par Oriana LABRUYÈRE

Avocate au Barreau de Paris – missions de DPO externalisé pour des organisations de toutes tailles

Fondatrice d’un cabinet en droit du numérique

Elue municipale

Auteure du podcast « La Robe Numérique » qui met en lumière des solutions de la tech française ou européenne et répond aux enjeux juridiques modernes

Qui peut nier que les données sont au cœur de nos vies, de notre quotidien personnel et professionnel ? En tant qu’avocat, souhaitez-vous être plus proche de vos clients ? Souhaitez-vous participer à la création des projets de vos clients, travailler avec l’ensemble des services / Business Units de vos clients ? Souhaitez-vous développer les prestations de conseil ? Souhaitez-vous protéger les entreprises de vos clients d’un risque létal ?

Si la réponse est oui, l’avocat Délégué à la protection des données est fait pour vous !

Qui est le client (idéal) ?

Toutes les organisations, publiques ou privées, sont tenues de se conformer à la Loi Informatique et libertés, et au Règle- ment général à la protection des données (RGPD). Mais, certains de vos clients seront obligés de nommer un DPO, si :

  • Leur activité consiste en des opérations de collecte impliquant un suivi régulier et systématique à grande échelle des personnes physiques.
  • Votre client est une autorité publique ou un organisme public.
  • Leur activité vise à traiter des données sensibles ou relatives à des condamnations pénales ou des infractions.

Le client idéal est donc avant tout celui qui répond à un de ces critères. Cependant, ne négligez pas les autres. Ils ont peut-être besoin de conseil, d’appui pour mettre en œuvre un projet, veiller au respect du RGPD par leurs sous-traitants. Spoiler. Votre premier client idéal : votre propre cabinet ! Listez vos traitements, vos données, vos sous-traitants, établissez votre registre, définissez vos durées de conservations, faites le point sur vos procédures internes, analysez votre degré de sécurité.

C’est quoi un DPO ?

Le DPO accompagne le chef d’entreprise, c’est-à-dire le Responsable de traitement, dans sa conformité. Le DPO conseille, alerte, accompagne les équipes pour que le Responsable de traitement réalise des opérations sur les données dans le respect de la réglementation. Pour réaliser sa mission, il doit obtenir des ressources adaptées lui garantissant l’indépendance de sa position vis-à-vis du chef d’entreprise. Concrètement, le DPO est le garant de la conformité mais il n’est pas à lui seul la conformité. Il sert plus de GPS, si le conducteur décide de suivre un autre chemin, le GPS n’est pas responsable du fait que le conducteur se soit perdu. Ici, c’est la même chose. En tant que DPO, l’avocat va accompagner son client, identifier les risques inhérents ou non aux projets et accompagner les équipes pour la mise en œuvre.

Quelles sont les qualités d’un DPO ?

Avant tout, l’Avocat DPO doit savoir devenir un point de contact, une personne avec qui échanger facilement. Il doit savoir rassembler autour de lui pour que les collaborateurs ne fuient pas la conformité. Ensuite, nécessairement, l’Avocat DPO doit savoir se faire entendre. Il doit convaincre le responsable de traitement mais surtout les équipes. Enfin, l’Avocat DPO doit savoir trancher et dire non ou oui. D’ailleurs, dire oui est souvent plus compliqué. Toutefois, il ne faut pas tomber dans le travers inverse de prononcer sans cesse des refus de « précaution ». Le DPO est parfois au cœur du développement économique, ou témoin de projet d’envergure pour l’organisation qu’il accompagne. Le refus « précaution » peut être catastrophique pour le client, pour ses équipes et aussi pour l’avocat aussi. Ne pas comprendre l’enjeu, la portée d’un projet peut abimer la relation. Il faut donc avoir l’humilité de ne pas savoir, de chercher à comprendre, de poser des questions, parfois idiotes, a priori, aux opérationnels, aux ingénieurs IT pour aller plus loin que la simple apparence. Et ensuite ? Réfléchir, construire avec eux dans le cadre de l’analyse d’impact les mesures qui vont leur permettre de réaliser le projet dans le respect du RGPD.

Comment devenir Avocat DPO ?

Avant tout, formez-vous ! De nombreuses formations existent et permettent d’acquérir une base et des réflexes méthodologiques. L’aspect opérationnel du métier, en théorie n’est pas compliqué : il faut simplement avoir un état d’esprit tourné vers la solution, et non le problème. Apprendre à identifier les solutions. Bien entendu l’étude juridique des situations est essentielle, mais elle n’est pas suffisante. En tant qu’Avocat DPO nous devons aller plus loin en apportant des solutions pragmatiques, adaptées à votre client, à sa culture d’entreprise, à ses contraintes.

Une appétence pour la tech est évidemment un plus mais ne fait pas tout !

Quand vous serez prêt, vous pourrez alors déclarer votre activité à votre Bâtonnier conformément à l’article 6.4 du RIN, et vous pencherez sur l’article 6.3.3 du RIN qui lui a consacré un article complet !

Il est à noter que depuis le 20 octobre 2021, la spécialisation Droit de la protection des données personnelles existe. L’objectif du CNB est de valoriser l’activité de DPD instaurée par le RGPD entré en application le 25 mai 2018. Les confrères déclarés DPD auprès de leur Ordre dont le nombre a triplé en 2021 seront ravis. Pourquoi pas vous ?

Et si on parlait secret professionnel ?

Les cabinets d’avocats forment le secteur n° 1 victime des vols de données avec demande de rançon (ransomware) en France de juillet à octobre 20211. Sans une sécurité informatique suffi- sante, le secret professionnel existe-t-il ? La question est brutale mais mérite d’être posée. Le secret de la confession serait-il le même si le mouchard déposé dans la soutane du prêtre émet- tait sur les ondes ? Le secret médical serait-il le même si les analyses étaient diffusées sur Instagram ? Comment rassurer, comment avoir confiance dans ces conditions ?

Dans le cadre de nos fonctions, nous manipulons de la donnée personnelle, mais pas uniquement. Devenir Avocat DPO permet aussi une meilleure prise en compte de cet enjeu pour nous tous, avocats, clients. Nos cabinets renferment des informations, plus sensibles à certains égards que de la donnée de contact. Les données que nous hébergeons peuvent être utilisées d’autant plus facilement qu’elles sont souvent très complètes.

Alors, il est sans aucun doute temps de se poser les bonnes questions : Comment assurez-vous leur protection ? Comment assurer ce secret professionnel si nous n’avons pas une sécurité technique suffisante ? Si votre porte est blindée mais que l’on sait ou devine où est cachée votre clef ? Jugerez-vous que vos enfants, vos amis, vos biens y seraient en sécurité ?

  1. Baromètre de l’impact des ransomwares sur les entreprises françaises, ANOZR WAY, éd. Novembre 2021 www.anozrway.com/barometre-ransomware.

Plus d’articles