Aujourd’hui, un avocat RGPD est considéré comme un acteur traditionnel de la conformité. Cela dit, la méthode de mise en conformité n’est pas née avec le règlement général sur la protection des données. Elle date de la loi informatique et liberté en 1978. C’est la première loi qui vise à encadrer et mettre des règles sur ce qu’il est possible de faire avec des données personnelles.
Par données personnelles, on entend toute information permettant d’identifier une personne physique directement ou indirectement (Nom, prénom, adresse mail, carte de paiement, numéro de téléphone, identifiant, numéro de sécurité sociale, adresse IP, photo d’un visage, vidéo montrant une personne, etc)
Le règlement général sur la protection des données a été définitivement adopté par le Parlement européen le 27 avril 2016. Il est entré en vigueur dans l’ensemble des états membres de l’Union Européenne le 25 mai 2018.
En application avec le RGPD, les structures dont les activités principales comprennent le contrôle régulier et systématique des données sensibles ou à caractère personnel, ainsi que celles du secteur public, doivent donc désigner un délégué à la protection des données RGPD (DPO) ou un data protection officer.
Le DPO sera le responsable de traitement des données personnelles. Son rôle est de garantir la conformité de la structure. Par exemple, en cas de violations de données à caractère personnel, il doit mettre en place les procédures à suivre et les règles à respecter. Voir l’offre de Dipeeo : DPO externalisé.
En général, un avocat RGPD est spécialisé en droit de la propriété intellectuelle, en droit de la protection des données personnelles et nouvelles technologies.
Propriété intellectuelle : la propriété industrielle a pour objet la protection et la valorisation des inventions, des innovations et des créations.
Droit de la protection des données : Formation aux règles sur les données personnelles, droit des personnes
Nouvelles technologies : connaissance des nouvelles technologies. C’est un point clé pour qu’un avocat RGPD comprenne les sujets de ses clients.
Les études durent en moyenne 7 ans et offrent de bonnes connaissances pour réaliser la mise en conformité avec le RGPD et traiter les sujets de données personnelles au quotidien.
Les avocats RGPD sont les acteurs traditionnels de la mise en conformité. La formation d’un avocat RGPD est réputée et de bon niveau. Ils réalisent une méthode basée sur un audit de départ. Cependant, les tarifs sont élevés.
La méthode qui est généralement utilisée pour mettre une structure en conformité est appelée la méthode Lexing ou encore la méthode Bensoussan. Elle a été développée par Alain Bensoussan, avocat, pionnier du droit des technologies avancées, du droit de l’informatique et expert reconnu du droit de la protection des données personnelles.
Cette méthode est composée de 4 étapes :
Établir une cartographie réglementaire en 4 phases : Réunion de cadrage, Recensement des traitements et cartographie juridique, analyse de conformité, plan de communication des résultats au métier
Établir un chemin de route et notamment le plan d’actions, le calendrier prévisionnel, ainsi que les outils
Réaliser les actions de conformité : Méthode RACI (Réalisation – Accountable – Consultation – Information)
Implémenter les actions et assurer leur suivi (plan d’implémentation, localisation des documents, grille d’audit de contrôle, etc.).
Les objectifs de cette méthode sont les suivants :
Voici les avantages et les inconvénients de recourir à un avocat spécialisé :
– Haut niveau de compétence et de qualité
– Conformité juridique intégrale (ex : politique de confidentialité, politique « cookies », registre, etc.)
– Le contrôle des prestataires techniques n’est pas toujours inclus
– Confiance des clients
– Coût élevé (Surtout pour les startups et les structures ayant de faibles revenus)
– Devis successif dès évolution des besoins
– Mise en conformité longue étant donné la méthode d’audit manuel et de rédaction de l’ensemble des documents.
– Peu innovant et peu adapté au marché actuel
– Haut niveau de compétence et de qualité
– Conformité juridique intégrale (ex : politique de confidentialité, politique « cookies », registre, etc.)
– Le contrôle des prestataires techniques n’est pas toujours inclus
– Confiance des clients
– Coût élevé (Surtout pour les startups et les structures ayant de faibles revenus)
– Devis successif dès évolution des besoins
– Mise en conformité longue étant donné la méthode d’audit manuel et de rédaction de l’ensemble des documents.
– Peu innovant et peu adapté au marché actuel
Le règlement général sur la protection des données personnelles a ouvert le marché de la conformité à la concurrence. Auparavant, il s’agissait d’un marché réservé aux avocats. Il en est de même pour beaucoup de sujets juridiques.
Cela a un impact important puisque de nouveaux acteurs se sont lancés sur ce marché. Créant ainsi des opportunités d’innovation, mais aussi de nouvelles offres plus accessibles. De nouveaux risques sont apparus, notamment la baisse de qualité car la mise en conformité peut être réalisée par des personnes moins bien formées que des avocats.
Il existe également des articles, des vidéos, et des guides qui permettent de mettre en conformité RGPD un site internet. Ils permettent de faire une politique de confidentialité, une politique cookies, de réaliser une analyse d’impact ou encore un registre des traitements. Voir nos articles – Voir nos vidéos.
Face à la cybercriminalité, une violation de données et l’importance de la protection des données personnelles, plusieurs Legaltechs se sont développées et spécialisées dans les solutions de gestion des données personnelles afin d’assurer la conformité des entreprises.
Le domaine de la Legaltech a augmenté son potentiel. Nous pouvons le voir avec les levées de fonds de Leeway en 2021 (gestion de contrats pour les Directions juridiques) de 4,2 millions d’euros, de Data Legal Drive (2 millions d’euros pour son logiciel de mise en conformité) ou encore d’Adequacy (1,2 million d’euros).
Dans cette partie, nous allons comparer les avantages et inconvénients des concurrents des cabinets d’avocats :
Les cabinets de consulting fournissent des prestations de mise en conformité et de data protection officer externalisé. Ils sont principalement apparus avec le règlement générale sur la protection des données depuis 2018.
Ils utilisent la méthode traditionnelle de type avocat.
– Conformité juridique intégrale
– Assez bon marché
– Conformité très longue
– Peu innovant car les documents ne sont pas mis à jour automatiquement par exemple.
– Niveau de compétence moyen
– Conformité juridique intégrale
– Assez bon marché
– Conformité très longue
– Peu innovant car les documents ne sont pas mis à jour automatiquement par exemple.
– Niveau de compétence moyen
Ces cabinets de consulting fleurissent et concurrencent de plein fouet les cabinets d’avocats sur le secteur des TPE / PME.
Nous considérons les freelances DPO (Délégué à la protection des données ou Data protection officer) dans cette catégorie.
Les cabinets de sécurité informatique et de transformation digitale ont décidé de proposer une offre complémentaire et, le cas échéant de délégé à la protection des données, à leur client dans le cadre d’une création ou de sécurisation du site web.
– Sécurité et mise en conformité des aspects visibles du site web
– Conformité inclue dans la prestation initiale
– Mise en conformité partielle (seulement la politique de confidentialité par exemple)
– Peu innovant car il n’existe aucun outil permettant d’aider le client dans sa mise en conformité.
– Très faible niveau de compétence
– Risque très élevé pour le client en cas de contrôle
– Sécurité et mise en conformité des aspects visibles du site web
– Conformité inclue dans la prestation initiale
– Mise en conformité partielle (seulement la politique de confidentialité par exemple)
– Peu innovant car il n’existe aucun outil permettant d’aider le client dans sa mise en conformité.
– Très faible niveau de compétence
– Risque très élevé pour le client en cas de contrôle
Ces cabinets s’adressent essentiellement aux TPE / PME. Ils sont idéalement positionnés car travaillent déjà avec les clients en amont du processus de création du site web.
Un nombre important de Legaltech se sont développés depuis la mise en place du règlement général sur la protection des données en 2018. Certains se positionnent comme un “outil d’aide à la mise en conformité”. Ce sont des logiciels Saas qui aident à piloter ou organiser sa mise en conformité. De plus, certains outils permettent de réaliser une analyse d’impact ou un registre des traitements “digital”.
Cependant, ces outils sont destinés à des data protection officer spécialistes pour les aider dans leurs activités. Les compétences juridiques restent toutefois nécessaires pour la rédaction des documents juridiques (qui représente une part conséquente de la conformité).
– Utile dans le cadre de « l’accountability » [1]
– Aucune mise en conformité : les outils ne permettent pas de rédiger / rédiger les documents RGPD requis pour être en conformité
– Innovant
– Coût élevé (ex : environ 200 € HT / mois pour une TPE qu’il faut ajouter au frais de personnel pour le DPO interne ou externe)
– À destination exclusive des DPO
– Utile dans le cadre de « l’accountability » [1]
– Aucune mise en conformité : les outils ne permettent pas de rédiger / rédiger les documents RGPD requis pour être en conformité
– Innovant
– Coût élevé (ex : environ 200 € HT / mois pour une TPE qu’il faut ajouter au frais de personnel pour le DPO interne ou externe)
– À destination exclusive des DPO
[1] L’accountability est le fait, pour un client, de pouvoir démontrer sa mise en conformité en cas de contrôle. Les outils Legaltech RGPD sont utiles sur ce point car ils permettent de classer et de centraliser l’intégralité des documents RGPD dans le logiciel. Néanmoins, ces outils ne réalisent pas les documents à la place de l’utilisateur.
Dipeeo regroupe à la fois le software et les DPO certifiés, ex-avocats dans la même société. Le software automatise les parties de mise en conformité à faible valeur ajoutée. Cela permet ainsi d’être en conformité simplement et d’être accompagné au quotidien par un délégué à la protection des données (DPO) certifié référent qui devient le responsable de traitement de la structure accompagnée.
Les data protection officer étant formés et s’appuyant sur une méthode éprouvée et un software, la qualité délivrée est très bonne. La fonction d’automatisation permet un gain de temps très important pour le clients notamment en réduisant fortement le temps d’audit. Les tarifs sont très accessibles grâce à l’automatisation partielle. C’est l’expérience globale de la conformité qui est transformée.
Dipeeo va également se nommer en tant que délégué à la protection des données (DPO) auprès de la CNIL (Commission Nationale de l’informatique et des Libertés). La structure accompagnée pourra mettre un label de conformité sur son site internet.
– Mise en conformité à la place du client (on behalf) et nomination DPO auprès de la CNIL pour le compte de son client.
– Le client dispose de l’intégralité de l’accompagnement RGPD en une seule offre.
– Prise en charge et accompagnement, via ses avocats / DPO, des clients en cas de difficulté (ex : plaintes clients, RH, contrôle CNIL, etc.)
Un cabinet d’avocat a des coûts de structure importants qui sont liés au statut de cabinet d’avocat et aux salaires élevés des avocats étant donné leurs études et niveau de compétence.
Les tarifs restent variables d’un cabinet à l’autre et dépendent surtout de l’activité de la société qui doit être mise en conformité. Il y a également de grandes variations en fonction du périmètre d’intervention. En effet, l’intervention d’un cabinet peut porter sur quelques documents ou bien sur le rôle de DPO global avec nomination à la CNIL.
On estime qu’en moyenne, pour une startup digitale de 30 personnes dans un domaine ne traitant pas de données sensibles (religion, données de santé…), il faudra débourser 10 000 Euros par an pour traiter sa mise en conformité avec un avocat.
Pour trouver un avocat RGPD, Il existe des cabinets spécialisés en RGPD, IP et nouvelles technologies ou des cabinets généralistes dans lesquels se trouvent des avocats compétents.
La recherche d’un avocat se fait souvent via son propre réseau, son incubateur pour une startup ou son réseau de clients et partenaires. Cela permet de recueillir des avis sur la prestation avant même de le consulter.
Les annuaires de cabinet d’avocat sont un très bon moyen de trouver ce que l’on cherche notamment grâce à » l’ordre des avocats « . Voici quelques exemples d’annuaires de cabinet d’avocat :
Ou appelez nous directement au 01 59 06 81 85
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.
Ou appelez nous directement au 01 59 06 81 85
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.
01 59 06 81 85
contact@dipeeo.com
4 boulevard de Montmartre –
75009 Paris
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.