Interview de Maître Pierre NAITALI, avocat au Barreau d’Angers, associé du Cabinet ACCENS, en charge du RGPD

Question : Depuis mai 2018, les associations et les organismes gestionnaires d’établissements sociaux et médico-sociaux sont au même titre que l’ensemble des entreprises européennes soumises au RGPD. Où en est la mise en conformité ?

Réponse : La mise en conformité avance.

Cependant, nous constatons des approches différentes suivants les gestionnaires.

Il y a d’abord ceux qui ont mis la question « sous le tapis », faute de moyens ou de temps.

D’autres ont fait le choix d’une réponse a minima. Pour ce faire, ils ont désigné un collaborateur comme délégué à la protection des données (DPD ou DPO). Il s’agit souvent de la personne en charge de la qualité. Cette personne ne dispose pas de moyens et souvent pas de formation, mais les apparences sont sauves …

Enfin, une partie importante de nos clients a choisi de se mettre sérieusement en conformité avec le RGPD. Ils sont attentifs à ce qu’il se passe autour des données personnelles et l’ont réellement intégré dans leur démarche. Nous les accompagnons à la fois dans la mise en conformité initiale (audit, cartographie, élaboration du registre des traitements, plan d’actions…) et en tant que Délégué à la Protection des Données Personnelles externalisé.

 

Question : Comment votre cabinet a-t-il pu absorber cette activité ?

Réponse : Le cabinet a fait le choix d’être en mesure d’apporter un accompagnement global pour la mise en conformité au RGPD.

Nous ne nous contentons pas de traiter des aspects juridiques, nous avons mis en place un pôle RGPD avec un chef de projet et une équipe technique dédiée.

Nous avons été amenés à recruter et former entre 2018 et 2019 une dizaine de collaborateurs avec des profils différents :

  • des avocats, en charge du RGPD pour tout ce qui est audits des contrats, et rédaction des clauses,
  • Un chef de projet RGPD, qui supervise toute la partie non juridique du RGPD,
  • des consultants ayant une formation CNAM sur la protection des données qui vont auditer  les établissements et services,
  • du personnel administratif pour la planification de nos interventions et le suivi administratif des dossiers,
  • une personne à la communication pour élaborer les supports de formation, rédiger les documentations, ou encore pour construire les outils pour l’information/sensibilisation des professionnels, notamment dans le cadre de la mission de DPD externalisé.

L’équipe intervient sur toute la France.

 

Question : J’imagine que cette charge de travail est donc significative pour le cabinet ?

Réponse : Oui, tout à fait. Nous sommes heureux d’accompagner un grand nombre d’établissements et services, à la fois des clients historiques du cabinet, mais également de nouveaux clients qui ont souhaité mettre en œuvre le RGPD avec un interlocuteur spécialiste du secteur.

Nous avons également noué des partenariats avec des fédérations d’associations qui historiquement nous connaissaient pour nos compétences juridiques.

Avant d’être avocat, j’ai, pour ma part, travaillé pendant 6 ans dans l’informatique de gestion dans le cadre duquel j’ai participé notamment au développement d’outils de gestion de planning, avec les contraintes conventionnelles. Aussi, cette double expérience m’a permis de mettre en place avec mon équipe, une procédure tout à fait adaptée.

 

Question : D’un point de vue méthodologique, où en êtes-vous pour la mise en conformité au RGPD ?

Réponse : Tout d’abord, nous avons fait le choix d’appliquer strictement la méthodologie de la CNIL.

Ensuite, nous avons construit des outils adaptés aux particularités du secteur.

A titre d’exemple, nous nous sommes rapprochés d’un prestataire informatique qui a développé avec nous un logiciel permettant de gérer intégralement le RGPD, de la cartographie, jusqu’au suivi des dossiers pour le responsable des traitements et le DPD, en passant par l’audit, et les registres des traitements.

Ce logiciel tient compte de la complexité des organismes gestionnaires d’établissements qui sont fréquemment multi établissements et parfois multi secteurs (enfance/handicap, handicap/personnes âgées, etc.).

Ainsi, nous pouvons gérer des traitements partagés entre plusieurs établissements et services, pour aider à une meilleure gestion des données personnelles.

Enfin, grâce à cet outil, nous avons pu systématiser nos interventions, et donc proposer des coûts très raisonnables pour une intervention très complète, ce qui n’exclut pas que certains gestionnaires nous sollicitent simplement pour une assistante à la mise en œuvre au RGPD ou pour être leur DPD externalisé.

Voilà donc notre méthodologie très rigoureuse qui s’appuie sur un outil informatique spécifique et nous permet de proposer un rapport qualité/prix qui, au dire de nos clients, est sans équivalent à l’heure actuelle.