Avomedias

Avocat en données personnelles

Notre cabinet d'avocat intervient en droit des données à caractère personnel et vous conseille sur l’ensemble des problématiques liées aux nouvelles obligations qui incombent à tout organisme, suite à l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD).

Nos prestations

Mise en conformité RGPD

Notre cabinet vous accompagne tout au long du processus de mise en conformité à la règlementation relative au droit des données à caractère personnel et plus précisément au nouveau Règlement européen.***

Audit du respect des règles en vigueur

Nous vous proposons d’auditer votre organisme pour établir un état des lieux afin de vous rendre conforme à la législation en vigueur. En cas de violation des obligations prévues par cette nouvelle règlementation, la CNIL peut en effet prononcer des sanctions pécuniaires.

Accompagnement en cas de contentieux CNIL

Nous vous accompagnons également au cours de la procédure contentieuse afin de diminuer voire d’éviter toute sanction, pécuniaire ou non.

Demandez un devis

L’équipe du Cabinet Avomedias répond à vos questions. Exposez-nous votre situation dans le cadre d'un premier rendez-vous afin d'auditer votre dossier et vous soumettre un devis précis.

Accompagnement et mise en conformité de votre entreprise au nouveau Règlement RGPD

Notre cabinet vous accompagne tout au long du processus de mise en conformité à la règlementation applicable en matière de droit des données à caractère personnel et plus précisément au nouveau Règlement Général sur la Protection des Données (RGPD).

Nous vous proposons d’auditer votre organisme pour établir un état des lieux afin de vous rendre conforme à la législation en vigueur.

Nos prestations se matérialisent notamment par :

mise-en-conformite-rgpd

Une visite dans vos locaux afin d’effectuer un audit complet des traitements de données à caractère personnel mis en œuvre dans votre entreprise

Votre accompagnement dans la cartographie des traitements et l’établissement de registres de traitements

Le conseil et la gestion des risques éventuellement engendrés par les traitements de données à caractère personnel

La rédaction des documents juridiques nécessaires à la mise en conformité RGPD

L’encadrement des éventuels transferts de données vers des pays situés hors de l’Union européenne

L’accompagnement dans la désignation d’un DPO, si nécessaire

L’établissement de la documentation prouvant votre conformité

Quelles sont les étapes de la mise en conformité RGPD ?

Sans que cette liste ne soit considérée comme exhaustive, la mise en conformité RGPD se réalise en plusieurs étapes.

La fonction de délégué à la protection des données a été instaurée par RGPD. Elle est obligatoire dans certains cas et constitue en elle-même l’une des étapes de la mise en conformité d’une entreprise au RGPD.

L’article 37 du RGPD prévoit qu’un organisme responsable de traitement ou sous-traitant devra désigner un DPO lorsque :

  • Un traitement de données à caractère personnel est effectué par une autorité publique ou un organisme public
  • En raison de leur nature, leur portée et leurs finalités, les traitements de données à caractère personnel effectués par l’organisme exigent un suivi régulier et systématique à grande échelle des personnes
  • L’organisme effectue un traitement à grande échelle de données relatives à des condamnations pénales et à des infractions, ou de données dites sensibles (selon l’article 9 du RGPD révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses, philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques, les données de santé ou la vie ou l’orientation sexuelle).

Dans tous les autres cas, la désignation d’un délégué à la protection des données n’est pas obligatoire mais vivement recommandée. Le DPO sera la personne chargée de veiller et d’assurer cette mise en conformité.

Conformément à l’article 30 du RGPD, chaque responsable de traitement est tenu de tenir un registre des traitements mis en œuvre dans son organisme. Ce registre doit détailler l’identité du responsable de traitement, les finalités du traitement, les catégories de personnes concernées, les destinataires des données, si ces données font l’objet d’un transfert hors de l’Union européenne, les délais de conservation ainsi que les mesures de sécurité prises.

Ce registre doit être conservé au sein de la documentation de mise en conformité RGPD tenue à la disposition de la CNIL et régulièrement mis à jour.

La mise en conformité RGPD comprend également la mise en œuvre de mesures techniques et organisationnelles au sein de l’organisme afin de garantir la sécurité du traitement de données à caractère personnel effectué (article 32 du RGPD).

La sécurité physique des données à caractère personnel mais également numérique doit être assurée par le responsable de traitement. Des mesures de pseudonymisation, de chiffrement des données, de confidentialité ou autres doivent être mises en œuvre.

Toute violation de données doit être notifiée à la CNIL dans un délai 72 heures ainsi qu’à la personne concernée si cette violation a engendré ou est susceptible d’engendrer un risque élevé pour ses droits et libertés.

De manière générale, une analyse d’impact devra être effectuée avant la mise en œuvre d’un traitement de données à caractère personnel lorsque celui-ci est susceptible de présenter un risque élevé pour les droits et libertés des personnes notamment par le recours à de nouvelles technologies et compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

L’article 35 du RGPD prévoit qu’une analyse d’impact est requise lorsque le traitement de données à caractère personnel permet :

  • L’évaluation systématique et approfondie d’aspects personnels des personnes
  • Le traitement à grande échelle de données dites sensibles ou relatives à des condamnations pénales
  • La surveillance systématique à grande échelle d’une zone accessible au public.

Les personnes concernées par le traitement de données mis en œuvre par un organisme disposent, en vertu de la loi Informatique et libertés, de certains droits.

Les personnes concernées ont notamment des droits d’information, d’accès aux données, de rectification, d’effacement, de limitation du traitement, d’opposition, de retrait de leur consentement ou encore de portabilité.

Le responsable de traitement est tenu de veiller à l’information effective des personnes et de mettre en œuvre un processus permettant l’exercice effectif des droits. Selon le traitement mis en œuvre, cette information comportera certaines spécificités.

Tout transfert de données à caractère personnel en dehors de l’Union européenne doit faire l’objet d’un encadrement juridique spécifique prévu par le RGPD.

Par principe, les États membres de l’Union européenne sont réputés respecter un niveau de protection adéquat au Règlement européen et ne nécessitent pas dispositions particulières.

Pour les autres pays, à défaut de décision d’adéquation permettant de s’assurer que le pays en question dispose d’un niveau suffisant de protection des données à caractère personnel, certaines mesures doivent être mises en œuvre.

Les transferts de données vers des pays situés hors de l’Union européenne et ne faisant pas l’objet d’une décision d’adéquation, doivent être encadrés par des clauses contractuelles types ou des Binding coporates rules (BCR).

La mise en conformité RGPD s’effectue également sur le site internet de votre entreprise qui doit respecter les principes de sécurité et d’information des personnes concernées.

Doivent notamment figurer sur le site, des mentions légales, une politique de confidentialité, une politique de cookies si vous en utilisez ou encore un bandeau cookies permettant d’informer et de recueillir le consentement de l’internaute.

Notre cabinet vous accompagne et vous conseille sur l’ensemble des mesures à mettre en œuvre pour encadrer les traitements de données à caractère personnel de votre entreprise. Nous vous rédigeons l’ensemble des documents juridiques permettant de mettre en conformité votre entreprise à la législation.

Les questions fréquentes sur le RGPD

Dans le cadre de la mise en place d’une newsletter et envoyer des offres spéciales à votre clientèle, il faut avant tout que vos clients aient accès à un formulaire d’inscription. Pour cela il faut ajouter une mention qui va indiquer à l’utilisateur qu’il recevra des offres marketing sur son adresse mail et recueillir son consentement dans le but de respecter le principe de finalité de la collecte. Il est nécessaire également de prévenir votre client quant à sa possibilité de se désinscrire et lui indiquer de quelle manière il peut le faire dans le corps de votre mail Newsletter. En revanche, , le RGPD interdit les appels d’offres pour influencer le prospect dans son choix. Vous ne pouvez pas proposer une remise à l’internaute s’il s’inscrit à votre newsletter, le consentement doit être total et ne peut être manipulé.

Le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal. Il arrive cependant dans les structures ou les dirigeants ne peuvent pas assumer le rôle dans les faits qu’un pilote RGPD soit désigné en interne. La désignation d’un DPO vient également épauler le responsable de traitement lorsqu’il est utile d’en désigner dans l’application du RGPD dans l’entreprise. Pour en savoir plus, visitez la page sur le RGPD DPO

Pour répondre à cette question, il faut se demander si le site a mis à la disposition du public des mentions légales, une politique de confidentialité, une politique des cookies et un bandeau cookies tout conforme à la législation en vigueur.

Le droit à l’oubli permet selon l’article 17 du RGPD à la personne concernée d’avoir le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais. Il a été consacré par l’arrêt « GOOGLE SPAIN » CJUE du 13 mai 2014 qui a reconnu que les personnes physiques sont en droit, à certaines conditions, de demander à un moteur de recherche de déréférencer les liens renvoyant à des données à caractère personnel les concernant.

La mise en conformité n’est pas soumise à une durée spécifique de mise en œuvre, elle est dépendante de la réactivité des différents acteurs intervenants (entité, cabinet d’Avocats) mais aussi de la taille de l’entreprise, du nombre de salariés etc. Nous sommes à votre écoute pour mettre en place le RGPD au sein de votre entité, en faisant en sorte d’être le plus réactif dans ces travaux de mise en conformité.

Le RGPD est entré en vigueur le 25 mai 2018, L’adaptation du droit français au nouveau cadre européen s’est faite en plusieurs étapes :
- Modifications de la loi « Informatique et Libertés » par la loi du 20 juin 2018, puis de son décret d’application, par décret du 1er août 2018 ;
- Réécriture et mise en cohérence de cette loi, par ordonnance du 12 décembre 2018 ;
- Elaboration d’un nouveau décret d’application de la loi, daté du 29 mai 2019 et entré en vigueur le 1er juin.

Le recueil du consentement doit être effectué dans le respect des articles 4 et 7 du RGPD, il est le cœur de la réglementation sur la protection des données. Pour en savoir plus, consultez notre page sur le Privacy by design / default

Les rôles et missions de l’avocat en RGPD et données personnelles

La loi Informatique et Liberté et le RGPD

Loi Informatique et Liberté


L’article premier de la loi Informatique et Libertés du 6 janvier 1978 dispose que « l'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». A la suite de l’affaire SAFARI de 1974, la France s’est dotée d’une nouvelle règlementation visant à garantir le respect de la vie privée et plus particulièrement des données à caractère personnel, de chaque citoyen.

Plus récemment, la loi du 20 juin 2018 relative à la protection des données personnelles ainsi que l’ordonnance du 12 décembre 2018 ont adapté la loi Informatique et Libertés de 1978 au nouveau Règlement général à la protection des données (RGPD).

Mise en conformité RGPD


Depuis l’entrée en vigueur du RGPD le 25 mai 2018, tous les organismes sont tenus de se mettre en conformité. En tant qu’avocat RGPD nous vous proposons de vous mettre en conformité avec cette nouvelle législation.

Nous effectuerons notamment une visite dans vos locaux afin d’auditer les traitements de données à caractère personnel mis en œuvre dans votre entreprise à la suite de laquelle nous vous :

  • Accompagnerons dans la cartographie des traitements et l’établissement de registres de traitements
  • Conseillerons sur la gestion des risques éventuellement engendrés par les traitements de données à caractère personnel
  • Rédigerons les documents juridiques nécessaires à la mise en conformité RGPD
  • Encadrerons les éventuels transferts de données vers des pays situés hors de l’Union européenne
  • Accompagnerons dans la désignation d’un DPO, si nécessaire
  • Établirons de la documentation prouvant votre conformité

La responsabilisation des acteurs

Déclaration CNIL


Avant l’entrée en vigueur du RGPD, un régime de déclaration à la CNIL était en vigueur. En fonction du traitement de données à caractère personnel mis en œuvre au sein de l’organisme, une déclaration normale, simplifiée ou une demande d’autorisation devait être effectuée auprès de la CNIL.

Aujourd’hui, l’article 24 du RGPD est venu remplacer ce système par un principe d’Accountability ou de responsabilisation des organismes.

Désormais, le responsable de traitement est tenu de mettre en œuvre et de démontrer que toutes les mesures techniques et organisationnelles nécessaires à assurer la conformité du traitement de données à caractère personnel au RGPD ont été effectuées.

L’avocat données personnelles vous oriente dans cette mise en œuvre et vous aide à établir la documentation nécessaire à la preuve de votre mise en conformité.

Le délégué à la protection des données (DPO)


Le RGPD énumère les cas où la désignation d’un DPO est obligatoire. Dans les autres cas, bien que non obligatoire, cette désignation est vivement recommandée.

Lorsqu’il a été désigné par l’organisme, le DPO veillera au respect et à la bonne application de la règlementation en matière de données à caractère personnel au sein de l’organisme.

Il prend part aux questions portant sur le domaine. Il est l’interlocuteur privilégié de la CNIL, informe et conseil le responsable de traitement et contrôle la conformité de l’organisme au droit applicable.

En tant qu’avocat données personnelles, nous vous conseillons sur l’opportunité de désigner un DPO. Dans tous les cas, cette fonction peut être exercée par un avocat, en externe.

Nous pouvons ainsi être désignés comme délégué à la protection des données de votre organisme. Dans ce cas, nous nous chargerons de vous accompagner et d’effectuer l’ensemble des obligations et missions incombant au délégué à la protection des données.

De par sa profession, l’avocat DPO présente les garanties nécessaires à la bonne exécution des missions de délégué à la protection des données. Nos obligations déontologiques, notamment d’indépendance et de secret professionnel, nous permettent d’être une alternative privilégiée à la désignation d’un DPO interne.

Sanction RGPD en cas de non-conformité

Notre cabinet d’avocat données personnelles, vous accompagne tout au long de votre mise en conformité pour éviter toute sanction éventuelle de la CNIL.

La CNIL a en effet la possibilité de prononcer une amende administrative. Avec l’entrée en vigueur du RGPD, le montant des amendes a été considérablement alourdi.

Désormais, le montant des sanctions peut, selon les cas, s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.

La CNIL peut également :

  • Prononcer un avertissement visant à informer l’organisme que le traitement de données à caractère personnel qu’il effectue viole le RGPD
  • Prononcer un rappel à l’ordre
  • Enjoindre de mettre les traitements de données à caractère personnel en cause, en conformité et éventuellement sous astreinte
  • Limiter temporairement ou interdire définitivement un traitement
  • Suspendre les flux de données en dehors de l’Union européenne

Exemples de la vidéosurveillance et de la géolocalisation

Conformément au RGPD, les dispositifs de vidéosurveillance et de géolocalisation constituent des traitements de données à caractère personnel.

Dès lors, un certain nombre d’obligations doivent être respectées par l’organisme les mettant en œuvre.

Pour le dispositif de vidéosurveillance


Les caméras de vidéosurveillance ne doivent notamment pas être placées de sorte à filmer en continu les salariés sur leur poste de travail, ou dans des lieux réservés au repos. La durée de conservation des images de vidéosurveillance ne doit pas dépasser un mois.

A titre d’illustration, la société UNIONTRAD COMPANY a fait l’objet d’une sanction de 20 000 euros pour avoir mis en place un dispositif de vidéosurveillance permettant une surveillance constante de ses salariés sur leur poste de travail.


Délibération SAN-2019-006 du 13 juin 2019

Pour le dispositif de Géolocalisation


Les salariés doivent être informés de son installation, de leur droit d’accès aux données les concernant ainsi que de la possibilité de désactiver la géolocalisation en dehors du temps de travail. La durée de conservation des données ne doit pas dépasser deux mois.

Une responsabilisation des acteurs

La suppression de l’obligation de déclaration préalable à la CNIL

Avant l’entrée en vigueur du RGPD, un régime de déclaration à la CNIL était en vigueur. En fonction du traitement de données à caractère personnel mis en œuvre, une déclaration normale, simplifiée ou une demande d’autorisation devait être effectuée auprès de la CNIL.

Avec l’entrée en vigueur du RGPD le 25 mai 2018, l’ensemble de ces formalités ne sont plus requises.

Les déclarations auprès de la CNIL ont été supprimées.

Le principe d’Accountability

mise-en-conformite-rgpd-02

Le principe d’Accountability ou de responsabilisation des organismes, prévu à l’article 24 du RGPD, est venu remplacer le système de déclaration CNIL.

Désormais, le responsable de traitement est tenu de mettre en œuvre et de démontrer que toutes les mesures techniques et organisationnelles nécessaires à assurer la conformité du traitement de données à caractère personnel au RGPD ont été effectuées.

Pour cela, le responsable de traitement constitue une documentation permettant de prouver la mise en conformité RGPD de son organisme.

Une plus grande responsabilité incombe aux entreprises qui doivent mettre en place des processus internes démontrant leur respect à la législation. Cette documentation est tenue à la disposition de la Cnil et transmise en cas de demande. Elle est composée du registre des traitements, des analyses d’impact, des documents encadrant les transferts de données à caractère personnel, de l’information des personnes et des contrats modifiés de manière à prendre en compte la nouvelle législation

L’encadrement des relations entre responsable de traitement et sous-traitant

Selon l’article 28 du RGPD, un responsable de traitement est tenu de s’assurer que son sous-traitant présente les « garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées » de manière à ce que le traitement de données à caractère personnel soit conforme au RGPD.

Les contrats de sous-traitance devront dès lors comporter des dispositions ou un avenant encadrant et protégeant les données à caractère personnel concernées par le traitement mis en œuvre.

Me Steve OUTMEZGUINE

Me Steve OUTMEZGUINE

Fondateur du Cabinet Avomedias

Contactez nous

contact@avomedias.law
01 84 14 52 02

Notre adresse

47 Avenue Hoche
75008 Paris

Prendre rendez-vous

Prenez rendez-vous par téléphone
Du lundi a vendredi de 9h a 19h

Nous écrire

Contactez-nous

Notre cabinet vous accompagne sur toutes les problématiques liées aux données personnelles et propriété intellectuelle

Avocat en données personnelles et de votre mise en conformité RGPD

Avocat RGPD et des données personnelles

01 84 14 52 02

Avec votre consentement nous utilisons des cookies pour faciliter votre expérience avec nos services et analyser notre trafic. Vous pouvez gérer ou retirer votre consentement à tout moment. Vous pouvez paramétrer les cookies en cliquant sur le bouton ci-dessous. Pour plus d’informations sur l’utilisation des cookies, vous pouvez consulter notre Politique des cookies.