégué à la protection des données externalisé le cabinet Lexing Alain Bensoussan Avocats réalisera les prestations suivantes :
- formation et sensibilisation des membres de l’entreprise ;
- élaboration de procédure de remontée d’informations ;
- tenue d’un comité de pilotage.
Contrôler le respect des dispositions et des règles internes du responsable du traitement
Contrôler le respect des dispositions et des règles internes du responsable du traitement
3. Afin de contrôler le respect des dispositions du RGPD et des règles internes du responsable du traitement, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation des membres de l’entreprise participant aux opérations de traitement, et les audits s’y rapportant, il sera procédé à :
- – l’élaboration d’un plan de contrôle annuel ;
- – la réalisation d’audits.
Dispenser des conseils en ce qui concerne l’analyse d’impact
Dispenser des conseils en ce qui concerne l’analyse d’impact
4. Lorsqu’un traitement envisagé est un traitement à risque, il appartient au responsable du traitement de conduire une étude d’impact, faisant apparaître les caractéristiques du traitement, les risques qu’il présente pour les droits et libertés des personnes concernées et les mesures adoptées. Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés analogues.
5. Il s’agit notamment :
- des traitements de données sensibles : données qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, mais également les données génétiques ou biométriques ;
- des traitements reposant sur « l’évaluation systématique et approfondie d’aspects personnels des personnes physiques », c’est-à-dire notamment de profilage.
6. En cas de risque élevé, le responsable du traitement doit consulter la Cnil avant de mettre en œuvre le traitement en cause. La Cnil peut s’opposer au traitement compte tenu de ses caractéristiques et de ses conséquences pour les personnes.
7. En tant que Délégué à la protection des données externalisé le cabinet Lexing Alain Bensoussan Avocats dispensera des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données, et vérifier son exécution.
Coopération avec la Cnil
Coopération avec la Cnil
8. En tant que Délégué à la protection des données externalisé le cabinet Lexing Alain Bensoussan Avocats coopérera avec la Cnil et fera office de point de contact pour l’autorité de contrôle pour toutes les questions relatives aux traitements mis en œuvre par l’entreprise, et notamment dans le cadre de la consultation préalable prévue par l’article 36 du RGPD.
Le cabinet pourra également intervenir sur demande pour accomplir des prestations optionnelles ci-dessous :
Tenue du registre des traitements
Tenue du registre des traitements
9. Le responsable de traitement doit tenir son registre des activités de traitement parfaitement à jour, ce qui suppose de sa part une intervention de mise à jour chaque fois qu’il met en œuvre un nouveau traitement ou en cas d’arrêt du traitement.
10. Le Responsable de traitement pourra s’il le souhaite confier cette prestation complémentaire de tenue du registre au cabinet Lexing Alain Bensoussan Avocats.
Revue des contrats et mentions d’information
Revue des contrats et mentions d’information
11. Mentions obligatoires. Le RGPD rappelle que les données doivent être traitées de manière loyale et transparente au regard de la personne concernée.
12. En ce qui concerne le contenu de l’information, le RGPD exige que certaines informations énumérées aux articles 13 et 14 du RGPD soient communiquées aux personnes dont les données sont collectées.
13. Contrats. L’article 28 du RGPD maintient l’obligation de souscrire un contrat liant le sous-traitant au responsable du traitement, tout en précisant ses contours et en fixant des exigences strictes et plus importantes.
14. Cette prestation complémentaire peut prendre différentes formes en fonction des besoins du responsable de traitement. Il peut s’agir par exemple de recenser des documents de collecte, d’information et des contrats signés avec les sous-traitants et d’analyser leur conformité avec la réglementation, ou de proposer des contrats types et des mentions d’information dans les documents à destination des usagers.
Assistance à la notification d’une violation de données
Assistance à la notification d’une violation de données
15. L’obligation de notification de violations de données à caractère personnel à la Cnil pèse sur le responsable du traitement, qui doit signaler les failles de sécurité dans les meilleurs délais et si possible dans un délai de 72 heures au plus tard après en avoir pris connaissance.
16. Le responsable de traitement pourra confier au cabinet Lexing Alain Bensoussan Avocats la prestation complémentaire de notification des violations de données à caractère personnel.
17. Dans ce cadre le cabinet Lexing Alain Bensoussan Avocats sera le point de contact de la Cnil pour la transmission d’information.
18. Il assistera le responsable de traitement dans la rédaction de la notification de la violation des données personnelles à la Cnil et se chargera de la procédure de notification.
19. Le cabinet Lexing Alain Bensoussan Avocats effectuera, le cas échéant, en coopération avec la Cnil, dans les meilleurs délais, la communication aux personnes concernées, pour lesquelles la violation de données est susceptible d’engendrer un risque élevé pour leurs droits et libertés, tel que prévu par l’article 34 du RGPD.
Assistance à la réalisation d’une analyse d’impact
Assistance à la réalisation d’une analyse d’impact
20. En complément des conseils dispensés dans le cadre de sa mission de Délégué à la protection des données externalisé, le cabinet Lexing Alain Bensoussan Avocats pourra être missionné pour réaliser une analyse d’impact chaque fois que nécessaire.
21. Enfin, une fois l’analyse d’impact réalisée, le cabinet Lexing Alain Bensoussan Avocats en assumera le suivi, afin de s’assurer que les risques n’ont pas évolué.
Assistance à la réalisation d’une consultation préalable de la Cnil
Assistance à la réalisation d’une consultation préalable de la Cnil
22. Dans l’hypothèse où une analyse d’impact révèle qu’il existe un risque résiduel élevé, le responsable du traitement est tenu de procéder à une consultation préalable de l’autorité de contrôle en application des dispositions de l’article 36 du RGPD.
23. Dans une telle hypothèse, le cabinet Lexing Alain Bensoussan Avocats pourra assister le responsable de traitement pour l’élaboration du dossier de consultation préalable et pour assurer le suivi de cette démarche.
24. Le cabinet Lexing Alain Bensoussan Avocats assistera également le responsable de traitement dans la réponse à toute requête de l’autorité de contrôle dans le cadre de cette consultation.
Assistance lors d’un contrôle de la Cnil
Assistance lors d’un contrôle de la Cnil
25. En cas de contrôle sur place, sur pièces ou à distance de la Cnil, le cabinet Lexing Alain Bensoussan Avocats sera en mesure de réaliser différentes prestations suivantes allant du simple conseil lors des contrôles jusqu’à l’exercice des procédures et voies de recours.
Assistance sur toute question relative à la protection des données personnelles
Assistance sur toute question relative à la protection des données personnelles
En complément de sa mission de Délégué à la protection des données, le cabinet pourra être amené, sur demande, à assister et à délivrer des consultations sur tout autre sujet en rapport avec la protection des données à caractère personnel. Ce type de mission se fera dans le cadre d’une proposition d’intervention arrêtée en concertation avec le cabinet concerné.
Réalisation d’une cartographie légale
Réalisation d’une cartographie légale
Pour accompagner au mieux chaque entreprise dans sa mise en conformité au RGPD, le cabinet propose de réaliser une cartographie juridique en vue de :
- • identifier les écarts de conformité entre l’existant et les exigences du RGPD tant sur le plan juridique qu’organisationnel ;
- • informer et conseiller le responsable de traitement sur les actions de mise en conformité à mettre en œuvre.
Contact
Lexing Alain Bensoussan Avocats
Avocate, directrice du département Conformité et Certification, elle a été désignée déléguée à la Protection des Données de la profession d’avocat par le Conseil National des Barreaux.
58, boulevard Gouvion-Saint-Cyr75017 Paris
+33 (0) 6 74 10 44 24