RGPD

Une gamme complète de services pour

votre conformité

LE RGPD : CHALLENGESET OPPORTUNITÉS

➢ Applicable depuis mai 2018, le Règlement Général sur la Protection des Données (RGPD) représente un enjeu clé de conformité pour les acteurs de tous les secteurs

➢ Dès lors, toute organisation qui traite des données devra affronter des exigences de sécurité et de transparence accrues, impactant tous les services (RH, SI, Innovation, Marketing, e-Administration, etc.)

➢ La protection des données est également un prérequis pour les opérations d’investissement, de croissance externe et pour tout appel d’offre ou marché public

➢ Faites de votre conformité un facteur de différenciation concurrentielle, un levier de performance et un outil de valorisation de votre actif immatériel

1. Accountability

2. Registre des traitements

3. Transparence

4. Chaîne de responsabilité

5. Opt-in

6. DPO

7. Analyse d'impact

8. Action de groupe

9. Droits des individus

10. Sanctions

Suppression des obligations déclaratives auprès de la CNIL. Principe de responsabilisation

Tenue d’un registre des traitements requise pour chaque traitement non-

occasionnel

Information des personnes concernées (contrats et

Politique de confidentialité)

Exigences de consentement renforcées et recueil adapté

pour les mineurs

Obligation du responsable du traitement d’assurer la

conformité de ses sous-traitants

Création du rôle du DPO obligatoire dans le secteur

public, ainsi que dans certaines entreprises

Obligation de réaliser une analyse d’impact pour les traitements à haut risque, notamment concernant les

données sensibles

En plus des recours individuels, ouverture des recours collectifs

contre le responsable du traitement

Plafond des amendes augmenté à 20 millions d’euros

ou 4% du chiffres d’affaire annuel mondial

Droits renforcés (accès, opposition…) et nouveaux

droits (portabilité, effacement…)

LE RGPD EN DIX POINTS CLÉS

Altij vous propose une gamme complète de services liés au RGPD

Une approche sur mesure✓ Les impacts du RGPD sont divers et varieront selon le

secteur et les différentes activités poursuivies parl’organisme concerné.

✓ Pour cette raison, nous travaillerons avec vous afind’auditer vos pratiques, identifier les priorités enmatière de mise en conformité et cibler nosinterventions en fonction de vos besoins (actions RHet/ou marketing, conformité site Web, encadrementdes transferts de données en dehors de l’UE, etc.).

✓ Fort de son expérience d’accompagnement de sesclients, d’une part sur leurs mises en conformité auRGPD et, d’autre part, en matière de M&A et LBO, lecabinet d’avocats Altij peut vous accompagnerégalement sur vos opérations de croissance externe.

Une vision globale✓ Nous considérons qu’une vision globale des enjeux

du RGPD est nécessaire. Par conséquent, noustravaillons en étroite collaboration avec des expertsen sécurité informatique, ainsi qu’avec nos PôlesCorporate, Droit Social et Propriété Intellectuelle afinde répondre à tous vos besoins en matière deprotection des données.

NOS OFFRES

Mise en conformité✓ Audit et recommandations de conformité✓ Rédaction et mise à jour de votre documentation

Formation✓ Formation RGPD labellisée par la CNIL

DPO externe✓ Exercice du rôle de DPO externalisé pour votre

organisme

M&A / LBO✓ Due diligence de la cible en matière de data✓ Rédaction des clauses « data » des SPA, Protocoles

d’investissement, Pactes d’actionnaires, etc…

Mise enconformité

Diagnostic des traitements de données et identification des actions prioritaires

Identification des données traitées✓ Recensement précis des données collectées par

l’organisme avec le concours de l’ensemble desmétiers (RH, marketing, informatique, etc.)

✓ Localisation du stockage et des transferts desdonnées collectées par l’organisme

Catégorisation des données et de leurs traitements✓ Tri des données collectées en catégories✓ Justification et documentation de la finalité et de la

base légale de chacun des traitements

Registre des traitements et plan d’actions✓ Etablissement du registre des traitements✓ Plan d’actions comportant notre diagnostic de

conformité et nos recommandations pour chaqueservice (ex. consentement des prospects, gestion desbases des partenaires, information des salariés, etc.)

Formation et sensibilisation✓ Cette étape est accompagnée par un dispositif de

formation et de sensibilisation de vos équipes [voirsection dédiée de ce livret]

✓ Quelles données sont traitées ? (Catégories, risqueset impacts)

✓ Quelles finalités de traitement ? (Objectifs,intervenants et utilités)

✓ Comment sont collectées les données ?(Consentement, exceptions et moyens)

✓ Comment sont stockées les données traitées ?(Systèmes d’information, mesures de sécurité et duréede conservation)

✓ Quels destinataires ? (Transferts vers l’UnionEuropéenne ou hors UE, sous-traitants, etc.).

MÉTHODOLOGIE

Livrables

Registre des traitementsPlan d’action

Rédaction de la documentation juridique et contractuelle

Documentation juridique✓ Personnes concernées externes : mise à jour de

votre Site Internet (politique de confidentialité,bandeau cookies, politique de cookies etformulaires de contact), information en cas derelation non contractuelle (prospects,candidats…)

✓ Ressources humaines : information de chaquemembre du personnel

Documentation contractuelle✓ CGU / CGV : clauses protectrices des données à

caractère personnel✓ Sous-traitants : sécurisation de vos contrats de

sous-traitance et avec les responsables conjoints✓ Transferts transfrontaliers : clauses types✓ Ressources humaines : charte informatique

Livrables

Clauses pour vos contratsSécurisation des documents juridiques

✓ Refonte de l’ensemble des contrats avec lespersonnes concernées par vos traitements

✓ Encadrement des contrats menant à destransferts de données personnelles

✓ Information de chacune des personnesconcernées par vos traitements

MÉTHODOLOGIE

Etablissement d’un cadre de gouvernance

Chemin de vie des données✓ Privacy by design : prise en compte du respect

de la vie privée dès la phase conceptuelle d’unsystème d’information, que ce soit une base dedonnées, un site Internet ou encore uneapplication

✓ Privacy by default : évolution constante de lasécurité des traitements des données

✓ Stockage et durée de conservation desdonnées : définir les conditions et modalitésadéquates à chaque type de donnéespersonnelles

Traitement des demandes des personnesconcernées✓ Identification de l’interlocuteur (DPO) et des

procédures de réponseLivrables

Rédaction des procédures internes

MÉTHODOLOGIE

✓ Identification des responsables en cas defuite des données personnelles etétablissement d’une chaîne deresponsabilité

✓ Mise en place d’un processus d’alerte de laCNIL en cas d’atteinte aux donnéespersonnelles.

✓ Elaboration d’une procédure pour gérer lesdemandes de droits octroyés par le RGPD

Analyse d’impact pour les traitements présentant un risque élevé

Une démarche de sécurisation de l’innovation✓ Les traitements susceptibles « d'engendrer un

risque élevé pour les droits et libertés » doiventfaire l’objet d’une analyse d’impact relative à laprotection des données avant d’être mis enœuvre

✓ Avec l’essor d’outils numériques de suivi dupersonnel et de la clientèle, d’objets connectésou l’utilisation de procédures automatisées pouranalyser les données personnelles, l’obligation demener de telles analyses pourra s’appliquer à desorganismes de tous types

Un accompagnement de A à Z✓ Identification des traitements à risque lors de la

phase de diagnostic✓ Accompagnement pour la réalisation de l’analyse✓ Assistance lors des démarches de consultation de

la CNIL, lorsque des risques résiduels doiventêtre notifiés

LivrablesAccompagnement pour l’analyse d’impact

Consultation de la CNIL

MÉTHODOLOGIE

✓ Evaluation de la nécessité de mener uneanalyse d’impact

✓ Le cas échéant, accompagnement de vosservices internes pour la réalisation del’analyse

✓ Accompagnement dans vos éventuellesdémarches de consultation de la CNIL

Nos formations

Sensibilisation des collaborateurs à la « Privacy »

Le RGPD renforçant le principe de responsabilité desorganismes, la formation du personnel est la clé dela réussite de votre mise en conformité. Les actionsde formation s’inscrivent dans la démarche éthiqueattendue en cas de faille de sécurité ou dedemandes de droits conférés par le RGPD.

Formation des salariés et des directionsopérationnelles✓ Sur l’identification d’un traitement et des

problématiques liées✓ Sur la remontée de l’information✓ Sur la cybersécurité

Intégration de règles sécuritaires au sein del’organisme✓ Contrat de travail✓ Règlement intérieur et charte informatique✓ Code de conduite

Livrables

Supports de formationLivrets de sensibilisation

MÉTHODOLOGIE

✓ Formation des chefs de services etopérationnels afin de faciliter des processusinternes rigoureux

✓ Présentations, lignes directrices et guidesdestinés à l’ensemble du personnel, afin defavoriser une culture de la conformité

✓ Formations à la transition numérique surmesure avec des focus métiers (Marketing,CRM, RH, etc.)

Formations labellisées par la CNIL✓ Notre référentiel de formation « Conformité

RGPD : Maîtrise et innovation » bénéficie du labelde la CNIL

✓ La formation expert offre une vision pratique durèglement afin de permettre à vos équipesd’acquérir les bases juridiques, les compétencestechniques et les méthodes organisationnellespour faire face aux défis de la conformité

Formations sur mesure✓ En complément du programme de formation de

base ou expert, nous proposons à nos clients desformations sur des aspects spécifiques durèglement et/ou sur mesure en fonction de leuractivité

✓ Toutes nos formations sont disponibles en anglaiset en français

Une formation de qualité, adaptée à vos besoins NOS FORMATIONS

Formation labellisée « Maitrise et Innovation »✓ Introduction au RGPD✓ Les outils de la conformité : Registre, DPO, analyse

d'impact✓ Les processus internes à l'égard des salariés

Focus contrats✓ Sous-traitants, responsables conjoints, clients…

Focus international✓ Adéquation, clauses types, BCR…

Les atteintes aux données✓ Sensibilisation et présentation pratique des risques

de violation de données

Le Chatbot Hal 1, la sensibilisation au rythme de chacun

Un outil innovant✓ En complément de ses programmes de

formation, le cabinet Altij a fait le choix dedévelopper des outils innovants et interactifs

✓ L’objectif est de favoriser et de faciliterl’appréhension de la réglementation par leséquipes opérationnelles

✓ De ce projet est né le Chatbot Hal 1, rencontre dela technologie et des connaissances juridiques

Une démarche pédagogique✓ Ce robot conversationnel, élaboré en

collaboration avec le concepteur d’intelligenceartificielle Inbenta, repose sur une base dedonnées de plus de 300 questions

✓ Il est à même de pouvoir répondreautomatiquement aux questions relatives auRGPD qui lui sont posées par les équipes dansune démarche pédagogique et égalementpratique en tant qu’outil de support

Délégué à la Protection

des Données(DPO)

Le délégué à la protection des données (« data protection officer » ou « DPO »)

Obligatoire ?✓ Oui, pour les organismes publics, pour les

organismes qui réalisent des suivis réguliers etsystématiques de données personnelles à grandeéchelle ou pour les organismes qui traitent àgrande échelle des données sensibles

✓ Fortement conseillé pour les autres organismes

Pour quelles missions ?✓ Metteur en scène du RGPD assurant la

conformité des traitements, conseillant etsensibilisant les opérationnels

✓ Interlocuteur de l’autorité de contrôle, en tantque référent et point de contact de l’organisme

✓ Expert indépendant ayant une obligation deconfidentialité, de formation et d’indépendance

MÉTHODOLOGIE

Qui choisir en tant que DPO ?✓ Connaissance du secteur d’activité (possibilité de

nommer l’ancien Correspondant Informatique etLibertés)

✓ Compétences nécessaires en droit et en informatique✓ Expert externe à l’organisme pour des raisons

évidentes d’indépendance✓ Altij est régulièrement désigné

Qui pour accompagner le DPO ?✓ DSI et équipes opérationnelles✓ Avocats spécialisés dans les matières concernées

(social, assurances, etc.)✓ Consultant externe (analyse d’impact, consultation,

recommandations, etc.)

Désignation d’Altij comme DPO externe : un choix pratique et stratégique

Pourquoi externaliser votre DPO ?✓ La désignation d’un DPO en interne n’est pas

toujours adaptée pour chaque organisme (coût,confidentialité, assurance, expertise…)

✓ Le DPO avocat externe : c’est externaliser votreconformité en mode collaboratif, en bénéficiantd’une expertise reconnue en matière de protectiondes données et des garanties de déontologie(préservation absolue du secret des affaires) etd’assurance RC collective (Altij a une lignecomplémentaire de 30 million €)

✓ Signal fort de compliance

Un accompagnement expert✓ Pack documentaire et hotline juridique (RH, contrats,

M&A)✓ Gestion des demandes d’exercice de droits et hub

privé sécurisé d’échange de documents via notreplateforme dédiée

✓ Maintenance de la conformité, outils de pilotage degouvernance data (registre dynamique, suivi)

✓ Partenariat cybersécurité✓ E-learning et formation, vos collaborateurs sont

sensibilisés en ligne et en présentiel via nos modulesdédiés

LivrablesBilan annuel du DPOAvis, conseils et suiviLiaison avec la CNIL

MÉTHODOLOGIE

Information et conseil✓ Avis et recommandations sur toutes vos problématiques data ✓ Veille sur les actualités juridiques en matière de protection

des données et technologies avancées

Suivi du respect du RGPD✓ Avis sur les points de non-conformité constatés et les mesures

à prendre ✓ Contrôle, de manière indépendante, du respect du RGPD par

votre organisme✓ Pilotage de la compliance et mise à jour des documents de

conformité au RGPD (ex. registres)

Liaison avec la CNIL et les DPO des partenaires✓ Interlocuteur direct de la CNIL ✓ Interlocuteur direct des DPO de vos partenaires commerciaux

et institutionnels (ex. banques)

M&A et LBO

La conformité data et le M&A / LBO : une importance croissante

Valorisation✓ Avec l’arrivée de nouveaux pouvoirs de sanction des autorités

de contrôle, la possibilité d’actions de groupe et de recourscollectifs contre les responsables des traitements et lasensibilisation croissante en matière de data desconsommateurs européens, la non-conformité au RGPD peutreprésenter un risque très important pour une entreprise.

✓ Ainsi, l’audit en matière de protection des données d’uneentreprise cible devient une étape incontournable lors de savalorisation.

Information des personnes concernées✓ Lors d’une opération M&A/LBO, il faut prendre en compte

l’obligation d’informer les membres du personnel del’entreprise cible du traitement de leurs données à caractèrepersonnel.

✓ Cette obligation, ainsi que le principe de la minimisation desdonnées traitées, est à prendre en considération, par exemple,lors de la constitution d’une data room.

Un accompagnement de qualité sur vos opérations✓ Notre expérience sur des projets de mise en conformité au

RGPD nous apporte une compréhension globale et pratiquedes questions qui doivent être posées lors d’une due diligence.

✓ Cette vision, alliée à l’expertise du cabinet de matière de droitdes sociétés, fait de nous un partenaire idéal pour les aspectsdata de vos opérations.

LivrablesRapport due diligence

Assistance rédaction SPA / Protocoles d’investissement / Pactes d’Actionnaires

NOTRE OFFRE M&A/LBODue diligence✓ Audit de la conformité de la cible en matière de protection

des données.✓ Conseil stratégique sur les due diligence, soit du coté

vendeur, soir du coté acheteur.✓ Avis sur la meilleure façon d’appréhender l’obligation

d’informer les membres du personnel de la cible dutraitement de leurs données.

Rédaction et négociation✓ Assistance sur la rédaction et la négociation des clauses

nécessaires afin d’appréhender les risques identifiés (ex.déclarations et garanties dans le SPA / Clauses déclarativesdans les Protocoles d’investissement / clauses deconformités dans les pactes d’actionnaires postinvestissement).

Nos références

NOTRE ÉQUIPE D’AVOCATS ALTIJ ET DE CONSULTANTS QUID IA

Des compétences diversifiées, pour aborder toutes les problématiques liées à la conformité au RGPD

France CHARRUYERAvocat associé

Conseil et contentieux IT / IP / Data

Nicholas CULLENAvocat collaborateur

Transferts de données et mobilité internationale

Aliénor DAGORYAvocat collaborateur

Droit des contratsPropriété intellectuelle

Agathe BAILLETAvocat collaborateur

Droit socialConseil aux Ressources Humaines

Mathieu CANDESJuriste

Consultant RGPDMesures organisationnelles

Frédéric OLLIVIERIngénieur

Consultant RGPDCybersécurité

Manon COUSTOLSAvocat collaborateur

Droit de la santéDonnées sensibles

Sylvain FAVIERAvocat associé

CorporateM&A

Nos partenaires

Inbenta (leader européen de la création dechatbot) : Projet de développement d’un outilconversationnel de formation aux exigencesdu RGPD

Université Paris Dauphine : Collaborationdans la conception d’un programme dediplôme d’université pour les délégués à laprotection des données

Le Point : Partenariat sur l’organisation duprojet Futurapolis

IoT Valley (incubateur de start-ups Occitanes),Hemera (Bordeaux) et WeWork (Paris) :Partenariat sur la formation de dirigeants etsalariés de start-ups (conférences, ateliers,workshop…)

Nos clientsNos règles de déontologie professionnelles nousinterdisent de nommer nos clients. Vous trouverezdonc ci-dessous une liste de projet de mise enconformité au RGPD, sans identification explicite :

• Deux CCI régionales ;

• Un leader européen de la vente de matériel desport en ligne ;

• Un des plus gros promoteurs et constructeurs debâtiments français, innovateur en matièred’objets connectés ;

• Un acteur du secteur de l’aérospatiale surToulouse, tête d’un groupe international ;

• Un grand fonds d’investissement « privateequity » ;

• Un leader du marché français en aménagementde maison sur mesure ;

• Un grand laboratoire industriel spécialiste descompléments alimentaires et des cosmétiques ;

• Un grand cabinet d’avocats d’affaires toulousain.

Nous exerçons également le rôle de DPO de lasociété Jaguar Land Rover France (cette désignationétant publique, nous pouvons nommer la société).

Nos interventionsIntervention à Tunis et Paris, dans le cadre du« Certificat DPO » (Décembre 2018 et Janvier 2019)élaboré par l’Université Paris Dauphine etl’Université Paris Dauphine Tunis ;Intervention aux Journées du Numérique de l’AFDITSud-Est (7 décembre 2018) sur le thème « Laréponse contractuelle [au RGPD] : les chartesinformatiques » ;

Intervention à Tokyo à « 100 PME françaises auJapon » (Novembre 2018) organisé par la CCI FranceJapon ;

Table ronde à Futurapolis (Novembre 2018) sur lethème « Data : Les maîtres de la donnée »,https://www.futurapolis.com/ ;

Atelier à la Mêlée numérique (26 septembre 2018)sur le thème « Faut-il avoir peur du Grand MéchantRGPD ? » ;

Intervention au Sénat (29 juin 2018) lors de laconférence co-organisée par l’association « DataRing » sur « Pour qui a été pensé le RGPD ? »,https://youtu.be/jUnp53EPbQM ;

Intervention à la Matinale CPME 31 (7 juin 2018),sur « La monétisation et valorisation de la data :l’enjeu de la conformité au RGPD » ;

Interview sur France Info (26 mars 2018) « RGPD :données personnelles, sensibilisation et formation ».

Nos articles

Maître Nicholas Cullen, « Actualités du Brexit : les conséquences data de la loi de sortie de l'Union européenne », 16 juillet 2017, Altij.fr ;

Maître France Charruyer, « Focus RH/RGPD : Quel est l’impact du RGPD sur l’employeur, ses salariés et le traitement des signalements des lanceurs d’alerte ? », 8 mars 2018, France-charruyer.fr ;

Maître France Charruyer, « Intelligence Économique, Décryptage », Forum eco, La Gazette du Midi.

Maître France Charruyer, « To clic or not to clic : les NTIC dans l’entreprise », lexbase.fr;

Maître Nicholas Cullen, « Brexit News : La Grande-Bretagne sur la liste noire du numérique ? », 21 février 2018, Altij.fr ;

Maître France Charruyer, « Aujourd’hui, nos données sont plus sensibles que nos empreintes digitales », 7 janvier 2018, Touleco ;

Maîtres France Charruyer, Sylvain Favier et Nicholas Cullen, « Comment céder mon entreprise en respectant le RGPD ? », 19 décembre 2017, Maddyness ;

Maître France Charruyer, « Ce que le piratage d’Uber doit nous apprendre sur la sécurité informatique », 27 novembre 2017, Huffington Post.

Notre offre

Notre offre

Diagnostic de la conformitéHonoraires forfaitaires, comprenant : laformation des acteurs clés, la cartographie,l’audit, le plan d’action et le registre destraitements.

A partir d’un montant de cinq mille euroshors taxes (5 000 € HT), soit six mille eurostoutes taxes comprises (6 000 € TTC),correspondant à un minimum de 5 jours /homme.

Le forfait définitif dépendant :

• de la qualité, du volume et de l’architecturedu stockage des données ;

• du nombre de personnes à former ;

• du nombre de personnes concernées parvos activités de traitement ;

• de la taille de votre structure…

Notre offreDocumentation juridiqueHonoraires au temps passé, conformément ànos conditions générales d’intervention.Le volume horaire estimatif sera déterminé etcommuniqué en fonction des documentsdevant être réalisés.Un état du temps passé sera remis au clientau fur et à mesure de l’avancée de la mise enconformité.

Les documents pouvant être rédigés :- Mentions d’information pour votre site

Internet, vos supports de communication…- Clauses RGPD pour vos CGV, CGU, contrats

avec vos partenaires, vos sous-traitants…- Documents d’information à l’attention du

personnel, des clients, de vos partenaires…- Charte informatique et procédures internes

de protection des données (contrôle de laCNIL, droits RGPD, violations de données) ;

- Clauses modèles types pour vos transfertsde données hors UE.

Notre offre

Analyse d’impact relative à laprotection des données (DPIA)Honoraires forfaitaires, comprenant :

• L’étude juridique du traitement ou de l’outilanalysé ;

• L’audit technique du traitement ou del’outil analysé ;

• L’évaluation des risques pouvant affecter letraitement ou l’outil analysé ;

• L’évaluation des mesures techniques,organisationnelles et juridiques mises enplace et pouvant être mises en place.

A partir d’un montant de trois mille euroshors taxes (3 000 € HT), soit trois mille sixcent euros toutes taxes comprises (3 600 €TTC), correspondant à un minimum de 3 jours/ homme.

Notre offreMise en conformité et suiviHonoraires au temps passé, conformément ànos conditions générales d’intervention.

Le volume horaire estimatif sera déterminé etcommuniqué au terme du diagnostic de laconformité ou après l’envoi des piècesjustificatives nous permettant d’évaluer votreavancée.

Un état du temps passé sera remis au clientau fur et à mesure de l’avancée de la mise enconformité.

Accompagnement du DPO Interneet Hotline juridiqueHonoraires forfaitaires selon un abonnementannuel.

A partir d’un montant de cinq cent euros horstaxes (500 € HT) trimestriels, soit six centeuros toutes taxes comprises (600 € TTC),correspondant à cinq heures / trimestre.

Notre offreAvocat / DPO externaliséHonoraires forfaitaires selon unabonnement annuel.

A partir d’un montant de mille euroshors taxes (1 000 € HT) mensuels, soitmille deux cent euros toutes taxescomprises (1 200 € TTC), correspondantà un minimum d’un jour / homme.

Accompagnement :

• A la rédaction de la documentationjuridique et des procédures internes ;

• A la gestion des évènements RGPD(demandes de droits, violation dedonnées, contrôle de la CNIL) ;

• Au suivi de la mise en conformité ;

• A la formation des équipes ;

• A la réalisation d’analyse d’impacts…

CONTACT :

+33 561 146 100

ntic@altij.com