GUIDE PRATIQUE - LES AVOCATS ET LE REGLEMENT GENERAL SUR LA PROTECTION DES DONNEES (RGPD) Méthodologie de mise en conformité La CNIL a développé une méthodologie en six étapes afin de faciliter la mise en conformité des responsables de traitements. Ces six étapes correspondent à : * * * * * * La désignation d'un pilote ; La cartographie des traitements de données à caractère personnel ; La priorisation des actions à mener ; La gestion des risques ; L'organisation des processus en interne ; La documentation de la conformité. 1. La désignation d'un pilote L'article 37 du RGPD a introduit l'obligation de désigner un délégué à la protection des données dans différentes hypothèses (nous vous invitons à vous référer à la Fiche N° 11). Pour la majorité des cabinets d'avocats, il ne semble pas qu'une telle désignation soit obligatoire dès lors que, s'ils traitent des catégories particulières de données ou des données relatives aux infractions et condamnations, la plupart d'entre eux pourront soutenir ne pas traiter ces données « à grande échelle ». Cependant, même dans les cas où la désignation du délégué à la protection des données, n'est pas obligatoire, la CNIL recommande une telle désignation afin de faciliter la mise en conformité au RGPD (voir la fiche n° 11). Sans même désigner une personne qui aurait la qualité de délégué à la protection des données, il serait opportun de désigner parmi les membres du cabinet une personne chargée des aspects liés à la protection des données et qui servira de référent pour le personnel et les collaborateurs du cabinet. 2. La cartographie des traitements de données personnelles Cette cartographie permet d'avoir une vue d'ensemble des traitements de données à caractère personnel opérés au sein du cabinet d'avocats. La CNIL préconise donc de se poser les questions suivantes : * Qui ? * Quoi ? * Pourquoi ? * Jusqu'à quand ? * Comment ? 54