Le rôle de l’avocat RGPD dans un projet de mise en conformité

Un rôle d’information et de conseil

L’avocat RGPD est un avocat expert du Règlement général sur la protection des données personnelles et ayant une parfaite maîtrise :

• Du droit de l’internet.
• Du droit des données personnelles.

La première mission d’un avocat RGPD est d’informer et de conseiller les clients qui le sollicitent. Le RGPD est un sujet complexe. L’avocat est d’abord pour là pour expliquer ce qu’est le RGPD et surtout les implications concrètes de ce règlement sur votre entreprise, votre gestion des données, votre site internet. Il répond à vos questions. 

L’avocat partage ses connaissances techniques dans des termes clairs pour permettre aux entreprises de comprendre les enjeux du RGPD.

La mise en oeuvre de l’audit RGPD

L’avocat RGPD n’a pas qu’un rôle de conseil. Il peut aussi vous accompagner dans votre projet de mise en conformité. Cela commence par l’audit RGPD, qui consiste à faire un état des lieux de la situation actuelle en matière de collecte et de traitement des données à caractère personnel. 

Quelles sont les données personnelles que vous stockez ? Où sont-elles stockées ? Comment sont-elles collectées ? Est-ce qu’il y a recueil du consentement ? Comment les données circulent-elles dans le système d’information ? Comment les données sont ensuite utilisées ? Y a-t-il des données, des bases qui sont partagées avec des prestataires de services ou des logiciels tiers ?

C‘est à toutes ces questions que répond l’avocat RGPD dans le cadre d’un audit, en procédant à un inventaire des données et à une cartographie des traitements. Ce diagnostic permet d’avoir une vue d’ensemble sur les traitements actuels et d’identifier tous les traitements qui ne sont pas conformes au règlement.

La construction du plan d’action RGPD

L’audit RGPD aboutit naturellement sur la construction d’un plan d’action. Il s’agit d’un document qui liste, classe et priorise les actions à mener pour que votre entreprise devienne conforme au RGPD.

L’avocat vous indique les actions prioritaires. Ces actions peuvent être, par exemple :

• La mise en conformité des dispositifs de collecte des données : formulaires, bandeaux cookies…
• La mise en place des mentions légales RGPD.
• La création d’un registre des traitements, qui documente tous les traitements de données réalisés par l’entreprise. 
• La mise en place des mesures de sécurité pour prévenir les fuites ou les failles. Par exemple, la gestion des droits d’accès et la mise en place de protocoles de sécurité.
• La sécurisation des contrats liant votre entreprise et les sous-traitants. Sur ce sujet complexe juridiquement (la jurisprudence n’est pas encore stabilisée), découvrez notre guide sur les sous-traitants RGPD.
• L’installation de logiciels pour gérer de manière centralisée les contraintes légales en matière de RGPD. Lire à ce sujet notre article sur les logiciels RGPD.

La formation des responsables de traitement

Les collaborateurs faisant du traitement de données personnelles doivent être sensibilisés et formés aux règles du RGPD et aux nouveaux process impliqués par le règlement. 

Il est essentiel que votre personnel adhère et comprenne la finalité du projet. 

Certains avocats RGPD proposent des modules de formation à leurs clients et disposent de labels (Datadock, CNIL…). Les formations peuvent être délivrées en présentiel, en visio ou sous forme de e-learning.

La rédaction de documents légaux

Nous avons déjà entrevu ce rôle de l’avocat RGPD plus haut. Un avocat RGPD peut vous accompagner dans la rédaction des différents documents à valeur juridique liés au règlement général sur la protection des données personnelles :

• La politique de confidentialité des données personnelles,
• La politique de gestion des cookies,
• Les formulaires de collecte de données à caractère personnel.
• Les clauses relatives à la sécurité des données et à la transparence des traitements.
• Les contrats avec vos sous-traitants : le prestataire en charge de la maintenance de votre site internet, les éditeurs de logiciels dans lesquels sont stockées les données personnelles, votre hébergeur web…

Les analyses d’impact (AIPD)

Pour la mise en œuvre de certains traitements dits “à risque”, il est obligatoire de procéder au préalable à une analyse d’impact. C’est ce que l’on appelle l’AIPD : l’analyse d’impact relative à la protection des données. 

Ces analyses visent à s’assurer que les traitements que l’entreprise envisage de mettre en œuvre sont conformes au RGPD. 

Une analyse d’impact comporte :

• Un volet juridique. Il s’agit de s’assurer que le traitement est justifié au regard des principes et droits fondamentaux : finalité, durées de conservation, information et droits des personnes.
• Un volet technique. Il s’agit d’analyser les risques en matière de sécurité des données et d’atteinte à la vie privée.

L’avocat RGPD peut vous accompagner sur le volet juridique, voire également sur le volet technique s’il travaille avec des partenaires techniques.

L’accompagnement en cas de contentieux avec la CNIL

L’avocat RGPD peut enfin vous accompagner en cas de procédure contentieuse avec la Commission Nationale de l’Informatique et des Libertés (CNIL) liée à un manquement aux obligations relatives au RGPD.

Les sanctions en cas de violation du RGPD peuvent s’élever à plusieurs centaines de milliers d’euros. Il est donc fortement conseillé de se faire accompagner en cas de litige. Pour aller plus loin, découvrez notre guide complet sur les contrôles de la CNIL et les sanctions.