Vous traitez des données. Vous utilisez ou déployez de l’IA. Quelqu’un doit en être juridiquement responsable.
Sous-traitant qui gère vos données clients, outil IA intégré dans vos processus, flux vers des prestataires hors UE : chaque décision crée une responsabilité juridique sans que personne dans votre organisation n’en ait réellement conscience. Le RGPD est en vigueur depuis 2018. L’AI Act s’applique désormais. La CNIL intensifie ses contrôles. Les sanctions ne visent pas seulement les grandes entreprises.
La question n’est pas de savoir si vous êtes conformes sur le papier. La question est de savoir si votre organisation est réellement protégée.
Une approche d’avocat, pas de consultant
Maître William LAURENT est titulaire de la certification CIPP/E (Certified Information Privacy Professional / Europe), délivrée par l’International Association of Privacy Professionals (IAPP), référence mondiale en matière de protection des données et de conformité RGPD. Cette certification, obtenue après examen, atteste d’une maîtrise approfondie du cadre juridique européen de la protection des données : le RGPD dans l’ensemble de ses dispositions, les mécanismes de transfert international, les obligations des responsables de traitement et des sous-traitants, et les pouvoirs des autorités de contrôle nationales comme la CNIL.
Ce que cela change concrètement pour vous : vous n’êtes pas accompagné par un généraliste qui a lu le RGPD, mais par un praticien dont la maîtrise technique du droit des données a été vérifiée de façon indépendante. La différence est sensible dès l’audit initial, et décisive en cas de contrôle ou de contentieux.
Ce que le RGPD exige réellement de votre organisation
Le RGPD impose à toute organisation traitant des données personnelles, quelle que soit sa taille, un ensemble d’obligations concrètes dont la méconnaissance est sanctionnée. Les amendes prononcées par la CNIL en 2023 et 2024 ont touché des PME, des associations et des cabinets médicaux, pas uniquement des multinationales.
Les obligations les plus fréquemment méconnues par les PME sont au nombre de quatre. La première est la tenue d’un registre des traitements : toute organisation doit documenter l’ensemble des traitements de données qu’elle réalise, leur finalité, leur base légale et leur durée de conservation. La deuxième est l’encadrement contractuel des sous-traitants : tout prestataire qui traite des données pour votre compte, hébergeur, logiciel RH, outil de facturation, prestataire marketing doit être lié par un contrat de sous-traitance conforme à l’article 28 du RGPD. La troisième est la gestion des violations de données : toute faille de sécurité affectant des données personnelles doit être notifiée à la CNIL dans les 72 heures, et aux personnes concernées si le risque est élevé. La quatrième est l’encadrement des transferts hors UE : transmettre des données à un prestataire établi aux États-Unis ou dans tout autre pays tiers sans mécanisme de transfert adéquat constitue une violation caractérisée du RGPD.
Ce que l’AI Act impose maintenant
L’AI Act européen est entré en application de façon progressive depuis août 2024. Il crée un cadre contraignant pour toute organisation qui utilise, déploie ou développe des systèmes d’intelligence artificielle, organisé autour d’une classification par niveau de risque. Les systèmes à haut risque, recrutement automatisé, scoring de crédit, outils de décision RH, systèmes de surveillance, sont soumis à des obligations renforcées : analyse d’impact, documentation technique, supervision humaine, enregistrement auprès des autorités compétentes. Les systèmes d’IA générative, comme les assistants de rédaction ou les chatbots clients, sont soumis à des obligations de transparence spécifiques. Ignorer ces obligations n’est pas une option : les sanctions prévues par l’AI Act atteignent 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les violations les plus graves.
Ce que nous faisons ensemble
L’accompagnement du cabinet couvre l’ensemble du cycle de conformité. L’audit initial permet d’identifier vos traitements à risque, vos failles contractuelles avec vos sous-traitants et votre exposition sous l’AI Act si vous utilisez ou déployez des systèmes d’IA. La phase de structuration produit les livrables opérationnels : registre des traitements, politiques internes, contrats de sous-traitance, encadrement des flux internationaux. Pour les projets IA, le cabinet assure la classification de vos systèmes selon le niveau de risque AI Act, la réalisation des analyses d’impact (DPIA) requises et l’encadrement contractuel de vos fournisseurs technologiques. En cas de crise — incident de sécurité, contrôle CNIL, mise en demeure — le cabinet intervient en urgence pour piloter la réponse et limiter l’exposition.
Honoraires
Les honoraires sont établis en fonction de la taille de votre organisation et de la complexité de vos traitements : diagnostic stratégique à partir de 2 000 € HT ; structuration complète de la conformité à partir de 5 000 € HT ; accompagnement projets IA à partir de 7 500 € HT. Un premier échange confidentiel permet d’établir un devis précis adapté à votre situation.
Intervention sur tout le territoire et au-delà
Cabinet basé à Mulhouse. Les missions se déroulent majoritairement à distance sans contrainte géographique pour votre organisation.
Nous contacter
William LAURENT, avocat
24 rue de Stalingrad
68100 MULHOUSE
tel : 03.89.66.33.44
courriel : william.laurent@avocat.fr
Prendre rendez-vous
Maître William LAURENT consulte exclusivement sur rendez-vous
Consulter mon profil Avocat.fr
Nous situer
Cette carte est fournie par Google Maps. En cliquant sur la carte, vous acceptez le chargement de contenus depuis Google.