Avocat données personnelles (RGPD)
Cabinet d'avocats en RGPD à Paris
Le règlement général sur la protection des données (RGPD) responsabilise les personnes morales qui traitent des données. La collecte et le traitement de données personnelles implique de prendre des mesures fortes afin de garantir une utilisation respectueuse de la vie privée des utilisateurs. Milestone Avocats, cabinet d’avocats en données personnelles, vous accompagnent les entreprises dans leurs démarches de mise en conformité RGPD.
Fort de notre expérience, nous vous accompagnons dans vos démarches de mise en conformité avec le RGPD.
Cabinet d'avocats en protection des données personnelles
L’écosystème des start-ups est de plus en plus dynamique. Les structures se multiplient et leur structuration juridique et financière est de plus en plus sophistiquée. Ces entreprises innovantes sont confrontées à de nombreux défis, surtout en phase de démarrage. Il est donc important de ne pas minimiser les aspects juridiques de leur activités en se mettant en conformité avec le RGPD. Notre équipe d’avocats RGPD vous accompagne.
Quels sont les grands principes du Règlement général sur la protection des données (RGPD) ?
Licéité
Les données personnelles d’une personne ne peuvent être collectées et traitées qu’une fois le consentement de cette personne recueilli de manière expresse.
Exactitude
Pour garantir le caractère exact des données traitées, toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui seraient inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder.
Finalité
Les données ne peuvent être collectées que pour des finalités :
- Déterminées
- Légitimes
Conservation limitée
Les données sont conservées pendant une durée n’excédant pas la durée nécessaire au regard des finalités pour lesquelles elles sont traitées.
Confidentialité
Les données doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris :
- La protection contre le traitement non autorisé ou illicite
- Et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.
Droits garantis aux utilisateurs
Toute personne dispose librement du droit à la portabilité de ses données, du droit d’accès à celles-ci, au droit à la limitation des données, de rectification, d’opposition ou encore du droit à l’oubli.
La réalisation d’une analyse d’impact
Élément central du droit RGPD, le texte rend obligatoire la réalisation d’une analyse d’impact dans plusieurs types d’opérations de traitement mettant en cause des données jugées sensibles (notamment origine raciale ou ethnique, données de santé, données de localisation), se décomposant en plusieurs parties :
- La première partie décrit de manière détaillée le (s) traitement[s) mis en oeuvre (aspects techniques et opérationnels);
- La deuxième partie concerne l’évaluation juridique de la nécessité et de la proportionnalité des traitements au regard des principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) qui sont fixés par la réglementation et doivent être respectés;
- La troisième partie concerne l’étude technique des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts.
Analyse d’impact
L’AIPD est aujourd’hui indispensable pour démontrer la conformité du traitement de données au Règlement général sur la protection des données. Notre équipe d’avocats en données personnelles vous assiste.
1ère partie
Décrit de manière détaillée le(s) traitement(s) mis en oeuvre (aspects techniques et opérationnels);
2ème partie
Concerne l’évaluation juridique de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) qui sont fixés par la réglementation et doivent être respectés;
3ème partie
Concerne l’étude technique des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts.
Qu'est-ce qu'une donnée à caractère personnel ?
Sont considérées comme des données à caractère personnel toutes les données permettant d’identifier ou de rendre identifiable une personne physique.
Ce sont toutes les données permettant d’identifier une personne directement ou indirectement, par référence à un identifiant, tel que :
- Nom
- Numéro d’identification
- Données de localisation
- Identifiant en ligne
- Un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ( art 4 .1 du RGPD )
Il s’agit également de données « pseudonymisées » c’est-à-dire, les données qui ne peuvent plus être attribuées à une personne précise sans avoir recours à des informations supplémentaires.
Certaines données sont toutefois exclues du champ d’application du RGPD.
C’est le cas des données anonymes qui ne permettent pas d’identifier une personne précise.
Quelles structures sont concernées par le RGPD ?
- Toute entreprise hors UE, qui traite des données à caractère personnel de personnes résidant dans l’UE, dés lors que ses activités sont liées à l’offre de biens ou de services ou au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
- Les PME, pour qui les obligations sont toutefois allégées lorsqu’elles emploient moins de 250 salariés.
- Tout établissement, qu’il soit responsable du traitement de données ou sous-traitant, établi sur le territoire de l’Union Européenne (UE).
Votre entreprise doit respecter le RGPD.
Notre cabinet d'avocats en protection des données personnelles vous donne la marche à suivre.
1
Désigner un « Data Protection Officer »
Le règlement impose aux entreprises ou sous-traitants dans certains cas spécifiques de désigner un délégué à la protection des données afin qu’il pilote la conformité interne des entreprises. Au regard de son expertise approfondie en matière de RGPD, nous sommes désignés par de nombreuses entreprises en qualité de DPO (art. 37).
2
Respecter le principe d’« Accountability »
Le responsable de traitement doit être en mesure de prouver, à tout moment, que la protection des données qu’il traite est assurée conformément au règlement. Cela passe notamment par la tenue d’un registre de traitement ( art. 24 ).
3
Respecter les principes de « Privacy by design et by Default »
Dès la conception d’un produit (« by design »), l’entreprise doit prendre en compte les principes de protection des données et s’assurer que par défaut (« by default »), seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement soient traitées.
4
Respecter les droits des utilisateurs
Le droit d’accéder aux données, le droit de rectification, d’opposition, le droit à l’oubli (droit à l’effacement), à la limitation du traitement, à la portabilité des données.
5
Notifier toute violation de données à caractère personnel aux autorités
Toute violation de données à caractère personnel doit être notifiée, le cas échéant par le délégué à la protection des données, aux autorités de contrôle (la CNIL) ainsi qu’aux personnes concernées, selon une procédure identifiée de notification.
Comment se faire accompagner par
un cabinet d'avocats en RGPD ?
Charte informatique
Accord de confidentialité avec les prestataires
Mise en place d’une étude d’impact
Mise en place du consentement des utilisateurs
Liste des processus interne
Liste des risques
Politique de confidentialité
Registre de traitement des données personnelles
Intégration clauses relatives à la sous-traitance
Nos avocats en protection des données personnelles répondent à vos questions.
Pourquoi faut-il rédiger une politique de confidentialité ?
- La politique de confidentialité, également appelée « politique de protection des données personnelles » sert principalement à informer les utilisateurs sur les caractéristiques des traitements de données à caractère personnel que le site internet réalise.
- La politique de confidentialité a également pour vocation d’informer les utilisateurs sur les droits dont ils bénéficient concernant leurs données personnelles.
- Ce document d’information devra être librement accessible sur toutes les pages du site internet.
Quels sont les droits des individus sur le traitement de leurs données personnelles ?
- Les personnes concernées par un traitement de données disposent de plusieurs droits leur permettant de garder la maîtrise des informations les concernant.
- Le Règlement Général sur la Protection des Données (RGPD) permet à chaque individu de bénéficier de droits sur le traitement de ses données personnelles, tels que le droit à l’information, le droit d’opposition, le droit d’accès et de rectification, le droit à la portabilité de leurs données.
- Les entreprises doivent mettre en place une organisation chargée de traiter ce type de demandes.
Quelles sont les conséquences du recours par une entreprise à un sous-traitant, en termes de RGPD ?
- Le responsable de traitement et le sous-traitant doivent organiser leurs rapports et obligations respectives au regard de la protection des données personnelles par le biais d’un contrat ainsi qu’intégrer les mentions obligatoires prévues par l’article 28.3 du RGPD.
- Le responsable de traitement doit également s’assurer que son sous-traitant respecte le RGPD, tient un registre des activités de traitement effectuées pour le compte du responsable de traitement et tient à disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations et permettre la réalisation d’audits.
Est-il possible de procéder à la vente de données à caractère personnel ?
- Il n’existe pas de droit de propriété sur les données personnelles qui supposerait un pouvoir absolu et exclusif sur une chose.
- La règlementation relative à la protection des données personnelles reconnait aux personnes des droits sur leurs données, auquel il n’est pas possible, de renoncer. Ainsi, la vente de données présupposerait une renonciation à ces droits, ce qui impliquerait que les acquéreurs de données seraient libres de les utiliser sans que les personnes auxquelles ces données se rapportent ne puissent plus jamais avoir un droit de regard sur cette utilisation.
- En revanche, le fait d’utiliser ces données comme contrepartie, par exemple, à un service, pourrait être envisageable mais de manière encadrée et notamment par le droit de la consommation et la protection des données personnelles. A ce titre, les personnes concernées devront avoir la maîtrise de leurs données, ce qui passe en premier lieu par l’information de l’utilisation qui en est faite, ainsi que leur consentement dans certains cas.
Quels sont les risques du non-respect par les entreprises du RGPD ?
- L’autorité de régulation de protection des données personnelles française, la Commission Nationale Informatique et Libertés (CNIL), dispose de pouvoirs de contrôle et de sanction des organismes, en cas de manquements au RGPD ou à la loi Informatique et Libertés.
- A l’issue de contrôles ou plaintes, la CNIL peut prononcer des sanctions et notamment des sanctions pécuniaires qui peuvent s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise.
- Ces sanctions peuvent être rendues publiques et impacter considérablement la réputation de l’entreprise.
Pourquoi désigner un délégué à la protection des données ?
- Le délégué à la protection des données est la personne référente en matière de protection des données au sein de son organisme.
- Il a pour mission d’informer et de conseiller l’organisme sur toutes les questions en la matière, de contrôler le respect du règlement et du droit national en matière de protection des données, de coopérer avec la CNIL et d’être le point de contact de celle-ci.
- Si tous les organismes ne sont pas dans l’obligation d’en désigner un, la CNIL recommande fortement de désigner une personne chargée de s’assurer de la mise en conformité au règlement européen.
Quels organismes sont concernés par le RGPD ?
- Tout organisme, peu importe sa taille, son lieu d’implantation et son activité est concerné par la règlementation dès lors qu’il est établi sur le territoire de l’Union européenne, ou que son activité cible des résidents européens.
- Ainsi, une société établie en France qui traite avec des clients d’un autre continent, devra respecter le RGPD, de même qu’une société établie hors de l’Union européenne mais dont l’activité viserait notamment des européens.
Vous avez d'autres questions ?
Savoir-faire
Adepte d’une approche à la fois moderne et pragmatique du droit, l’équipe de Milestone Avocats, cabinet d’avocats en droit des affaires situé à Paris, s’applique à en faire un outil pratique favorisant le développement de l’activité des entreprises, en toute sécurité et au mieux de leurs intérêts juridiques et économiques.
Partenaire privilégié de ses clients, nous les accompagnons tout au long de leur évolution et proposons des solutions créatives et innovantes. Le cabinet veille au respect des valeurs indispensables de rigueur, d’éthique, de confiance, de loyauté et de fidélité.
Le respect du Règlement Général sur la Protection des Données est un enjeu européen majeur, assurant protection, harmonisation et garantie d’une juste régulation des données personnelles.
Ils nous ont fait
confiance
La satisfaction de nos clients est une priorité, nous veillons au respect des valeurs indispensables de rigueur, d’éthique, de confiance et de loyauté.
