Extraits de : Les Avocats (conseil national des barreaux)

  • Autorité de contrôle et sanctions

    Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du RGPD.

    Les autorités de contrôle (en France, la CNIL) peuvent notamment :

    • Prononcer un avertissement ;
    • Mettre en demeure l’entreprise ;
    • Limiter temporairement ou définitivement un traitement ;
    • Suspendre les flux de données ;
    • Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
    • Ordonner la rectification, la limitation ou l’effacement des données.

    S’agissant des nouveaux outils de conformité qui peuvent être utilisés par les entreprises, l’autorité peut retirer la certification délivrée ou ordonner à l’organisme de certification de retirer la certification.
    S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
    Ce montant doit être rapporté au fait que, pour les traitements transnationaux, la sanction sera conjointement adoptée entre l’ensemble des autorités concernées, donc potentiellement pour le territoire de toute l’Union européenne.
    Dans ce cas, une seule et même décision de sanction décidée par plusieurs autorités de contrôle sera infligée à l’entreprise.

  • Que faire avec les sous-traitants avec lesquels le cabinet est déjà en relation commerciale ?

    Les cabinets d’avocats devront interroger leurs sous-traitants sur les garanties qu’ils ont mises en place afin de garantir leur conformité au RGPD.

    Dans le cas où le cabinet d’avocats identifie des lacunes dans les mesures mises en place par le sous-traitant, ils devront conclure un avenant au contrat afin de combler lesdites lacunes.

  • Que faire en cas de sous-traitance ?

    L’article 28, al. 3, du RGPD maintient l’obligation de souscrire un contrat liant le sous-traitant au responsable du traitement, tout en précisant ses contours et en fixant des exigences strictes et plus importantes. Ainsi, le contrat liant le cabinet au sous-traitant doit comporter :

    • l’objet ;

    • la durée ;

    • la nature ;

    • la finalité ;

    • le type de données à caractère personnel ;

    • les catégories de personnes concernées ;

    • les droits et obligations du responsable de traitement ;

    • les mesures de sécurité mises en œuvre concernant le traitement de données à caractère personnel qui sera réalisé.

    L’acte juridique en question doit également définir les obligations du sous-traitant relatives à :

    • la possibilité de ne traiter les données que sur instruction documentée du responsable du traitement, même en ce qui concerne les flux transfrontières ;

    • la confidentialité des données ;

    • l’exercice des droits des personnes concernées ;

    • l’aide qu’il doit fournir au responsable de traitement par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, pour s’acquitter de l’obligation de donner suite aux demandes des personnes concernées ; l’aide fournie au responsable de traitement pour garantir le respect de ses obligations compte tenu de la nature du traitement et des informations à la disposition du sous-traitant ;

    • la suppression des données concernées à l’issue du traitement, ou leur renvoi au responsable de traitement ou leur conservation s’il en est tenu par une disposition nationale ou européenne ;

    • la mise à disposition du responsable du traitement de toutes les informations nécessaires pour démontrer le respect de ces obligations et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits ;

    • l’éventuel recrutement par le sous-traitant d’un sous-traitant ultérieur, d’un nouveau sous-traitant, et l’obtention de l’autorisation préalable écrite du responsable de traitement relative à ce recrutement qui doit être formalisé par un contrat mentionnant l’ensemble des obligations ci-dessus énumérées.

    Les clauses contractuelles liant sous-traitants et responsables de traitement vont donc devoir être beaucoup plus précises tant sur les modalités de traitement que sur la gestion de leurs relations et l’échange d’informations entre eux.

    En vertu de l’article 28, al.1, du RGPD, le responsable de traitement a l’obligation de ne recourir qu’à « des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée ».

    L’avocat, lorsqu’il agit en qualité de responsable du traitement, a l’obligation, aux termes de l’article 28 du RGPD, de s’assurer que son prestataire informatique, en qualité de sous-traitant, a mis en place des mesures techniques et organisationnelles adaptées lui permettant de respecter la sécurité et la confidentialité des données. La conclusion d’un contrat est obligatoire entre l’avocat et ses sous-traitants et doit réserver une faculté d’audit pour permettre de vérifier la mise en œuvre conforme des mesures précitées.

    Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

     

  • Qu’est-ce qu’un sous-traitant ?

    En vertu de l’article 4, al. 8, du RGPD, le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement ».

    En pratique, il s’agit donc de la personne qui traite des données à caractère personnel pour le compte du cabinet d’avocats comme par exemple un comptable, un éditeur de logiciel, un hébergeur, etc.

 

En poursuivant votre navigation sur ce site, vous acceptez nos conditions générales d’utilisation et l’utilisation de Cookies pour vous proposer une navigation optimale.

Vous pouvez changer d’avis et modifier vos choix à tout moment.

Notre politique de protection de vos données personnelles est conforme au nouveau Règlement Général sur la Protection des Données (RGPD)

 

Site en mode préproduction