•  Conformité 

 
•  Formations 

 
•   Recherche  

• Accueil
• Ethique juridique ?
• Vos experts
• Contact
• Refuser nos cookies

Conformité au Règlement général sur la protection des données à caractère personnel (RGPD)

Notre démarche d'accompagnement est pragmatique et s'adapte à vos besoins et objectifs.

Elle vise à vous permettre de visualiser rapidement les éventuelles faiblesses de vos activités, à vous permettre d'initier à brefs délais les premières modifications nécessaires tout en disposant d'une feuille de route claire et adaptée à vos contraintes concernant les autres actions à entreprendre.

Elle vise également à vous transmettre dès le départ une culture de la protection des données à caractère personnel, qui vous sera nécessaire pour asseoir la perennité des changements entrepris.

Cette démarche peut être exclusivement juridique et éthique ou associée à un audit de la sécurité de vos traitements de données voire de votre système d'information, en coordination avec nos partenaires experts de la gestion de risque et de la gouvernance.

Elle est par ailleurs exécutée en étroite collaboration avec un cabinet d'avocats lorsqu'un conseil juridique doit vous être apporté.

Cette démarche inclut différentes étapes génériques, qui, selon le contexte, seront mises en oeuvre complètement ou partiellement, de manière plus ou moins itérative :

• Etat des lieux / inventaire
  Il s'agit du point de départ d'une démarche de conformité et des analyses subséquentes. En résulte un tableau permettant de visualiser les éléments essentiels de chaque traitement (données, processus, traitements, flux, supports, lieux, accès...) identifié par sa finalité spécifique (cette finalité déterminant une large part de vos droits et obligations).

• Analyse de conformité au RGPD
  Cette analyse vise à confronter de manière systématique vos traitements et pratiques aux exigences du RGPD, à l'aide d'une méthode que nous avons créée à l'aune de notre expérience de la protection des données à caractère personnel et plus largement de la vie privée (incluant plus de quinze ans de recherche appliquée et une connaissance fine des décisions de la Cour européenne des droits de l'Homme, des décisions du Comité européen à la protection des données - ancien "Groupe de l'article 29" et des opinions de la CNIL).

  Cette analyse inclut, lorsque nécessaire, les tests de "compatibilité" et d'"intérêt légitime" requis dans certains contextes par le RGPD.

  Cette analyse inclut également, lorsque nécessaire, des tests de "nécessité" et de "proportionalité", également requis dans certaines situations.

• Analyse de risque pour les droits et libertés
  Une analyse de risque pour les droits et libertés est souvent nécessaire pour répondre à l'obligation de sécurité posée à l'article 32 du RGPD. Par ailleurs, une telle analyse est au coeur de "l'étude d'impact sur les données à caractère personnel" qu'exige le RGPD dans certaines situations.

  Il convient toutefois de noter que la pertinence de cette analyse repose en partie sur votre état de conformité au RGPD. Si l'étape précédente met à jour des correctifs indispensables, il est judicieux de n'effectuer l'analyse de risque qu'après leur mise en oeuvre (ou de se projeter à ce moment lors de son exécution). A défaut, l'opération revient à analyser inutilement les risques posés par un contexte appelé à être modifié à brève échéance.

  Nous pouvons effectuer cette analyse du seul point de vue juridique, en lien avec votre service de sécurité informatique, ou en prenant en charge ses aspects juridiques et techniques en synergie avec nos partenaires experts en gestion de risque et gouvernance.

  Notre méthode d'analyse de risque se base sur la méthode ebios et le standard ISO 27001 (adaptés par nos soins à l'analyse de risques pour les droits et libertés).

• Etude d'impact sur les droits et libertés
  Cette analyse d'impact est obligatoire dans certaines situations.
  Ceci étant dit, elle sera dans de nombreux cas déjà effectuée dans sa plus grande partie, puisqu'elle se compose de la description systématique des traitements, d'une analyse de conformité au RGPD, de tests de nécessité et de proportionnalité et d'une analyse de risque pour les droits et libertés.

• Synthèse des faiblesses et mesures correctrices à mettre en oeuvre
  Les faiblesses mises à jour lors de nos analyses et les mesures correctrices qu'elles imposent peuvent vous être présentées au sein d'un rapport d'étude dont la structure devra être actée entre nous en amont (généralement plus adapté aux projets de recherche), ou sous la forme d'une courte synthèse (généralement plus adaptée aux besoins d'une entreprise).

  Cette étape implique idéalement une rencontre physique destinée à vous expliquer les résultats de nos analyses.

• Plan d'action et feuille de route, accompagnement de la mise en oeuvre
  Sur la base des résultats de nos analyses, de vos objectifs et de vos contraintes, nous pouvons établir ou vous aider à établir un plan d'action et une feuille de route visant la mise en oeuvre des mesures correctrices nécessaires à votre conformité.
  Nous pouvons également vous accompagner dans cette mise en oeuvre, à votre convenance.

• Création de registres
  Des registres de traitements (l'un visant vos activités de responsable de traitement, l'autre visant vos activités éventuelles de sous-traitant) sont imposés par le RGPD dans un grand nombre de cas, et sont recommandés dans les autres situations. De tels registres peuvent être générés à partir du tableau descriptif des traitements soumis à analyses de conformité et/ou de risque et seront dès lors en totale cohérence avec vos pratiques.

  Le moment de cette étape dépend de vos besoins et objectifs, car la description de vos traitements sera différente à chaque étape de votre feuille de route. Si nécessaire, plusieurs versions peuvent être créées dans un souci de refléter ces étapes.

• Sensibilisation et formation
  Nos interventions peuvent se décliner en différents modules et niveaux, couvrant la simple sensibilisation de vos collaborateurs au transfert de compétences vous permettant de devenir acteur de votre conformité et de sa pérennité. Des sessions pratiques peuvent en particulier vous apprendre à effectuer vous même des tests réguliers de nécessité, de proportionnalité, de compatibilité et d'intérêt légitime (ce dernier test étant impératif dans le cadre de certains traitements, pour vous permettre de déterminer le caractère indispensable ou non du consentement des personnes dont vous traitez les données).

   

Inthemis - Montpellier Optimum Centre - 450, rue Baden Powell - 34000 Montpellier Données à caractère personnel Informations légales © Inthemis