Mise en conformité RGPD

Au-delà de maitriser les risques de sanctions, la mise en conformité au RGPD permet à la fois de structurer son organisation tout en suscitant la confiance de ses clients et partenaires.

Comment se mettre en conformité avec le RGPD ?

Nos avocats en droit de la data

Gérard HAAS
Gérard Haas Fondateur

Notre équipe intervient sous la direction de Gérard Haas, associé fondateur du cabinet HAAS Avocats.

Laurent Goutorbe
Laurent Goutorbe Directeur du Pôle PI
Frédéric PICARD
Frédéric Picard Directeur du Pôle Contentieux
Jean-Philippe SOUYRIS
Jean-Philippe Souyris Chef du Pôle Data

Le RGPD pour susciter la confiance de tous les acteurs

Différenciation concurrentielle, renforcement de la confiance des partenaires et clients, la nouvelle réglementation européenne pour la protection des données s’inscrit dans une logique vertueuse tant sur le plan économique que sur le plan de la protection de la vie privée.

Définir une politique de protection des données constitue désormais, et sans aucun doute, un investissement clé pour favoriser un développement harmonieux de l’entreprise.

RGPD et Secteur privé
Livre blanc

RGPD et Secteur privé

Sécuriser vos traitements

Valoriser vos données

Renforcer la confiance

RGPD et Secteur public
Livre blanc

RGPD et Secteur public

Maitrise - Transparence - Confiance

Pour une transition numérique responsable au sein du secteur public.

Remplissez notre formulaire et nos avocats vous recontacteront pour apporter une solution à votre besoin

Besoin d’une réponse juridique immédiate ? Appelez un de nos avocats pour avoir la réponse en temps réel

Contactez-nous et nous vous donnerons rendez-vous (en visio ou en physique) dans les meilleurs délais avec l’avocat dédié à votre problématique

Le cabinet HAAS Avocats et la mise en conformité RGPD

8 étapes pour une mise en conformité globale avec le RGPD

Le diagnostic

1. Cartographier les traitements

Imposé par l’article 30 du RGPD, le registre des traitements doit indiquer les caractéristiques de l’activité de traitement concernée pour chacune des finalités poursuivies par l’entreprise (gestion du recrutement, prospection commerciale, facturation…).

Il s’agit notamment d’indiquer les données utilisées, les durées de conservation de celles-ci, les destinataires des données, ainsi que les mesures de sécurité associées aux outils de traitements.

Le contrôle

2. Analyser la conformité des traitements et déterminer un plan d’action

Les caractéristiques de chaque traitement doivent être analysées afin de s’assurer de leur conformité à la règlementation.

Différents points de contrôle sont identifiés : détermination des finalités, proportionnalité des données collectées et de la durée de conservation au regard des objectifs du traitement, information des personnes…

Le délégué à la protection des données

3. Désigner un DPO, pilier central des différentes mesures

Le délégué à la protection des données dispose à la fois d’un rôle de conseil, de sensibilisation et de contrôle. Afin d’assurer ces missions, il doit disposer de compétences juridiques et techniques, tout en présentant des garanties d’indépendance.

Cette mission peut également être assurée dans le cadre d’une externalisation.

Les contrats

4. Renforcer son dispositif contractuel concernant les garanties de confidentialité

Les caractéristiques de chaque traitement doivent être analysées afin de s’assurer de leur conformité à la règlementation.

Différents points de contrôle sont identifiés : détermination des finalités, proportionnalité des données collectées et de la durée de conservation au regard des objectifs du traitement, information des personnes…

La sécurité informatique

5. Procédures SSI

Assurer en interne la mise en place d’un Référentiel Sécurité adéquat et mis à jour (Charte Utilisateurs des SI, Politique d’habilitation, Politique de gestion des incidents etc.)

Socle des mesures organisationnelles de sécurité informatique, le référentiel sécurité permet de disposer de mesures opérationnelles fixant les règles et principes d’utilisation du Système d’information et documentant les procédures de traitements des risques et incidents de cybersécurité.

Le pilotage

6. Mettre en œuvre le plan d’action permettant de piloter la mise en conformité

Le pilotage de la mise en conformité est primordial pour que les recommandations issues de l’analyse de conformité soient mises en œuvre ou planifiées.

Nous mettons à disposition une solution de tenue de registre des activités de traitement pour faciliter le suivi des recommandations et du plan d’action.

Les PIA

7. Réaliser des études d’impact

Les analyses d’impact ou PIA (Privacy Impact Assessment) ont vocation à se généraliser et visent les traitements dits « à risque ». Elles permettent aux responsables de traitements, comme aux fournisseurs de solutions de mise en œuvre desdits traitements, d’être en mesure de justifier du niveau de garantie proposé en termes de protection des données.

Il s’agit également de la pierre angulaire de la démarche privacy by design (protection de la vie privée dès la conception) puisque l’analyse d’impact doit être mise en œuvre avant la réalisation du traitement et permet donc de déterminer les mesures adéquates dès la conception.

La sensibilisation des acteurs

8. Former son personnel

Associer et sensibiliser l’ensemble du personnel à la mise en conformité RGPD permet de susciter l’adhésion et la compréhension de ce projet. Cette démarche fait partie intégrante des mesures organisationnelles de protection de la vie privée.

Le cabinet HAAS Avocats dispose de deux labels formation délivrés par la CNIL ainsi que d’un référencement Datadock permettant la prise en charge de ces formations.

Des supports de formations adaptés à chacun peuvent être déployés (formation gamifiée, e-learning, présentiel…)

La mise en conformité avec le RGPD : un projet structurant

La mise en conformité implique de cartographier les traitements de données menés au sein d’un organisme. C’est l’occasion de déterminer notamment :

Si le traitement est réellement nécessaire
Si les flux de donnés mis en place sont pertinents
Si les solutions logicielles sont à jour et présentent des garanties suffisantes
Si les contrats conclus avec les sous-traitants sont suffisamment précis quant à la protection des données
Si des données ne devraient pas être supprimées

Le respect du principe d’accountability et de privacy by design nécessite une prise en compte continue de la vie privée au cours de l’activité de l’entreprise.

La mise en conformité est donc l’occasion de revoir ou créer des processus de coopération entre les services opérationnels, le service informatique et le service juridique, le cas échéant avec le pilotage du délégué à la protection des données.

Remplissez notre formulaire et nos avocats vous recontacteront pour apporter une solution à votre besoin

Besoin d’une réponse juridique immédiate ? Appelez un de nos avocats pour avoir la réponse en temps réel

Contactez-nous et nous vous donnerons rendez-vous (en visio ou en physique) dans les meilleurs délais avec l’avocat dédié à votre problématique