#RGPD – Pourquoi privilégier le tandem avocats et data company ?

À un mois de l’entrée en application du RGPD, il est plus que temps de prendre le sujet à bras le corps ! Vous ne savez pas par où commencer ? Vous pouvez, dans un premier temps, consulter la copieuse documentation mise en ligne par la CNIL, comme le guide « Se préparer en 6 étapes ».

Que vous soyez responsable du traitement ou sous-traitant, vous allez probablement réaliser que le chantier de la mise en conformité au RGPD est vaste. Les enjeux touchent à la fois à la sécurité, au juridique, à l’organisation, au business et à l’expérience client. Si vous n’avez pas de ressources suffisantes en interne (pas de service juridique, pas de Data Protection Officer formé au RGPD), faites-vous accompagner.

Cabinet d’avocat ou data company, des rôles complémentaires

On pense spontanément à solliciter un cabinet d’avocat pour se faire accompagner dans la mise en conformité au RGPD. Et c’est un bon réflexe ! Mais l’intervention d’un acteur spécialisé dans la mise en oeuvre de stratégies data est aussi un excellent complément, surtout si vous placez la donnée au centre de votre stratégie digitale, et que donc vous utilisez des outils spécifiques de traitement de données digitales (outils de webanalyse, d’achat média, de reporting, DMP, etc) qui nécessitent une connaissance fine de leur fonctionnement et des enjeux business.

Ainsi, le cabinet d’avocat est tout indiqué pour :

• vous aider à interpréter le RGPD, par exemple : dans quels cas recueillir le consentement de l’utilisateur ? Quelle différence de traitement entre les données prospect et client ? Quelle communication auprès de mes clients ? etc.
• vous accompagner dans vos démarches auprès de la CNIL (le cas échéant)
• rédiger ou mettre à jour les documents juridiques (contrats, politique de protection des données, chartes, mentions légales, registre des traitements de données personnelles, etc.)
• sensibiliser le DPO à ses nouvelles missions

La data company pourra quant à elle à la fois :

• réaliser l’audit préliminaire et définir le plan d’action : évaluer le niveau de préparation au RGPD, auditer les systèmes en place, identifier les traitements de données à risque, identifier les principales actions à mettre en place et l’organisation ad hoc…
• approfondir certains points techniques : audit d’un outil spécifique (le TMS (tag management system) ou l’outil de web analyse par exemple), veille marché (ex : quelles sont les bonnes pratiques en retargeting ?), recommandation d’une procédure de détection et de notification des violations de données, définition d’une méthode de pseudonymisation des données (identifiant CRM etc.)…
• alléger l’intervention du cabinet d’avocat, en prenant à sa charge certaines tâches : cartographie des données à caractère personnel, formalisation des finalités de chaque traitement de données, identification des sous-traitants, actions de sensibilisation / formation au RGPD, stratégie de communication interne et externe, rédaction du registre des traitements, gestion de projet, réflexion sur la notion de Privacy by Design dans le cadre de projets digitaux, etc.
• s’assurer que l’utilisation des données à des fins marketing est conforme au RGPD (par exemple : création de listes d’utilisateurs, mise en place de campagnes d’email)

Il n’est pas trop tard pour lancer une démarche de mise en conformité au RGPD. Selon vos besoins, votre champ d’intervention et votre niveau de maturité, identifiez la meilleure équipe pour vous accompagner : cabinet d’avocat seul, en tandem avec une data company, ou data company en appui de votre service juridique… Toutes les combinaisons sont possibles à partir du moment où les rôles sont bien définis et où chacun peut apporter son expertise.