+689 87 72 08 28
leo.peuillot@meta.legal

Vos données personnelles : formation, audit, mise en conformité RGPD

 Les enjeux

Le droit des données personnelles repose principalement sur la Loi Informatique et Libertés du 6 janvier 1978 et le Règlement Général sur la Protection des Données (RGPD), n° 2016/679, du 27 avril 2016.

Au-delà de la maîtrise des risques de sanctions, la mise en conformité au RGPD permet de structurer son organisation tout en suscitant la confiance de ses clients et partenaires.

Une mise en conformité au RGPD suppose d’identifier les grands processus internes à l’entreprise impliquant un traitement de données personnelles. Ces processus correspondent généralement aux services/départements de l’entreprise, notamment :

– Ressources humaines
– Clientèle et marketing
– Fournisseurs et sous-traitants

La mise en conformité est en effet l’occasion de créer ou revoir des processus de coopération entre les services opérationnels, le service informatique et le service juridique.

En raison de son expertise et de sa déontologie, l’avocat est le professionnel le plus adéquat pour répondre aux besoins des organismes en matière de mise en conformité au RGPD.

D’une part, l’analyse d’une situation au regard de textes juridiques constitue le principe même de l’activité de l’avocat. La « mise en conformité » est un processus maîtrisé et réalisé par les avocats, leaders sur ce marché depuis toujours.

D’autre part, les règles déontologiques de l’avocat (secret professionnel, interdiction du moindre conflit d’intérêts, etc) offrent des garanties inégalées aux clients.

Notre offre

META vous accompagne dans votre mise en conformité aux lois et règlementations relatives à la protection des données personnelles.

Notre offre s’appuie sur l’expertise de Léo PEUILLOT en la matière, qui a travaillé en 2018 au Service des outils de la conformité de la Commission nationale de linformatique et des libertés (CNIL), à Paris.

Léo PEUILLOT est par ailleurs membre de l‘Association française des correspondants aux données personnelles (AFCDP), qui constitue au niveau national le plus important réseau de spécialistes en matière de protection des données personnelles et de mise en conformité au RGPD.

Nos prestations peuvent être choisies à l’unité ou dans un package comprenant plusieurs prestations complémentaires, selon vos préférences.

Elles s’organisent en sept volets :

1. Former votre personnel au droit des données personnelles

Associer et sensibiliser l’ensemble du personnel à la mise en conformité RGPD permet de susciter la compréhension et l’adhésion à la démarche.

Nos formations sont destinées à un public varié : elles peuvent être générales (ex : les éléments essentiels du RGPD) ou concrètes (ex : la documentation de la conformité) et également cibler spécifiquement votre domaine d’activité (ex : la conformité RGPD dans le secteur de la santé, des banques, des assurances, de la grande distribution ou dans le secteur public).

Nous organisons des formations, conférences et ateliers sur-mesure.

2. Cartographier les traitements de données

La mise en conformité implique de cartographier les traitements de données menés au sein d’un organisme. Cette étape consiste en la réalisation d’un audit juridique et technique approfondi.

Cette étape permet d’identifier notamment :

          • Les traitements de données personnelles ;
          • Les finalités et la base juridique des traitements ;
          • Les durées de conservation ;
          • Les destinataires des données ;
          • Les risques liés aux traitements de données personnelles ;
          • Les flux de données hors Union européenne ;
          • Les risques spécifiques sur la vie privée ;
          • Les responsables de traitements et les sous-traitants ;
          • Les moyens de sécurisation mis en œuvre ;
          • L’information des personnes concernées.

3. Analyser la conformité des traitements et déterminer un plan d’action

Les caractéristiques de chaque traitement doivent être analysées afin de s’assurer de leur conformité à la règlementation.

Plusieurs points sont étudiés, notamment la proportionnalité des données collectées et de la durée de conservation au regard des objectifs du traitement, l’information des personnes, etc.

Un plan d’action est ensuite élaboré. Ce document présente les objectifs à atteindre et les outils à mettre en place, notamment :

          • Le registre des traitements ;
          • Les analyses d’impact relatives à la protection des données ;
          • La politique de confidentialité ;
          • La documentation permettant l’information et l’exercice des droits des personnes concernées ainsi que leur consentement ;
          • Audit et correction des contrats ayant des aspects « données personnelles », notamment en matière de sous-traitance ;
          • L’accompagnement du délégué à la protection des données ;
          • Des actions concrètes pour assurer la sécurité des données personnelles.

4. Mettre en œuvre le plan d’action permettant de prévenir et traiter les risques

La mise en œuvre du plan d’action implique la rédaction de documents et le développement d’outils et de mesures, notamment :

          • Le registre des traitements ;
          • Les analyses d’impact relatives à la protection des données ;
          • La politique de confidentialité ;
          • La documentation permettant l’information et l’exercice des droits des personnes concernées ainsi que leur consentement ;
          • Audit et correction des contrats ayant des aspects « données personnelles », notamment en matière de sous-traitance ;
          • Des actions concrètes pour assurer la sécurité des données personnelles.

5. Renforcer le délégué à la protection des données

Le délégué à la protection des données (DPD) doit à la fois sensibiliser, conseiller et contrôler son organisme. Afin d’assurer ces missions, il doit disposer de compétences juridiques et techniques, tout en présentant des garanties d’indépendance.

Nous pouvons assister votre DPD interne dans la mise en œuvre de ses missions.

6. Assistance en cas de contrôle ou de contentieux

Nous vous assistons dans vos relations avec la CNIL, en cas de contrôle effectué par celle-ci et dans le cadre de recours contre ses décisions ou son absence de réponse.

Nous intervenons pour vous aider à exercer vos droits (accès, effacement, limitation, rectification, etc), mais également pour faire cesser et sanctionner toute atteinte au droit des données personnelles : recours devant la CNIL, action au pénal, assignation au civil.