Expert du droit > RGPD > Le rôle de l’avocat RGPD dans un projet de mise en conformité
Le rôle de l’avocat RGPD dans un projet de mise en conformité
La mise en conformité au RGPD nécessite une expertise technique et juridique. C’est pour cette raison que beaucoup d’organisations font appel à des avocats experts en droit de l’internet et des données personnelles. Mais que fait exactement un avocat RGPD ? Quel est son périmètre d’accompagnement ? Quelles sont les prestations types proposées ?
L’avocat RGPD peut intervenir à 3 niveaux :
- Information, conseil, sensibilisation et audit RGPD.
- Construction et mise en œuvre du plan d’actions de mise en conformité RGPD.
- Représentation en cas de litige avec la CNIL.
Sommaire :
Un rôle d’information et de conseil
L’avocat RGPD est un avocat expert du Règlement général sur la protection des données personnelles et ayant une parfaite maîtrise :
- Du droit de l’internet.
- Du droit des données personnelles.
La première mission d’un avocat RGPD est d’informer et de conseiller les clients qui le sollicitent. Le RGPD est un sujet complexe. L’avocat est d’abord pour là pour expliquer ce qu’est le RGPD et surtout les implications concrètes de ce règlement sur votre entreprise, votre gestion des données, votre site internet. Il répond à vos questions.
L’avocat partage ses connaissances techniques dans des termes clairs pour permettre aux entreprises de comprendre les enjeux du RGPD.
La mise en oeuvre de l’audit RGPD
L’avocat RGPD n’a pas qu’un rôle de conseil. Il peut aussi vous accompagner dans votre projet de mise en conformité. Cela commence par l’audit RGPD, qui consiste à faire un état des lieux de la situation actuelle en matière de collecte et de traitement des données à caractère personnel.
Quelles sont les données personnelles que vous stockez ? Où sont-elles stockées ? Comment sont-elles collectées ? Est-ce qu’il y a recueil du consentement ? Comment les données circulent-elles dans le système d’information ? Comment les données sont ensuite utilisées ? Y a-t-il des données, des bases qui sont partagées avec des prestataires de services ou des logiciels tiers ?
C‘est à toutes ces questions que répond l’avocat RGPD dans le cadre d’un audit, en procédant à un inventaire des données et à une cartographie des traitements. Ce diagnostic permet d’avoir une vue d’ensemble sur les traitements actuels et d’identifier tous les traitements qui ne sont pas conformes au règlement.
Pour en savoir plus sur cette étape incontournable dans un projet RGPD, découvrez notre guide complet sur l’audit RGPD.
La construction du plan d’action RGPD
L’audit RGPD aboutit naturellement sur la construction d’un plan d’action. Il s’agit d’un document qui liste, classe et priorise les actions à mener pour que votre entreprise devienne conforme au RGPD.
L’avocat vous indique les actions prioritaires. Ces actions peuvent être, par exemple :
- La mise en conformité des dispositifs de collecte des données : formulaires, bandeaux cookies…
- La mise en place des mentions légales RGPD.
- La création d’un registre des traitements, qui documente tous les traitements de données réalisés par l’entreprise.
- La mise en place des mesures de sécurité pour prévenir les fuites ou les failles. Par exemple, la gestion des droits d’accès et la mise en place de protocoles de sécurité.
- La sécurisation des contrats liant votre entreprise et les sous-traitants. Sur ce sujet complexe juridiquement (la jurisprudence n’est pas encore stabilisée), découvrez notre guide sur les sous-traitants RGPD.
- L’installation de logiciels pour gérer de manière centralisée les contraintes légales en matière de RGPD. Lire à ce sujet notre article sur les logiciels RGPD.
La formation des responsables de traitement
Les collaborateurs faisant du traitement de données personnelles doivent être sensibilisés et formés aux règles du RGPD et aux nouveaux process impliqués par le règlement.
Il est essentiel que votre personnel adhère et comprenne la finalité du projet.
Certains avocats RGPD proposent des modules de formation à leurs clients et disposent de labels (Datadock, CNIL…). Les formations peuvent être délivrées en présentiel, en visio ou sous forme de e-learning.
La rédaction de documents légaux
Nous avons déjà entrevu ce rôle de l’avocat RGPD plus haut. Un avocat RGPD peut vous accompagner dans la rédaction des différents documents à valeur juridique liés au règlement général sur la protection des données personnelles :
- La politique de confidentialité des données personnelles,
- La politique de gestion des cookies,
- Les formulaires de collecte de données à caractère personnel.
- Les clauses relatives à la sécurité des données et à la transparence des traitements.
- Les contrats avec vos sous-traitants : le prestataire en charge de la maintenance de votre site internet, les éditeurs de logiciels dans lesquels sont stockées les données personnelles, votre hébergeur web…
Les analyses d’impact (AIPD)
Pour la mise en œuvre de certains traitements dits “à risque”, il est obligatoire de procéder au préalable à une analyse d’impact. C’est ce que l’on appelle l’AIPD : l’analyse d’impact relative à la protection des données.
Ces analyses visent à s’assurer que les traitements que l’entreprise envisage de mettre en œuvre sont conformes au RGPD.
Une analyse d’impact comporte :
- Un volet juridique. Il s’agit de s’assurer que le traitement est justifié au regard des principes et droits fondamentaux : finalité, durées de conservation, information et droits des personnes.
- Un volet technique. Il s’agit d’analyser les risques en matière de sécurité des données et d’atteinte à la vie privée.
L’avocat RGPD peut vous accompagner sur le volet juridique, voire également sur le volet technique s’il travaille avec des partenaires techniques.
L’accompagnement en cas de contentieux avec la CNIL
L’avocat RGPD peut enfin vous accompagner en cas de procédure contentieuse avec la Commission Nationale de l’Informatique et des Libertés (CNIL) liée à un manquement aux obligations relatives au RGPD.
Les sanctions en cas de violation du RGPD peuvent s’élever à plusieurs centaines de milliers d’euros. Il est donc fortement conseillé de se faire accompagner en cas de litige. Pour aller plus loin, découvrez notre guide complet sur les contrôles de la CNIL et les sanctions.
👉 Restez informé et soyez averti dès la publication de nouveaux articles.
Menu RGPD : Guide complet
Comment pouvons-nous vous aider ?
FAQ : Divorce, droit de la famille
Cette procédure peut conduire à des condamnations sous astreinte et des amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.
Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €