Dans votre entretien de droit, on s'attend à ce que vous puissiez démontrer que vous avez une connaissance commerciale approfondie - et discuter du RGPD de manière claire et compétente en fait partie.
Qu'est-ce que le RGPD?
Le RGPD (Règlement général sur la protection des données) a été adopté pour remplacer la loi sur la protection des données de 1998 et est entré en vigueur pour protéger les droits des citoyens de l'UE en 2018. Le RGPD est une série d'obligations strictes auxquelles les organisations et les entreprises doivent se conformer lorsqu'elles stockent ou traitent les données personnelles des citoyens de l'UE. Il a été rédigé et adopté par l'Union européenne pour renforcer le contrôle et les droits qu'une personne a sur ses données personnelles.
Essentiellement, si vous traitez les données personnelles d'un citoyen de l'UE (ou les données de citoyens d'autres pays ayant adopté le RGPD), alors les réglementations s'appliquent - même si votre entreprise ou votre organisation ne se trouve pas dans l'UE.
D'autres pays (en dehors de l'UE) ayant adopté le RGPD incluent:
Argentine
Brésil
Chili
Japon
Kenya
Maurice
Afrique du Sud
Corée du Sud
Turquie
Royaume-Uni
Pour simplifier davantage le RGPD et le rendre plus facilement applicable aux entreprises et aux organisations, les sept principes du RGPD sont l'esprit des obligations et facilitent la compréhension du contexte des réglementations.
Les sept principes du RGPD
Licéité, loyauté et transparence
Les données collectées doivent être traitées de manière licite, loyale et transparente. Les données doivent être traitées selon des directives strictes et leur utilisation ne doit pas être préjudiciable ou inattendue. La raison pour laquelle l'entreprise ou l'organisation collecte les données doit être clairement communiquée à l'individu avant qu'il ne donne son accord pour partager ses données.
Limitation des finalités
Toute donnée collectée doit avoir une finalité légitime, spécifique et explicitement partagée. Non seulement l'organisation doit être claire sur les raisons pour lesquelles elle collecte et traite des données personnelles, mais elle doit également enregistrer les finalités dans ses registres et les décrire dans ses informations relatives à la vie privée.
Minimisation des données
Toutes les données collectées doivent être adéquates et pertinentes pour les finalités décrites, mais elles doivent également être limitées à ces finalités - uniquement ce qui est nécessaire.
Elles doivent également être examinées périodiquement pour s'assurer qu'elles sont à jour et que tout ce qui n'est plus pertinent et adéquat est supprimé.
Exactitude
Les collecteurs et les responsables du traitement des données doivent prendre toutes les mesures raisonnables pour s'assurer que les données sont maintenues et mises à jour si nécessaire, et que les données personnelles conservées ne sont pas trompeuses ou incorrectes.
Limitation de la conservation
Les données personnelles ne doivent pas être conservées plus longtemps que nécessaire - bien que cela puisse varier en fonction de certaines circonstances, telles que les données d'intérêt public ou utilisées à des fins de recherche historique ou scientifique. Des mesures spécifiques sont en place pour les données relevant de ces catégories afin de garantir la protection des droits des individus.
Intégrité et confidentialité
La collecte et le traitement des données impliquent une responsabilité supplémentaire en matière de sécurité des données, et l'organisation doit veiller à ce que les données soient protégées contre tout accès et utilisation non autorisés, ainsi que contre tout traitement illicite.
Responsabilité
Le responsable des données désigné (et, dans certains cas, les sous-traitants) d'une organisation sont finalement responsables des données qu'ils collectent, traitent et stockent. Pour démontrer leur responsabilité, ils doivent être en mesure de prouver qu'ils ont mis en place les mesures de protection appropriées.
Pourquoi le RGPD est-il important pour les cabinets d'avocats?
Le RGPD est extrêmement important dans les cabinets d'avocats car des données personnelles sont collectées sous différentes formes et pour différentes raisons.
Un cabinet d'avocats aura besoin d'un responsable de la protection des données, qui est le principal décideur en ce qui concerne la collecte, le traitement et le stockage des données. Le personnel d'un cabinet d'avocats sera également considéré comme des sous-traitants de données, permettant la collecte et le traitement des données.
Des informations importantes sur les clients lorsqu'ils utilisent des services juridiques (qui peuvent inclure des adresses et des numéros de téléphone ainsi que des informations financières), jusqu'au volume considérable de données collectées et traitées en préparation d'un dossier, les cabinets d'avocats utiliseront des données personnelles, ce qui signifie qu'ils seront tenus de respecter les réglementations en matière de RGPD en ce qui concerne les citoyens de l'UE.
Qu'ils reçoivent des données en vrac ou de plus petites quantités, le cabinet d'avocats devra réfléchir attentivement à la manière dont il collecte et utilise les données, ainsi qu'à la manière dont il les stocke après les avoir traitées.
Comment discuter du RGPD lors d'un entretien
Le contexte du RGPD
Comprendre le contexte du RGPD et pourquoi il a été lancé est essentiel pour toute organisation traitant des données personnelles, et si vous pouvez en discuter lors de l'entretien, vous montrerez aux recruteurs que vous avez une excellente connaissance du monde des affaires et de l'importance de la sécurité des données.
Plus vous pouvez parler de l'historique de choses comme la loi sur la protection des données et comment elle a été remplacée par le RGPD - ainsi que les sept principes et leur application, plus vous semblerez compétent.
Les droits des individus
L'objectif principal du RGPD est de protéger les droits de l'individu, et il y a quelques points que vous devriez aborder lorsque vous parlez du RGPD.
Tout d'abord, le droit à l'oubli. L'article 17 du RGPD permet à un individu de demander que les données le concernant soient supprimées dans certaines circonstances. Cela inclut:
Les données collectées illégalement
Le retrait du consentement pour le traitement
Les données ne sont plus nécessaires.
Deuxièmement, l'importance de la demande d'accès du sujet des données. À tout moment, un individu peut demander à une organisation de divulguer toutes les données personnelles qu'elle détient à son sujet, et ces demandes doivent être traitées rapidement.
Avoir une opinion sur le RGPD
Le RGPD est un sujet complexe à comprendre, il est donc utile d'y consacrer un peu de temps pour s'y familiariser. L'une des choses les plus importantes à faire lorsque vous apprenez le RGPD est de développer une opinion à son sujet, car il sera plus facile d'expliquer la raison et le contexte de la législation lorsque vous avez quelque chose à dire à ce sujet.
Pratiquez la discussion sur le RGPD avant l'entretien - vous pouvez essayer d'en parler à quelqu'un qui n'a peut-être pas déjà de connaissances, par exemple - de cette façon, lorsque vous aborderez le sujet lors de votre entretien, vous serez déjà préparé et pourrez parler clairement et avec confiance.
Comment le RGPD impactera votre travail en tant qu'avocat
L'impact du RGPD sur la collecte de données par les organisations a été une courbe d'apprentissage, et certaines entreprises sont encore très en retard en ce qui concerne la collecte et le traitement licites des données.
Cependant, plus vous en savez sur la manière dont votre rôle en tant qu'avocat sera impacté par le RGPD - et ce que cela signifie pour vos responsabilités en matière de protection des données - mieux vous pourrez vous assurer que vous utilisez les données personnelles de la bonne manière.
Soyez prêt à décrire votre rôle en tant que sous-traitant de données et à montrer que vous connaissez les réglementations du RGPD telles qu'énoncées dans les sept principes, et vous serez déjà meilleur que les autres candidats. N'oubliez pas qu'un cabinet d'avocats peut être amené à traiter des données en vrac (par exemple, lors de la découverte) et cela peut ajouter une couche de complexité en raison du volume important d'informations.
Discuter des dernières actualités sur le RGPD
Les plus grandes histoires liées à la législation sur le RGPD concernent généralement les procès et les amendes, mais il est toujours bon de suivre les actualités au cas où quelque chose d'important se produirait - comme une autre entreprise qui a été condamnée pour avoir enfreint les normes de protection des données, ou un autre pays qui est devenu partie prenante des réglementations du RGPD.
Il est également conseillé de suivre les résultats des différents recours et appels en cours pour voir si les mesures punitives sont maintenues.
Les défis auxquels les entreprises sont confrontées lors de la mise en œuvre du RGPD
Dans presque tous les cas où il y a eu un défi dans la mise en œuvre des mesures du RGPD, un obstacle majeur a été la nomination du responsable de la protection des données. Parfois appelée délégué à la protection des données, cette personne est responsable de la surveillance de la conformité et de l'assurance que l'organisation respecte les directives pertinentes. Il s'agit de la personne qui conseille l'organisation en matière de RGPD et qui sert de point de contact pour les individus qui souhaitent contacter l'organisation au sujet de leurs données lorsque cela est nécessaire.
La plupart des grandes entreprises, en particulier celles qui traitent des données sensibles comme un cabinet d'avocats, devraient avoir une personne spécialement désignée en tant que DPD, et trouver la bonne personne pour ce rôle est un défi.
Les violations du RGPD
C'est toujours un sujet intéressant à aborder, car cela montre que même les plus grandes entreprises du monde peuvent se tromper lorsqu'il s'agit de collecter et de traiter des données conformément au RGPD.
Quelques affaires ont attiré l'attention internationale, et cela en raison des énormes sanctions financières qui leur ont été infligées. Par exemple:
Amazon risque une amende de 636 millions de livres sterling parce qu'un programme de publicité ciblée n'a pas utilisé un consentement approprié.
WhatsApp risque une amende de 118,8 millions de livres sterling parce qu'ils n'ont pas divulgué comment les données des utilisateurs seraient partagées avec Meta, leur société mère.
H&M risque une amende de 30 millions de livres sterling pour avoir enfreint les conditions de traitement des informations privées de leurs employés.
Exemples de stratégies de mise en œuvre réussies du RGPD
En contrepoint des violations, plus vous pouvez décrire à quoi ressemble une mise en œuvre réussie du RGPD, mieux ce sera.
Des exemples spécifiques peuvent être trouvés en ligne, ou vous pouvez avoir une description de vos propres expériences antérieures que vous pouvez également partager et qui aidera.
Le RGPD et le Brexit
La dernière chose à prendre en compte est que le Royaume-Uni a maintenant le RGPD, bien qu'il ne fasse plus partie de l'UE.
Pour le Royaume-Uni, le RGPD est consacré par la loi car il a été adopté dans le cadre de la loi sur la protection des données, puis il y a eu un instrument législatif appelé Le Règlement sur la protection des données, la vie privée et les communications électroniques de 2019 (qui est maintenant connu sous le nom de RGPD du Royaume-Uni).
En substance, cela signifie que pour le Royaume-Uni, il n'y a pas de réelle différence dans les réglementations depuis le Brexit, et la conformité n'a pas du tout changé.
Points clés
Si vous voulez être considéré comme ayant une connaissance commerciale lors de votre entretien de droit, une connaissance approfondie du RGPD sera utile. Soyez prêt à démontrer que vous comprenez les sept principes, reconnaissez l'importance d'une excellente mise en œuvre et les sanctions possibles en cas d'erreur - et vous pourrez discuter de la législation de manière pertinente pour l'organisation et l'industrie juridique dans son ensemble.
