Mise en conformité RGPD : l'agence, l'avocat et le quiz
Lever les yeux au ciel en expirant ou regarder ses pieds en esquivant les regards… faites le test de poser la question fatidique “Qui parmi vous est en conformité RGPD” et vous aurez majoritairement ces deux attitudes d’esquives. En même temps, c’est normal, car le Règlement Général sur la Protection des Données (RGPD ou GDPR pour les anglais General Data Protection Regulation) est une toute fraîche réglementation sortie du droit européen pour imposer aux nations une nouvelle façon de faire pour la protection des droits des personnes et des libertés individuelles en rapport avec le digital.
Terminée la sacro-sainte formalité de déclaration à la CNIL - loi informatique et liberté qui date de 1979 soit dit en passant - n’était-il en effet pas temps de réformer la protection des données personnelles quand on voit ce que les entreprises en font lorsque ce n’est pas encadré ?
Libéralisme effréné au risque de compromettre la protection des droits des citoyens et de leurs données personnelles ou bien échanges plus ou moins régulés dans un monde civilisé dans lequel les entreprises peuvent commercer de façon plus éthique et conventionnelle.
Finalement, sans s’en rendre trop compte, nous sommes passés dans une nouvel ère, sobrement appelée ère post-RGPD, on pourra dire dans 20 ans qu’on y était, et on pourra voir si cette évolution aura été bénéfique pour la protection des données personnelle des individus.
Présentée comme cela, pourquoi les gens font l’autruche sur la mise en place de la conformité RGPD ? Plusieurs raisons à cela. Tout d’abord c’est un sujet assez technique. Si chacun a essayé de comprendre de quoi le RGPD retourne, tout le monde a saisi qu’il s’agit de protection des données personnelles, oui mais c’est-à-dire ? Il suffit de survoler les documents que la CNIL met à disposition pour être perdu. C’est long et on ne comprend pas bien à la première lecture. Demandez à un chef de produit, un commercial ou à un développeur de lire 257 pages sur la protection des données personnelles, on ne donne pas cher de votre peau !
Ensuite, le RGPD pour la protection des données personnelles amène son lot de termes dont on ne serait bien passé : registre des traitements, PIA, DPO, cartographie, des mots qu’on n’arrive même pas à traduire en français comme “accountability” ou “privacy by design”, ou encore des mots qu’on cherche dans le dictionnaire comme “licéité”, il faut vraiment s’accrocher pour garder des survivants dans les entreprises pour prendre le sujet du RGPD à bras le corps.
Pour ces rares survivants, que comprennent t-il ? Ils saisissent que le RGPD n’est pas l’affaire d’une seule personne mais d’un collectif. Par facilité, certains renverraient simplement la patate chaude au DSI, au DAF, au département juridique, enfin à quelqu’un d’autre du type “PI. A mettre en place asap”. Sauf que ce n’est pas aussi simple. Pour une mise en conformité RGPD en bon et dû forme, rien de tel que la complémentarité d’un ensemble d’acteurs qui sont : le chef de produit, le responsable technique, le responsable juridique ou l’avocat spécialisé en droit de la propriété intellectuelle ou du RGPD, le tout piloté par le bien nommé Délégué à la Protection des Données (DPO).
Enfin, tout dépend du type d’entreprise, de sa taille, de son influence, cependant qu’il s’agisse d’employés ou de sous-traitant, ces acteurs doivent travaillent en étroite collaboration pour lancer la mise en conformité RGPD et rentrer “dans les clous”.
Car s’il y a bien quelque chose que les chefs d’entreprise ou tout un chacun a bien saisi du premier coup, c’est le risque encouru en cas de non mise en conformité RGPD. Soit 4% de son chiffre d’affaires (sur 1 année) dans la limite de 20M d’euros d’amende.
En tant qu’agence digitale, nous avons tout d’abord audité notre propre système de traitement des données personnelles et mis en place un plan de route vers une mise en conformité.
Nous avons également un devoir de conseil envers nos clients sur le sujet et pour cela, nous nous sommes entourés d’experts et notamment d’un avocat spécialisé en droit de la protection de la propriété intellectuelle et de la protection des données personnelles, de fait du RGPD.
Notre partenaire Avocat spécialisé RGPD
Le cabinet parisien FLV & Associés, par l’intermédiaire de Maître Stéphane Salembien, est le partenaire de l’agence MG Mobile pour intervenir sur les dossiers de mise en conformité RGPD de nos clients.
Quelques mots sur notre partenaire cabinet d’avocat
Maître Stéphane Salembien possède une expertise sur trois principaux volets :
- la mise en place de contrats de distribution, dans une logique de construction de nouveau business. C’est notamment ici que sa connaissance du RGPD est valorisante.
- le contentieux (c’est quand on va au tribunal).
- la mise en place de négociations en précontentieux (c’est quand on essaie d’éviter d’aller jusqu’au tribunal).
En d’autres termes, l’expertise de notre avocat partenaire s’applique dans le cadre de la mise en place juridique des nouveaux business physique mais aussi numérique, pour lesquels il est obligatoire de prévoir de la documentation de type contractuelle ou réglementaire comme des conditions générales d’utilisations ou une charte des données personnelles par exemples, le tout en étant éclairé d’une bonne dose de connaissances du droit de protections des données dans le cadre du RGPD.
Vous l’aurez compris, il s’agit de prévoir, d’anticiper, et construire un business stable et perrein dans la sérénité du RGPD.
Dans le cas où un contrôle de la CNIL interviendrait, son expérience et son expertise en contentieux sera d’un précieux recours pour régler le dossier.
Les points forts de notre partenaire Avocat spécialisé RGPD
La réactivité, l’investigation, le synthétique sont la marque de fabrique de Maître Stéphane Salembien.
Un besoin d’interactivité au demeurant très sympathique ont font un allié de circonstance lorsqu’on travaille sur un sujet tel que l’application des règles du RGPD pour son entreprise.
Il va creuser le sujet de votre activité, de votre concept pour un rendu synthétique avec une vision clairvoyante. C’est ce qu’il appelle sobrement “une vision d’ensemble” qui lui permet de mettre sa palette d’expertises au service de la problématique de l’entreprise.
Qui peut faire appel à notre avocat spécialisé RGPD ?
En vérité, il n’y a pas de règles précises car la grande majorité des entreprises étant à but commercial, des données sont collectées. Dès lors, ne pas s’en préoccuper reviendrait à ne pas être en conformité RGPD. De fait, et parce que tout type d’entreprise n’a pas en son sein des spécialistes en RGPD, nous pouvons intervenir pour des grandes entreprises du CAC 40 pour un accompagnement de mise en conformité RGPD comme pour les startups en création qui ont besoin d’aller vite tout en respectant le cadre légal.
De notre expérience en agence digitale, de nombreuses entreprises n’ont pas de services juridiques internalisées (startup, pure players, TPE…) et l’aide de notre avocat partenaire spécialisé RGPD est fortement appréciée. Cela permet de mettre un cadre, de rentrer dans le process, de faire les choses à son rythme, mais au moins de traiter le sujet et de le prendre à bras le corps.
Super, mais qu’est-ce qu’une démarche simple de mise en conformité RGPD ?
Dans le cadre de la protection des données personnelles, la première étape comme nous l’avons énoncé, est d’identifier les acteurs (interne ou externe) de l’entreprise pour mener à bien cette action. Ce n’est pas la somme des individualités qui compte, mais la force du collectif. Une fois que la task force est identifiée, des premières étapes simples sont à réaliser :
- cartographie des données collectées
- mise en place d’un registre des traitements
- statuer sur la question des données sensibles
- relecture des conditions générales d’utilisations
- nommer un délégué à la protection des données
- communiquer auprès de ses clients sur le respect du RGPD
- mettre en place des procédures sur des cas d’usages du RGPD (piratage des données personnelles…)
Voilà déjà des premières actions pour enclencher la machine sur la bonne voie.
Où et quand intervient MG Mobile dans ce plan de mise en conformité RGPD ?
En tant que responsable technique de projets clients, nous accompagnons le DPO, l’avocat ou tout autre interlocuteur dans la bonne compréhension des procédures déjà en place, des systèmes de traitement existants. L’agence digitale est un rouage essentiel de la bonne mise en conformité RGPD de ses clients. Contactons-nous plus de plus amples informations.
Combien ça coûte la mise en conformité RGPD ?
Notre avocat partenaire expert RGPD s’adapte aux situations et aux besoins des entreprises. Pour un audit de mise en conformité RGPD, un forfait compris entre 800 € HT et 2 000 € HT suivant l’envergure du projet s’applique.
Pour une intervention plus récurrente dans la durée, il devient nécessaire d’en parler afin de définir le contour de l’intervention et de réaliser une offre dédiée qui permet à tout le monde de s’y retrouver.
Ce qu’il faut tout de même retenir, c’est que le coût est principalement sur la mise en place du processus RGPD. Par la suite, il pourrait s’agir d’une intervention occasionnelle.
3 TIPS de notre avocat partenaire spécialisé RGPD
Notre avocat partenaire nous met gentiment en garde et nous délivre trois tips que son expérience et sa sagesse nous prodiguent :
- Il en va de la responsabilité de l’entreprise de se mettre en conformité RGPD et de mettre en sécurité les données personnelles de ses clients… Le mot clé : COMPLIANCE.
- Cela parait compliqué au premier abord, néanmoins c’est un moyen pour mettre en avant les qualités de l’entreprise. Le mot clé : CONFIANCE.
- Ce n’est pas insurmontable, il s’agit principalement de s’organiser. Le mot clé : ORGANISATION.
Merci Maître, on se sent plus léger en lisant ces quelques lignes.
Quelques exemples d'amendes prononcées par la CNIL
26 novembre 2019 - FUTURA INTERNATIONALE : sanction de 500 000 euros pour démarchage téléphonique illégal
21 janvier 2019 : 50 millions d’euros à l’encontre de la société GOOGLE LLC