Interview de Benjamin Gras sur BFM Business

Benjamin Gras, associé-fondateur d’Inside, évoque la transformation digitale des directions juridiques, l’accompagnement proposé par Inside Avocats et l’offre de consulting d’Inside Skills. Benjamin Gras évoque également les deux grands chantiers stratégiques du cabinet d’ici la fin de l’année 2020.

Inside, au cœur de la digitalisation des entreprises

inside

Article paru dans l’édition de juin 2020 du magazine Décideurs et accessible sur le site de Décideurs

Allié des entreprises dans la négociation de leurs contrats commerciaux et IT, le cabinet Inside Avocats a fait le choix de s’engager dans la digitalisation des directions juridiques. Grâce à ses interventions qu’elle présente sous forme de gestion de projet, la structure lilloise est en mesure de former les juristes à tous les enjeux informatiques et technologiques.

Le mot « inside », qui signifie littéralement « à l’intérieur » en anglais, a sonné comme une évidence pour Benjamin Gras lorsqu’il a été question de trouver un nom à son cabinet lancé en 2018. Après avoir passé plusieurs années en entreprise et côtoyé de près les directeurs juridiques, cet avocat a choisi d’accompagner ses clients “de l’intérieur et au plus près de leurs problématiques opérationnelles”. Une vision si opérationnelle qu’en parallèle d’Inside Avocats, il a également créé Inside Skills, pour proposer aux entreprises de développer des soft skills en IT.


Missions de détachement


Doté d’une double formation en droit fiscal et en droit des nouvelles technologies, Benjamin Gras commence sa carrière d’avocat chez Deprez Guignot et Associés (DDG). Trois ans plus tard, il se tourne vers le monde de l’entreprise en devenant juriste IT au sein de la Stime, filiale informatique du Groupement des Mousquetaires, puis rejoint le groupe Innoha, en tant que consultant achats. J’ai pu y développer une approche commerciale et opérationnelle de l’IT et non plus exclusivement juridique”, se remémore-t-il. Une voie qui le conduira ensuite chez Auchan, où il sera chargé pendant trois années de la gestion de projets de contrats informatiques et de la transformation digitale du groupe à l’international.

Directement imprégnée de ces expériences, l’offre d’Inside Avocats se focalise sur la négociation de contrats commerciaux et informatiques. Entouré de deux juristes spécialistes des techniques d’information, Chloé Neyrand, qui exerçait auparavant chez Auchan, et Matthieu Aubertin, arrivé tout récemment au sein du cabinet, ainsi que d’un stagiaire, Benjamin Gras conseille des start-up, des PME lilloises et parisiennes, mais également des ETI, et même certains groupes internationaux du secteur du luxe ou de l’agro-alimentaire dans la négociation et la rédaction de contrats à portée nationale ou internationale. “Cette expertise de gestion des contrats commerciaux et informatiques recouvre les contrats de licence, de déploiement de projets IT, de cloud, de legal design ainsi que l’ensemble des enjeux d’actualité relatifs aux données personnelles”, détaille le fondateur. Pour accompagner au plus près ses clients, l’avocat assure des missions en détachement au sein même des entreprises. “Cette pratique de terrain s’apparente plus à une prestation de consulting qu’à une simple externalisation de tâches de l’entreprise vers un cabinet d’avocats, comme on peut souvent le voir”, relève l’avocat.

Depuis plusieurs semaines, l’équipe d’Inside Avocats planche par ailleurs sur une mission d’accompagnement d’un data protection officer (DPO) d’un groupe international implanté dans plus de 70 pays, dans le cadre de sa mise en conformité RGPD, “ce qui suscite d’importants enjeux de formation et d’harmonisation des méthodologies pour prendre en compte les spécificités culturelles et approches propres à chaque filiale”, confie le fondateur d’Inside Avocats.

La mise en conformité RGPD occupe une grande partie de son activité, au même titre que la transformation digitale des directions juridiques et le développement de la fonction juridique IT : “La digitalisation d’une organisation passe par la compréhension et l’appréhension des enjeux technologiques de ses juristes, dont la plupart sont spécialisés en droit des contrats et non en gestion de projet”, explique Benjamin Gras. C’est notamment pour cette raison que l’avocat a lancé Inside Skills, une entité qui regroupe une offre de formations : “Les sessions de formation proposées permettent aux collaborateurs de l’entreprise, qu’ils fassent partie de l’équipe juridique, achats, informatique ou RH, de mieux appréhender la gestion du risque contractuel dans les projets IT”, poursuit-il.


Partenariat avec Data Legal Drive


Désireux de développer davantage son expertise des enjeux RGPD, Inside Avocats a récemment noué un partenariat avec Data Legal Drive dans le but de lancer une plateforme permettant aux entreprises de suivre l’état d’avancement de leur mise en conformité. Une initiative qui permettra de renforcer l’empreinte du cabinet sur ces problématiques. “L’objectif sur le long terme est de développer la marque Inside et de conserver son positionnement pragmatique, directement lié à mes expériences passées”, explique l’avocat. Benjamin Gras a jusqu’ici fait le choix de ne recruter que des juristes dans son équipe, “pour leur souplesse”. Il n’exclut cependant pas d’accueillir un autre avocat au sein de sa structure, spécialisé dans une pratique complémentaire de la sienne. Une croissance qu’il souhaite en revanche progressive pour ne pas risquer de mettre en péril l’unité de l’équipe.

Inside : Accompagner la digitalisation d’une main de maître

inside

Article publié le 12 mai 2020 sur le site Challenges

Lancé en 2018 par Maître Benjamin Gras, le cabinet lillois Inside accompagne dans toute la France ses clients, de la start-up aux grands comptes, dont un acteur majeur du luxe français, en passant par la PME ou l’ETI, dans leurs problématiques juridiques liées à la digitalisation grâce à ses deux structures : Inside Avocats et Inside Skills. Un domaine à forts enjeux, auxquels Inside a la particularité de répondre, comme son nom l’indique, en accompagnant les entreprises de l’intérieur.

Pour comprendre le positionnement original et bien pensé de ce cabinet, qui met la stratégie juridique au service de l’opérationnel avec un vrai pragmatisme, il faut revenir sur le parcours de son fondateur, l’avocat Benjamin Gras. Pour ce parisien, qui a longtemps hésité au cours de ses études de droit entre IT et droit fiscal, les trois années passées au sein d’un cabinet spécialisé dans la propriété intellectuelle et le digital, ont joué le rôle de déclencheur. « A l’époque, je fais un constat de junior : être associé en amont aux dossiers permettrait sans nul doute d’éviter bien des écueils » se souvient-il. Animé par cette idée, Maître Benjamin Gras rejoint Le Groupement Mousquetaires et découvre le monde du retail, avant d’être recruté par Auchan sur un poste de juriste IT pour accompagner l’enseigne dans sa transformation digitale en négociant des contrats structurants, après avoir été acheteur IT pendant 1 an au sein du cabinet de conseil Innoha. « La création d’Inside Avocats était pour moi une suite logique à ces expériences en entreprises » explique l’entrepreneur.

Conseil juridique sur-mesure, à 360° au service de l’opérationnel

Fort de sa connaissance du fonctionnement des entreprises qui lui font confiance, Inside Avocats, qui compte désormais 4 collaborateurs dont les juristes Chloé Neyrand et Matthieu Aubertin, a un positionnement radicalement différent de celui d’un cabinet d’avocats classique. « Nous nous concentrons sur le conseil, en mettant volontairement de côté le contentieux. Car, notre objectif, c’est d’éviter aux entreprises d’avoir à en gérer » souligne Maître Benjamin Gras. Son créneau en résumé ? L’accompagnement des projets IT, mais aussi de la structuration des directions juridiques. « Nous avons une vision à 360° et comprenons les problématiques de nos clients, qui manquent de temps face aux flux de projets, ou parfois de recul face aux changements à opérer dans les process de travail » poursuit-il. Un parti pris qui fait mouche, d’autant que les directions juridiques sont l’un des seuls métiers qui ne s’est pas encore ouvert au monde du consulting, sur fond de digitalisation massive, avec de vrais sujets à travailler, comme le Règlement Général sur la Protection des Données (RGPD), et un objectif de taille : la sécurisation de l’entreprise. Pour cela, Inside Avocats offre avec flexibilité et souplesse une palette d’outils sur-mesure avec un forfait ou un abonnement sans mauvaise surprise. L’accompagnement au plus près des besoins est ainsi la clé de voûte d’une expertise en matière de négociation contractuelle et de gestion des données personnelles, avec une réponse toujours orientée business et opérationnel. A court, moyen ou long terme, le cabinet répond à des besoins classiques de négociation de contrats, mais aussi plus pointus, comme l’harmonisation des documents contractuels existants après audit, la rédaction des CGS, les process de délégation de signatures, voire l’accompagnement RGPD grâce au détachement en entreprise. « Contrairement à un cabinet classique, nous partons du client, car il faut que la documentation que nous construisons pour lui s’insère parfaitement dans son business » affirme Maître Benjamin Gras. 

Une nouvelle offre de formations pour accompagner toujours plus les entreprises

Partenaire de l’entreprise plus que prestataire, Inside se défend de cultiver le moindre lien de dépendance avec les entreprises qui lui font confiance. La preuve avec une nouvelle entité, Inside Skills, pour proposer des formations personnalisées aux entreprises, ou encore des solutions pour digitaliser leur conformité RGPD. Une possibilité très intéressante dans le cadre d’un projet de digitalisation, y compris dans le cadre d’un recrutement. « Recruter un juriste IT peut être très long car les besoins sont exponentiels avec les digitalisations, et les profils ne sont pas disponibles ou pas encore formés. Mieux vaut opter pour un juriste généraliste, et le former soi-même » conseille Benjamin Gras. A la clé, un collaborateur plus polyvalent mais non moins opérationnel dans des délais similaires. « Au-delà, il faut aujourd’hui que les juristes comprennent l’IT et ses enjeux » conclut Benjamin Gras. Car la digitalisation est partout.

Guidelines de l’EDPB sur les applications “Covid-19”

Le Comité européen de la protection des données (connu sous son acronyme anglophone EDPB – European Data Protection Board) a adopté le 21 avril ses guidelines concernant l’utilisation de données de localisation et de contact par des outils de traçage dans le contexte de l’épidémie Covid-19. 

L’EDPB précise que l’efficacité de ces dispositifs dépend de nombreux facteurs (ex. : pourcentage de personnes utilisatrices, définition de la notion de « contact » en termes de proximité et de durée). L’EDPB rappelle à ce titre que l’utilisation de ces applications doit être volontaire et que le traitement de données effectivement anonymisées doit toujours être privilégié lors du traitement de données de localisation. 

Comme pour tout traitement de données à caractère personnel, les principes phares du RGPD doivent être respectés :  

  • Le responsable de traitement doit être clairement déterminé : l’EDPB considère qu’il peut s’agir des autorités sanitaires nationales ; 
  • Conformément au principe de limitation, les finalités doivent être spécifiques et exclure tout traitement ultérieur pour des finalités non liées à la gestion de la crise ; 
  • Les principes de minimisation des données et de protection par design et par défaut doivent être respectés : seules des données de proximité (et non de suivi de localisation) doivent être utilisées, des mesures doivent être mises en place pour empêcher toute ré-identification des individus, seules les informations pertinentes et absolument nécessaires doivent être collectées ;  
  • La base légale du traitement doit être identifiée : bien que l’utilisation de l’application doive se faire sur une base volontaire, cela n’implique pas que le consentement en soit nécessairement la base légale. En effet, l’EDPB note que la base légale la plus pertinente réside dans la nécessité à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ; 
  • Les catégories de données et les entités destinataires doivent être identifiées ; 
  • Les critères de démantèlement de l’application et l’entité en étant responsable doivent être déterminés dès que possible ; 
  • Les durées de conservation des traitements liés à la recherche scientifique et aux données statistiques doivent être déterminées en tenant compte de leur stricte nécessité et de leur intérêt médical ; 
  • La mise en œuvre d’une analyse d’impact (DPIA) est indispensable avant de mettre en œuvre une telle application, le traitement présentant un risque élevé pour les droits et libertés des personnes concernées. 

L’EDPB souligne en conclusion qu’« il ne faudrait jamais avoir à choisir entre une réponse efficace à la crise du Covid-19 et la protection de nos droits fondamentaux : nous pouvons réaliser les deux, et les principes de protection des données peuvent jouer un rôle très important dans la lutte contre le virus ».  

Le RGPD à l’épreuve de la « pratique »

inside

Evolution ou révolution ? Encore et toujours la même question qui revient. La législation sur les données personnelles existant depuis 40 ans, le RGPD n’est en rien une révolution. C’est un changement profond du fonctionnement et de l’appréhension par les entreprises des enjeux liés au traitement des données personnelles. Contrairement à ce que l’on pourrait penser, se mettre en conformité avec le RGPD est relativement simple si l’on dispose des bons outils, de la bonne méthodologie mais surtout que l’on fait œuvre de pédagogie en interne. Mais attention, simple ne veut pas dire rapide.

Cette mise en conformité RGPD doit être abordée comme un projet à part entière et peut s’envisager par deux axes principaux :

  • La conformité externe, c’est-à-dire la conformité dans votre relation avec vos clients/fournisseurs ;
  • La conformité interne, représentant l’ensemble des mesures mises en place au sein même de votre entreprise pour assurer le respect du RGPD.

 

La conformité externe

Le RGPD apporte une logique de responsabilisation des acteurs, responsable de traitement comme sous-traitant, qui doivent encadrer les traitements mis en œuvre dans le cadre de leurs relations contractuelles. Pour être exhaustif, cet encadrement doit se matérialiser sur les aspects juridiques, mais également sur les aspects opérationnels.

D’un point de vue purement juridique, doivent être déterminés les obligations et droits de chaque partie : qui est responsable de quoi dans le traitement des données, et quelle responsabilité pour qui en cas de violation de données ? Sous quel délai le sous-traitant doit-il notifier une violation au responsable de traitement ? Quelles sont les modalités des audits relatifs à la protection des données ? Dans quelle mesure le sous-traitant peut-il recourir à d’autres prestataires pour traiter les données ?

Sur les aspects opérationnels, l’article 28.3 du RGPD est très clair : « le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement […]».

Concrètement, il vous appartient de vous poser les questions suivantes pour chaque traitement :

  1. Quelles sont les opérations effectuées sur les données ?
  2. Quel est l’objectif du ou des traitement(s) devant être mis en œuvre ?
  3. Quelles sont les catégories de données et de personnes concernées ?
  4. Pendant combien de temps le traitement doit-il être mis en œuvre ?
  5. Y a-t-il un transfert de données en dehors de l’UE ?

Il est également indispensable de cadrer la mise en place et le respect des mesures relatives à la sécurité des données. A défaut de recueillir de telles instructions, le sous-traitant risque une requalification en responsable de traitement (article 28.10).

 

La conformité interne

Les mesures devant être mises en place au sein de l’entreprise pour assurer le respect du RGPD découlent directement de la nouvelle logique d’« Accountability » : les entreprises doivent désormais mettre en œuvre des mécanismes et des procédures internes permettant de démontrer leur respect de la législation en matière de données personnelles.

Cette logique implique notamment la désignation obligatoire d’un Data Protection Officer (DPO) pour les entreprises de plus de 250 salariés et la tenue d’un registre de l’ensemble des traitements réalisés. Au-delà des éventuelles données clients pouvant être traitées, ne doivent pas être oubliées celles des collaborateurs de l’entreprise. Ces derniers doivent être informés de la manière dont sont traitées leurs données, la gestion des accès des personnes traitant des données personnelles doit être strictement encadrée, et la sensibilisation des collaborateurs est indispensable pour assurer une bonne compréhension des enjeux à tous les niveaux. La conformité passe aussi par l’ensemble des outils informatiques traitant des données personnelles : une cartographie des outils utilisés doit être effectuée, les outils devant être sécurisés, et les nouveaux outils internes conçus en prenant compte de la protection des données dès leur conception et par défaut.    

La conduite d’une analyse d’impact permet quant à elle d’analyser un traitement avant sa mise en œuvre, pour identifier les risques et menaces liés à ce traitement. Cette analyse est obligatoire pour certains traitements, dont les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées. L’analyse consiste à faire une balance entre le dispositif choisi et les enjeux qu’il soulève, en tenant compte du respect des principes juridiques fondamentaux et des techniques de sécurisation des données. L’analyse d’impact permet non seulement de vérifier la conformité RGPD du traitement en interne, mais également de démontrer le respect du principe d’« Accountability » auprès de la CNIL.

Comme évoqué dans le « Rapport d’activité 2018 » publié par la CNIL, le nombre de plaintes déposées en 2018 a augmenté de 32,5%. L’entrée en vigueur du RGPD a marqué une prise de conscience inédite de la part des particuliers comme des entreprises. Si l’année 2018 a constitué une année de transition permettant aux acteurs de comprendre cette législation, l’année 2019 achève cette période et connaitra donc de nombreux contrôles du respect des nouvelles obligations.

En conclusion, la conformité RGPD doit être perçue comme un sujet de compliance qui n’est pas l’affaire du seul DPO mais bien un enjeu quotidien pour l’ensemble de vos collaborateurs.