Compléments juridiques avancés

Livrables juridiques complémentaires

12 livrables avancés pour les situations spécifiques que le parcours standard ne couvre pas : co-responsabilité art. 26, conformité NIS 2 et Data Act, charte IA, transferts intra-groupe et hors UE, contrôle CNIL.

13 livrables disponibles·Génération via Claude Sonnet 4.6·Réviseur IA intégré

Accord co-responsabilité art. 26

Accord obligatoire entre co-responsables d'un même traitement. Définit la répartition des obligations RGPD entre les parties (exercice des droits, information des personnes, sécurité, notification violations).

15-20 minCo-RTGroupe

Article 26 RGPD + Lignes directrices CEPD 07/2020

Procédure ANSSI 24h

Procédure interne pour notifier l'ANSSI en cas d'incident de sécurité (Opérateurs d'Importance Vitale et entités essentielles/importantes au sens de NIS 2). Délais cumulés : alerte 24h, rapport intermédiaire 72h, rapport final 1 mois.

20-30 minOIV / NIS 2

NIS 2 art. 23 (transposition FR en cours) + LPM art. L. 1332-6-1 CSI pour OIV

Charte IA interne

Charte interne encadrant l'usage de l'IA par les collaborateurs (IA Act UE 2024/1689 + RGPD art. 22). Définit les usages autorisés, les interdictions, les obligations de transparence et la classification de risque.

15-25 minUsage IA

Règlement IA Act (UE 2024/1689) + RGPD art. 22 (décision automatisée) + Lignes directrices CNIL « IA »

DPA intra-groupe

Convention de sous-traitance ou de mise à disposition de services entre entités d'un même groupe. Cas typique : SI RH groupé, CRM partagé, comptabilité centralisée. Différent d'un DPA classique car les transferts intra-groupe ont leurs propres règles (BCR-T, art. 47, CEPD WP265).

20-30 minGroupe

Article 28 RGPD + Article 47 (BCR si transferts hors UE) + CEPD WP265 sur la définition de RT/ST intra-groupe

TIA Transfer Impact Assessment

Document d'analyse à produire AVANT tout transfert de données vers un pays tiers (hors UE/EEE/pays adéquat), conformément à l'arrêt Schrems II et aux recommandations CEPD 01/2020. Évalue si le pays destinataire offre un niveau de protection équivalent à celui de l'UE.

30-45 minHors UE

Articles 44-49 RGPD + Arrêt CJUE Schrems II (C-311/18, 16 juillet 2020) + Recommandations CEPD 01/2020 + 02/2020

Procédure contrôle CNIL

Procédure interne pour gérer un contrôle de la CNIL (sur place, sur audition, en ligne, sur pièces). Définit le rôle de chaque interlocuteur, les pièces à préparer, les délais de réponse, et les bonnes pratiques de coopération.

15-20 minTous secteurs

Loi Informatique et Libertés art. 19-23 + Décret n° 2019-536 + Charte CNIL des droits du contrôlé

Cartographie IA Act

Inventaire des systèmes d'IA utilisés, classés par niveau de risque selon le Règlement IA, avec les obligations applicables et l'articulation avec le RGPD (décision automatisée, AIPD).

20-30 minUsage IA

Règlement (UE) 2024/1689 (IA Act) + RGPD art. 22 et 35

Politique de conservation

Référentiel des durées de conservation par catégorie de données, avec base légale, archivage intermédiaire et modalités de suppression/anonymisation. Pièce clé de l'accountability et fréquemment demandée en contrôle CNIL.

10-15 minTous secteurs

Article 5.1.e RGPD (limitation de la conservation)

Registre sous-traitant art. 30.2

Registre spécifique que doit tenir tout sous-traitant : catégories de traitements effectués pour le compte de chaque responsable, transferts, mesures de sécurité. Distinct du registre du responsable (art. 30.1).

15-20 min

Article 30.2 RGPD

Dispositif d'alerte (Sapin II)

Procédure interne de recueil des signalements conforme à la loi Sapin II et à la loi Waserman, avec le volet protection des données (confidentialité de l'identité du lanceur d'alerte, durées de conservation, information).

15-25 minGroupe

Loi 2016-1691 (Sapin II) + Loi 2022-401 (Waserman) + Directive (UE) 2019/1937 + RGPD

Conformité NIS 2

Module de conformité à la directive NIS 2 : qualification entité essentielle/importante, enregistrement auprès de l'ANSSI, gouvernance et mesures de gestion des risques (art. 20-21). Distinct de la procédure de notification d'incident (J2).

20-30 minOIV / NIS 2

Directive (UE) 2022/2555 (NIS 2) — transposition FR en cours

Conformité Data Act

Module de conformité au Data Act : accès et partage des données générées par les produits connectés (IoT), clauses contractuelles équitables, changement de fournisseur de services cloud. Articulation avec le RGPD pour les données à caractère personnel.

20-30 min

Règlement (UE) 2023/2854 (Data Act)

Registre des violations

Document obligatoire pour tout responsable de traitement : journal interne de TOUTES les violations de données (atteintes à la confidentialité, l'intégrité ou la disponibilité), qu'elles soient notifiées ou non à la CNIL. Documente les faits, les effets et les mesures correctives (art. 33.5).

20 minTous secteurs

Article 33.5 RGPD + Article 4.12 RGPD + Lignes directrices CEPD 9/2022 sur la notification des violations

À propos de ces livrables

Ces livrables sont conçus pour des situations juridiques précises non couvertes par le parcours standard. Chaque livrable est généré sur la base d'un prompt système expert (article par article, référence jurisprudentielle exacte) et révisé par un reviewer IA secondaire. Ils ne se substituent pas à un conseil juridique personnalisé et doivent être relus par un avocat ou un DPO avant utilisation.

Suite RGPD AVCA Legal, cabinet d'avocats inscrit au barreau de Thonon-les-Bains, Léman et Genevois.