Audit RGPD

ETIC Avocats vous accompagne et vous conseille dans le cadre de votre processus de mise en conformité au regard des dispositions du RGPD et des différentes réglementations applicables en matière de protection des données.  

N’hésitez pas à nous contacter afin de bénéficier d’un conseil global et sur mesure permettant d’assurer la mise en place et le suivi de votre conformité RGPD

Vos avocats conseils vous accompagnent en audit RGPD

Fabien Drey

Avocat associé

Vous accompagne grâce à son expertise en Droit des sociétés, Financement & levées de fonds, Droit commercial et RGPD

Laura Dumouchel

Avocate

Vous accompagne grâce à son expertise en Droit fiscal et « Droit des affaires »

Sommaire

Assurez votre conformité grâce à nos Avocats experts en Droit de la protection des données à caractère personnel

Le respect de la réglementation européenne et française en matière de protection des données à caractère personnel est un enjeu stratégique.  

A cet égard, et au vu de la complexité relative à la mise en œuvre de certaines dispositions, le conseil et l’accompagnement de spécialistes s’avère bien souvent nécessaire. 

Notre pôle Protection de la donnée reste ainsi à votre écoute afin de vous proposer l’accompagnement le plus adapté à vos besoins. 

Vous pouvez nous contacter directement ou cliquer sur le formulaire présent sur cette page.

Un Avocat référent reviendra rapidement vers vous afin de confirmer votre demande et affiner vos besoins. 

Par ailleurs, vous pourrez obtenir rapidement un rendez-vous dans l’un de nos cabinets à Bordeaux, Saintes, Agen, Pau, Biarritz et La Rochelle.

Notre mission de mise en conformité RGPD

Notre cabinet d’Avocat propose un certain nombre de missions afin de vous permettre de mettre en conformité votre entreprise ou votre collectivité. 

Les principales étapes de notre intervention en matière de mise en conformité RGPD

Notre intervention se déroule en plusieurs étapes principales. 

PHASE  1 : L’ANALYSE ET LA REALISATION D’UN ETAT DES LIEUX 

1. Rencontre et analyse de vos activités, afin d’analyser les méthodes de traitements actuels 

2. Le recueil des informations nécessaires et l’état des lieux ; 

3. le déploiement de nos outils d’analyse ; 

4. L’Audit de la documentation actuelle (CGU, Charte Informatique, registre des traitements, PIA, etc.) ; 

5. L’Audit de vos traitements (un audit est réalisé pour chaque traitement) ; 

6. L’Audit du site internet de votre entreprise ; 

7. L’Audit en matière de sécurité générale de vos traitements (le cas-échéant, nos partenaires seront amenés à intervenir afin d’identifier les potentielles failles présentes au sein de votre système d’information) ;  

8. L’Audit des procédures internes mises en place en cas de faille de sécurité (la procédure de notification à la CNIL est encadrée par des délais courts et impératifs) ; 

9. L’Audit de vos sous-traitants et autres tiers receuillant de la donnée collectée par votre entité ; 

10. L’audit de l’effectivité et du respect des droits des utilisateurs. 

Cet état des lieux nous permettra d’obtenir un référentiel et d’identifier les actions correctives à mettre en oeuvre dans les meilleurs délais.  

PHASE 2 : RAPPORT D’AUDIT ET DEFINITION D’UN PLAN D’ACTION 

A la suite de l’état des lieux effectué, nous pourrons être amené à vous faire part de nos conclusions sur la forme d’un rapport. Ce rapport contiendra l’analyse de la situation actuelle et votre niveau de conformité. 

Les éléments problématiques seront mis en avant en fonction de leur vraisemblance et de leur criticité, afin de déterminer un plan d’action ayant pour objectif de mettre en conformité votre entité dans les meilleurs délais.  

Une fois ce plan d’action validé, nous pourrions entamer nos travaux de mise en conformité.

PHASE 3 : ADAPTATIONS ET REDACTION DES ELEMENTS NECESSAIRE A VOTRE MISE EN CONFORMITE RGPD

Dans le cadre de notre action, nous serons amenés à rédiger, en coordination avec vos équipes :  

• un registre des traitements complet ;  
• les études d’impacts (DPIA) détaillées concernant certains traitements ; 

• la procédure inhérentes aux failles de sécurité ;  
• la documentation « commerciale » (CGU, charte relative à la protection des données personnelles, etc.) ; 
• les procédures permettant l’effectivité des droits des utilisateurs ;  
• les éléments permettant de mettre en conformité votre site internet (opt-in, information, etc.). 

En outre, nous serons amenés à proposer la création de lignes directrices propres à votre entité relative à la protection des données personnelles. 

PHASE 4 : AUDIT DE FIN DE MISSION ET SUIVI DE LA MISE EN CONFORMITE

A la suite de notre intervention, nous vous fournirons et ferons valider l’ensemble des documents rédigés en coordination avec vos équipes.  

Une documentation de synthèse vous sera fournie afin de mesurer l’impact de notre intervention. Cette documentation obligatoire servira (i) en cas de contrôle de la CNIL, (ii) d’une demande d’un utilisateur et (iii) de référentiel pour le suivi de votre mise en conformité. 

En effet, il est recommandé de suivre votre conformité au moins une fois par an. A cet égard, nous pourrons vous proposer une mission complémentaire de suivi et d’adaptation de votre mise en conformité, sur la base d’un forfait annuel. 

Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (dit RGPD ou GDPR) relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données est aujourd’hui entré en vigueur.  

Le Règlement Général sur la Protection des Données (RGPD) est une composante du « Package protection des Données » initié par le Parlement Européen. Ce règlement est entré en vigueur au mois de mai 2016. 

Cependant, afin de laisser aux entités concernées (à savoir l’ensemble des données ayant à traiter des données personnelles, sauf rares exceptions), il a été décidé de repousser la date d’entrée en application de ce règlement au 25 mai 2018. 

L’intégralité des entreprises traitant des données personnelles (de manière directe ou indirecte) ainsi que l’ensemble des collectivités publiques doivent se mettre en conformité avec l’ensemble des dispositions du réglement européen.  

Ces obligations sont relativement nombreuses et combinent des obligations juridiques (information de l’utilisateur, contrôle des sous-traitants, transfert des données, etc.) mais aussi techniques (privacy by design, minimisation, localisation des données, procédures de contrôles, mesures anti-piratages, etc.). 

En outre, les entreprises traitant de manière massive certains types de données personnelles ainsi que les collectivités doivent nommer un Délégué à la protection des données (ou Data Protection Officer) à compter du 25 mai 2018. 

Ce règlement contient un certain nombre d’évolutions par rapport à la loi Informatique et Liberté. A cet égard, il convient de rappeler que dans l’hypothèse où les traitements actuels seraient conformes à la loi Informatique et Liberté, l’entrée en application du RGPD n’aurait que très peu d’effet sur la régularité de vos traitements. 

La réglementation RGPD ne contient aucune révolution quant au traitement des données personnelles. Toutefois, le RGPD nécessite la vérification d’un certain nombre d’éléments et la rédaction d’une documentation précise.

Quelles sont les sanctions en cas de non-respect de la réglementation RGPD ?

Les sanctions administratives pouvant être infligées sont encadrées par l’article 83 du réglement RGPD. 

Au cas particulier, ces amendes peuvent atteindre (sous conditions) 20.000.000 € ou 4% du chiffre d’affaires mondial de l’entreprise, « le montant le plus élevé étant retenu« . 

Les amendes infligées sont ainsi particulièrement dissuasives afin d’obliger les entreprises concernées à se mettre en conformité. 

Par ailleurs, le système déclaratif actuel de déclaration à la CNIL sera remplacé. Un système de contrôle a posteriori lui sera préféré à compter de la mise en place du règlement. 

A cet égard, et en cas de contrôle (sur pièce ou directement par internet), chaque entreprise devra être en mesure de justifier de sa mise en conformité avec le réglement RGPD.

La protection des données, le domaine de la CNIL 

L’autorité de régulation en charge du contrôle et des sanctions en matière de protection des données personnelles reste la CNIL.  

Notre cabinet propose une offre globale de mise en conformité de votre entreprise avec le règlement européen.

Les nouvelles obligations en matière de données personnelles en raison du RGPD

Bien qu’un grand nombre d’éléments issus de la Loi Informatique et Liberté soient conservés, un certain nombre de nouvelles obligations voient le jour avec l’entrée en application du RGPD. 

Les principales nouveautés sont relatives à l’information renforcée des utilisateurs, la fin des procédures de déclaration (à l’exception de certaines procédures spécifiques) ainsi qu’à l’encadrement des relations avec les sous-traitants.  

Par ailleurs, des procédures spécifiques doivent être mises en place (aussi bien au niveau technique qu’au niveau juridique) afin d’assurer la protection des données personnelles. 

Pour plus d’informations concernant ces nouvelles obligations issues du RGPD, nous vous invitons à consulter notre fiche pratique faisant la synthèse des nouveautés du RGPD à compter du 25 mai 2018. 

Qu’est-ce qu’une donnée personnelle ?

La définition des données personnelles

Une donnée personnelle est une information se rapportant à une personne physique identifiée ou identifiable (de manière directe ou indirecte).  

Il s’agit de l’ensemble des données collectées et relatives à une personne (nom, adresse, adresse IP, géolocalisation, taille, habitudes, etc.). 

La quasi-intégralité des entreprises sont donc concernées par le traitement des données personnelles vis-à-vis de leurs clients (fichier client, formulaires en ligne, etc.) mais aussi vis-à-vis de leur personnel (temps de travail, relevés d’absence, fonction, rémunération, etc.) au regard de l’article 88 du RGPD. 

A cet égard, la réglementation européenne RGPD sera applicable et les normes édictées devront être scrupuleusement respectées. 

Le cas particulier des données sensibles

Par ailleurs, les entreprises collectant directement ou indirectement des données « sensibles » seront soumises à des obligations de protection supplémentaires.  

Les données sensibles représentent les données personnelles attachées aux droits et libertés fondamentaux.  

Ces données sensibles sont notamment relatives à l’origine ethnique, la santé, les opinions politiques, etc.  

A cet égard, l’entreprise collectant des données sensibles devra respecter certains protocoles précis afin de garantir l’intégrité et la sécurité de ces données.

Encadrer les données personnelles, pour quoi faire ?

Les données personnelles (Data) constituent le pétrole du XXIème siècle. A cet égard, les données personnelles ont une valeur marchande considérable pour les entreprises qui les traitent et, parfois, les revendent. 

Ces traitements peuvent avoir un impact sur la vie courante des individus et notamment sur l’exercice de certaines libertés. 

C’est notamment pour cette raison que depuis 1978, la loi française encadre le traitement des données personnelles. Après plusieurs réformes de cette loi, le règlement européen sur la protection des données vient apporter un nouvel encadrement (et de nouvelles sanctions) aux entreprises traitant de la donnée (en pratique TOUTES les entreprises). 

Nous vous invitons à consulter la vidéo ci-dessous édité par le site myshadow (https://myshadow.org/fr) relatif aux traces laissées sur Internet : 

Votre entreprise est-elle concernée par la mise en conformité RGPD ? 

Le RGPD s’applique « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. »

Quelle est la procédure permettant de mettre votre entreprise en conformité à la RGPD ?

Les entreprises traitant des données personnelles doivent respecter un certain nombre d’obligations afin d’être en conformité avec le réglement européen RGPD. 

L’ensemble des procédures relatives au traitement de vos fichiers clients (entre autres) devront être revues afin de respecter les dispositions RGPD compliant.  

Ainsi, il s’agira d’utiliser des outils spécifiques et reconnus (CRM, solutions de tracking, etc.) mais aussi de veiller à ce que l’ensemble de votre documentation juridique (CGU, CGV, éléments relatifs à la donnée personnelle, relations avec les sous-traitants, partenaires, etc.) contienne les clauses de protection adéquates. 

Une liste synthétique (et non-exhaustive) des principales obligations en matière est reprise ci-dessous (cette liste est très loin d’être exhaustive mais permet de déterminer les principaux éléments à mettre en place).  

Pour une information plus précise, nous vous invitons à consulter notre fiche pratique dédiée aux principales nouveautés du RGPD. 

La nomination d’un délégué à la protection des données (data protection officer / DPO)

Le secteur public (Mairies, Hôpitaux, etc.) ainsi que les entreprises traitant de la donnée à grande échelle (big data, marketing, sondage, intelligence artificielle, etc.) auront l’obligation de désigner un Délégué à la Protection des Données interne ou externe (cabinet spécialisé, Avocat) ayant reçu une formation spécifique et reconnu comme tel par la CNIL. 

A cet égar, Me Fabien DREY, DPO, dispose de locaux implantés à Bordeaux et à Saintes afin de vous accompagner en tant que DPO. 

Pour plus d’informations quant à la nomination d’un DPO à Bordeaux ou en Charente-Maritime, nous vous invitons à cliquer sur notre page dédiée à nos missions de DPO.

L’information préalable des clients et le recueil du consentement, en fonction du fondement de la collecte

Le recueil du consentement des personnes dont les données personnelles seront collectées est l’un des éléments fondamentaux (mais non obligatoire en fonction du fondement de la collecte) du réglement RGPD. Ce consentement est d’ores et déjà encadré par la loi française actuelle.  

Cependant, les sanctions inhérentes à l’incapacité de prouver que l’utilisateur a bien donné son consentement préalable seront renforcées. 

Par ailleurs, il convient d’informer l’utilisateur concernant notamment :  

• la finalité du traitement des données ;  
• la durée d’archivage ;  
• les méthodes lui permettant de réclamer ses données (sous un certain format) ;  
• le droit à la portabilité de ses données. 

L’ensemble de la documentation juridique à destination de la clientèle devra donc être revue. 

L’information des collaborateurs

Dans le même sens, l’entreprise devra s’assurer qu’elle respecte l’ensemble des normes RGPD (au niveau technique mais aussi au niveau juridique) et devra pouvoir rapporter la preuve de cette mise en conformité en cas de contrôle.

Les contrôles internes 

Le RGPD impliquera par ailleurs de respecter certaines normes techniques en matière de conservation et d’exploitation des données.  

Ainsi, les entreprises devront impérativement mettre en place les démarches suivantes :  

• security by default : les données personnelles utilisées ne devront être celles qui sont strictement utiles à la finalité poursuivie par l’outil technique. Ainsi, chaque outil utilisé par l’entreprise ne devra avoir accès qu’aux données qui lui sont nécessaires afin de traiter la demande ; 
• privacy by design : l’ensemble des données personnelles devront être identifiées dès l’origine comme telle et traitées de manière séparées dans le système d’information. Cette modification demandera le plus souvent une mise en conformité de la plate-forme logiciel de l’entreprise et de sa manière de traiter numériquement la donnée ;  
• l’accountability : l’ensemble des traitements de données doit être retracé et justifié afin que le responsable du traitement des données soit en mesure, à tout moment, de rapporter la preuve que la protection des données personnelles est assurée, au regard de la réglementation RGPD. 

Le contrôle des transferts de données

L’ensemble des transferts de données à des sous-traitants ou des partenaires commerciaux, y compris à l’étranger, fera l’objet de mesures de protections strictes au niveau juridique (par l’intégration dans les contrats d’obligations relatives au respect du RGPD), mais aussi au niveau technique. 

Le contrôle des sous-traitants et la rédaction de contrats spécifiques

L’entreprise devra à tout moment être en mesure qu’elle exerce un contrôle suffisant sur ses sous-traitants en matière de traitement des données personnelles et de compliance au RGPD. 

A cet égard, un contrôle spécifique et une surveillance (par la preuve de justificatifs de traitements notamment) devra être mis en oeuvre par l’entreprise à destination de l’ensemble de ses sous-traitants. 

Pourquoi recourir à ETIC Avocats afin d’assurer votre conformité et son suivi en matière de RGPD

La question peut paraître légitime, au regard du nombre croissant de plateformes et de professionnels promettant aujourd’hui une création rapide et au moindre coût. 

Les services du cabinet ETIC Avocats n’ont pas la même vocation.  

Les avantages d’ETIC Avocats

• Honoraire forfaitaire et transparent
• Accompagnement complet sous la forme d’un abonnement
• Audit sur place et rédaction d’une documentation sur mesure
• Espace client en ligne
• Mise en œuvre de procédures de tests de sécurité et intégration d’éléments de sécurité grâce à nos prestataires informatiques partenaires

Une équipe dédiée et à votre écoute

Notre accompagnement en matière de protection des données à caractère personnel est réalisé directement par nos Avocats experts en la matière. 

Chaque dossier de notre cabinet est traité directement par un Avocat référent, assisté d’un ou plusieurs collaborateurs, et le cas échéant d’un formaliste. 

Au besoin, et en fonction des spécificités de votre dossier, d’autres départements du cabinet ETIC pourront être amenés à vous assister.

La philosophie ETIC

Notre cabinet d’Avocats a pour volonté, depuis plus de 10 ans, de mettre à disposition de ses clients l’ensemble des outils permettant de fluidifier et d’accélérer nos échanges. Dans ce cadre, l’intégralité du processus de création peut être géré à distance, grâce à nos systèmes de visioconférence sécurisée ainsi qu’au recours à la signature électronique.  

Ces éléments nous permettent d’offrir à nos clients un accompagnement dédié, rapide et sur mesure.  

En matière de création de société, et en complément des formulaires pouvant être renseignés sur notre site internet, chaque futur client est contacté par un Avocat référent afin d’affiner son projet. Au besoin, il vous est bien évidemment possible de venir nous rencontrer dans l’un de nos bureaux en Nouvelle Aquitaine. 

Au cours de ces échanges, l’ensemble des sujets est abordé par un spécialiste de la matière. Au besoin, des réponses spécifiques peuvent être apportées en complément par nos Avocats agissant en matière de droit fiscal, de droit du travail et de protection sociale. 

Ces échanges vous permettent d’obtenir un service parfaitement adapté à votre projet et son développement. 

Pour nos Avocats et juristes, vous n’êtes pas un simple numéro, vous êtes notre client et cela fait toute la différence.  

Ainsi, une fois votre société créée, la majorité de nos clients choisit de bénéficier d’un ou plusieurs de nos abonnements en matière de suivi juridique, social et fiscal.  

Notre principal objectif est ainsi d’assurer le suivi de nos prestations et l’accompagnement de nos clients, à chaque étape de leur développement. 

Pour plus d’informations, nous vous invitons à consulter notre page de présentation. 

Les avantages ETIC, un accompagnement à 360°

• Un conseil sur mesure  

• Des avocats expérimentés et à l’écoute 
• Un accompagnement dédié intégrant l’ensemble des besoins des entreprises et de leurs dirigeants 
• Une offre de suivi par l’intermédiaire d’un abonnement 
• Un espace client en ligne accessible 7j/7 et 24h/24 
• L’accès à nos ressources, nos formations et nos actualités juridiques, fiscales et sociales en continu

Plus d’informations ?

N’hésitez pas à nous contacter directement afin d’obtenir plus d’informations concernant nos missions en matière de protection des données à caractère personnel et de Droit de l’informatique. 

Nos Avocats sont présents pour répondre à vos questions et vous assister dans la mise en œuvre et la sécurisation de vos projets.