175 rue du Jardin Public, 33300 BORDEAUX - 8 place de l'Église, 33125 SAINT-MAGNE 05 56 88 70 19 contact@fb-lex.fr

Protection des données personnelles

Le règlement général européen sur la protection des données (RGPD) entré en vigueur depuis le 25 mai 2018, impose à chaque responsable de traitement ou sous-traitant de données à caractère personnel :

  • d’assurer une protection optimale des données collectées,
  • d’être en mesure de démontrer sa conformité au RGPD.

Désignation d’un délégué à la protection des données

Le responsable du traitement et le sous-traitant désignent obligatoirement un délégué à la protection des données (Article 37 § 1 du RGPD) :

  • Lorsque le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle,
  • Lorsque les activités de base d’une entreprise/structure privée consistent :
    - en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées,
    - ou en un traitement à grande échelle de catégories de données dites sensibles ou de données à caractère personnel relatives à des condamnations et à des infractions pénales.

Mutualisation du délégué à la protection des données

Un groupe d'entreprises peut désigner un seul délégué à la protection des données à condition qu'il soit facilement joignable à partir de chaque lieu d'établissement (RGPD, Article 37 § 2).
Un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes publics, compte tenu de leur structure organisationnelle et de leur taille (RGPD, Article 37 § 3).

Externalisation du délégué à la protection des données

Le DPD peut exercer ses missions sur la base d’un contrat de service (RGPD, Article 37 § 6), ce qui signifie qu’il peut être une personne externe à la structure, publique ou privée.

Le règlement européen impose à chaque responsable de traitement et sous-traitant du responsable de traitement la tenue d’un registre des activités de traitement effectuées sous sa responsabilité (article 30 § 1 et 2 du RGPD).

Les autorités publiques ou organismes publics ont l’obligation de tenir ce registre.

Les structures privées de moins de 250 salariés bénéficient d’une dérogation, sauf si elles effectuent les traitements de données à caractère personnel suivants :

  • des traitements non occasionnels (Gestion des ressources humaines, gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;
  • des traitements susceptibles de comporter un risque pour les droits et libertés des personnes (Systèmes de géolocalisation, de vidéosurveillance, etc.) ;
  • des traitements qui portent sur des données dites « sensibles » ou sur des données se rapportant à des condamnations et des infractions pénales.

La plupart des structures privées sont donc dans l’obligation de tenir ce registre.

En fonction des besoins de votre structure, le cabinet fb lex propose un accompagnement :

  • soit en qualité d’avocat RGPD,
  • soit en qualité de Délégué à la protection des données externalisé.

Pour éviter tout conflit d’intérêt, le cabinet fb lex ne peut intervenir au titre de ces deux qualités pour une même structure.

 

Le cabinet fb lex assure les missions suivantes :

Audit juridique de conformité

  • Réalisation d’un état des lieux pour la cartographie des activités de traitement
  • Revue du respect de la réglementation
  • Proposition d’un plan d’action

Accompagnement à la mise en conformité

  • Rédaction et tenue du registre des activités de traitement
  • Réalisation ou participation aux études d’impact
  • Révision et/ou rédaction des clauses contractuelles spécifiques à la protection des données à caractère personnel
  • Révision et/ou rédaction de la documentation Informatique et libertés
  • Révision et/ou rédaction des mentions obligatoires à faire figurer lors de la collecte des données sur votre site Internet ou sur vos formulaires de contact
  • Mise en place des procédures spécifiques en matière de respect des droits des personnes et de notification des failles de sécurité
  • Constitution du dossier de la conformité

Suivi annuel et documentation en continu de la conformité

  • Suivi des traitements et actualisation du registre des activités de traitement
  • Rédaction du bilan annuel sur les activités de traitement et préconisations
  • Actualisation du dossier de la conformité
  • Réponses aux demandes de conseil adressées par les services opérationnels ou échanges avec des interlocuteurs externes
  • Assistance dans les réponses à apporter en cas d'une réclamation sur l’usage de leurs données par les personnes concernées
  • Assistance dans les contacts avec la CNIL en cas d’incident sur la gestion des données personnelles

S’agissant des diligences de nature purement juridiques susceptibles d’être engagées, notamment la rédaction de documents écrits sur la conformité à la réglementation « informatique et liberté » (note d’analyse, études d’impact, audit, etc.), les avocats bénéficient, conformément aux dispositions des articles 54 et suivants de la loi du 31 décembre 1971, d’un monopole de la consultation juridique.

Ce monopole est assorti de garanties déontologiques importantes pour le responsable de traitement qui souhaitent faire appel à un prestataire externe. Les avocats présentent en effet, outre leurs qualifications professionnelles, une garantie d’indépendance, conformément à l’article 1.1 du règlement intérieur national (RIN) de la profession d’avocat. Cette garantie permet de répondre aux exigences d’indépendance du DPD formulées par la réglementation « informatique et liberté ».

Les avocats sont astreints au secret professionnel et doivent obligatoirement souscrire une assurance responsabilité civile professionnelle afin de prémunir leurs clients contre les conséquences pécuniaires qu’ils encourent du fait de leurs activités (Cf. Document ordinal).

logo fb lex

175, rue du Jardin Public - 33000 BORDEAUX
8, place de l'Église - 33125 SAINT-MAGNE

05 56 88 70 19 contact@fb-lex.fr
HAUT