Données - Bases de données – RGPD / DPO - Intelligence artificielle
Full Compliance service au RGPD et à la protection des données personnelles
Une nécessité, une opportunité et un atout concurrentiel
Le règlement UE n°2016/679, dit règlement général sur la protection des données (RGPD) impose une obligation stricte d’ « accountability ». Dès lors que vous traitez des données personnelles, vous devez être en mesure de démontrer votre propre conformité au nouveau règlement, en matière de sécurité, de transparence et de respect de la vie privée.
La non-conformité représente un risque potentiel sur de multiples plans, avec notamment la possibilité d’actions de groupe contre un responsable de traitement, des sanctions administratives lourdes et de graves impacts sur la réputation.
La nécessité de se mettre en conformité avec le RGPD impacte de nombreux aspects de la vie des sociétés, tels que les ressources humaines, les contrats avec les fournisseurs et les clients, la gestion des prospects, la sécurité informatique et les transferts des informations à l’étranger.
Cependant, le RGPD représente également une opportunité pour les entreprises, et la conformité sera un atout concurrentiel sur plusieurs niveaux. En effet, être privacy friendly sécurise et fidélise la clientèle, dans un cadre commercial où le consommateur est sensibilisé à ses droits.
Parallèlement, la donnée devient une valeur patrimoniale de votre entreprise, qui va augmenter si elle est de qualité, exploitée de manière licite et bien protégée. Ainsi, la mise en conformité et la sécurisation de vos données doit être considérée comme un investissement, de nature à rassurer vos prospects, vos clients, vos fournisseurs et vos investisseurs.
Le RGPD ne doit donc pas être vécu comme un épouvantail (quels que soient les risques encourus), mais plutôt comme un vecteur d’accélération de confiance, de valorisation de la donnée et, partant, de croissance et de création de nouveaux modèles économiques.
Nos avocats DPO en compliance au RGPD et à la protection des données personnelles
Nos équipes d’avocats en protection des données personnelles et compliance au RGPD vous assistent dans votre mise en conformité RGPD. Notre approche consiste en un diagnostic de vos besoins, en fonction de la taille de votre entreprise et de vos activités de traitement, pour ensuite dresser un plan d’actions ajusté et sur-mesure.
La technologie seule peut suffire à assurer votre conformité. Ainsi, nous vous accompagnons dans l’objectif de transparence et de sécurisation des données résultant du RGPD dans vos pratiques internes, vos relations BtoB et BtoC, vos projets de croissance externe et/ou d’adossement financier ou industriel, ainsi que dans la formation de votre personnel.
Nous travaillons en synergie de compétences avec notre réseau d’experts en sécurité informatique afin d’assurer une vision augmentée de la protection de vos données.
Notre méthodologie – les briques de la conformité :
1. Comprendre : Phase formation et sensibilisation
Le RGPD agissant sur le principe de la responsabilité de l’entreprise, la formation du personnel est la clé de la réussite de la conformité. Les actions de formation s’inscrivent dans la démarche de loyauté attendue en cas de faille de sécurité ou de faille dans le processus de mise en conformité.
Le cabinet d’avocats ALTIJ vous aide à sensibiliser vos équipes via nos formations RGPD labellisées par la CNIL et nos outils de sensibilisation pratiques et novateurs, pour aider les organismes à comprendre leurs obligations et à prévenir les risques de sanctions.
Voir notre page formation RGPD dédiée où télécharger notre catalogue de formations (lien vers flyer).
2. Agir : Phase audit, registre et plan d’action
- Identifier le pilote de votre conformité
- Designer vos référents data et/ou votre DPO (Data Protection Officer / délégué à la protection des données) interne, externe et/ou mutualisé ;
- En savoir plus sur nos offres de DPO externe.
- Auditer les traitements des données et établir votre registre des traitements :
- Recensement des données traitées par l’organisme avec le concours de l’ensemble des métiers (RH, marketing, informatique, etc.) ;
- Identification des moyens et de la localisation du stockage et des transferts des données collectées par l’organisme ;
- Identification des acteurs tiers pouvant accéder aux données personnelles traitées ;
- Justification et documentation de la finalité de chacun des traitements et des bases légales ;
- Recommandations sur des délais de conservation ;
- Élaboration du registre des traitements des données.
- Identifier les risques principaux de non-conformité liés à vos traitements de données personnelles ;
- Ordonner et prioriser les actions de compliance à mener (actions organisationnelles, techniques et juridiques)
3. Documenter et Maintenir : Phase documentation juridique
Nos avocats vous aident à établir les éléments documentaires de votre conformité :
- Transparence et information des personnes concernées
- Site internet : mise à jour de votre politique de confidentialité, de votre bandeau cookies, de votre politique de cookies et de l’information accompagnant vos différents formulaires de contact (opt-in newsletter, espace candidats, simulateurs en ligne, etc.) ;
- Ressources humaines : information de chaque membre du personnel sur le traitement de leurs données personnelles.
- Documentation contractuelle
- CGU / CGV :clauses protectrices des données à caractère personnel ;
- politiques de confidentialité, politiques de conservation des données, registre des traitement et durées de conservation
- Sous-traitants : registres, sécurisation de vos contrats de sous-traitance (SaaS, cloud, gestion informatique, marketing direct, paie, etc.) en conformité avec les exigences de l’article 28 du RGPD (« data processing agreement » – DPA) ;
- Accords intra-groupe et/ou avec les partenaires : sécurisation de vos échanges de données avec vos sociétés affiliées et/ou avec vos partenaires commerciaux (banques, investisseurs, franchisés / concessionnaires, partenaires R&D, etc.) via des accords ou politiques identifiant les rôles et responsabilités de chaque partie ;
- Transferts transfrontaliers : encadrement de vos transferts de données en dehors de l’EEE, notamment via la mise en place desclauses contractuelles types (CCT) de la Commission européenne et/ou l’analyse de l’applicabilité de BCRs (binding corporate rules) ; de TIA etc..
- Ressources humaines :charte informatique, annexe BYOD, lanceurs d'alertes , règlement intérieur, géolocalisation contrat de travail le cas échéant.
- Droits RGPD : procédures de gestion des demandes d’exercice des droits RGPD (droit d’accès, de rectification, à l’oubli / effacement, à la portabilité, d’opposition etc.) reçues par l’organisme (clients et salariés) ;
- programme de « data protection by design and by default » a destination de vos services informatiques
- Violations des données : procédures sur les démarches à suivre en cas de faille de sécurité et/ou violation des données personnelles, afin notamment de répondre à vos obligations de notification auprès de la CNIL et des personnes concernées ;
- Formulaires pour permettre l’exercice des droits RGPD.
4. Protéger : Phase DPIA
Si des risques élevés pour les droits et libertés des personnes concernées sont identifiés lors de la phase de diagnostic ( lanceurs d'alertes, géolocalisation, IA etc...) , nos avocats vous accompagnent pour la réalisation d’une ou plusieurs analyses d’impact (« DPIA » ou « Data Protection Impact Assessment ») afin de sécuriser vos activités de traitement clés et de répondre aux exigences de « data protection by design and by default » (protection des données dès la conception et par défaut). Dans ce cadre, nous vous accompagnons dans vos démarches de consultation de la CNIL.
Nos avocats travaillent en collaboration avec vos services internes et directions opérationnelles sur toutes les plateformes accessibles .
Nos désignations en tant que DPO et nos références sont publiques et accessibles en ligne.
Nous travaillons en Français et en Anglais.
Accompagnement sur mesure à la gestion des risques RGPD et à la valorisation de votra actif immatériel :
- Audit de risques et Due diligence Data : Mener des audits de risque data / RGPD , audit de conformité internes/sous-traitants / de la société cible ; programme d’accountability et de préconisation
- Gestion du risque RH data et de la digitalisation du travail : mise à jour de vos chartes informatiques , politiques BYOD, organiser la consultation des IRP lors de la mise en place d’outils de traitement des données ; analyses d’impact sur outils de géolocalisation, surveillance de l’activité des salariés, lanceurs d’alertes , encadrement utilisation des IA génératives de type chat GPT etc…
- Gérer les analyses d’impact ( DPIA ) : lanceurs d’alertes, geolocalisation, surveillance de l’activité des salariés, algorithmes de recrutement
- Gestion du risque de la sous-traitance et cotraitance : Audit des sous-traitants, et de la chaine de la sous traitance : suivi de et mise à jour des contrats et accords d’échanges de données
- Gestion du risque de contrôle CNIL : Gérer les relations avec la CNIL et vous accompagner en cas de contrôles CNIL ;
- Gestion du risque en Cybersécurité : Gérer les violations de données, failles de sécurité, les contentieux, les procédures d’exercice de droits des salariés et usagers , demandes d’accès et d’effacement, opposition, portabilité etc.
- Assistance à notification CNIL , plainte pénale ( loi LOPMI ), recours administratif suite aux condamnations et amendes …
- Gérer et externaliser le risque data en exerçant nous-mêmes les activités de DPO externe