Anticipation des risques, pré-contentieux et contentieux CNIL

Projet innovant impliquant des données personnelles, plainte, contrôle, violation de données, mise en demeure ou procédure de sanction : Odoné accompagne ses clients lorsque les enjeux deviennent sensibles ou stratégiques. Forts d'une connaissance approfondie des pratiques de la CNIL, nous aidons les organisations à anticiper les risques réglementaires, à définir leurs positions et à construire des stratégies adaptées à chaque situation, depuis les premières réflexions sur un projet jusqu'à la défense devant la formation restreinte.

Prendre RDV
flèche noire pointant vers la droiteflèche noire pointant vers la droite

Un accompagnement
adapté à chaque situation

Projet innovant ou sensible

Évaluer la faisabilité d'un projet avant son déploiement

Certains projets impliquant des traitements de données personnelles particulièrement sensibles ou innovants (biométrie, géolocalisation, recours à l'intelligence artificielle, surveillance des activités, croisement de données, etc.) nécessitent une analyse préalable afin d'anticiper les risques réglementaires et de sécuriser les choix structurants avant leur déploiement.

Exemple d'intervention

Accompagnement d'un opérateur de mobilité dans l'analyse de la qualification RGPD (responsable de traitement, sous-traitant ou responsables conjoints) applicable à un schéma complexe de partage de données impliquant des autorités organisatrices de mobilité.

Définition du modèle de gouvernance des données et de la répartition des responsabilités entre les parties.

Plainte

Qualifier le risque et définir une stratégie de réponse

Saisie d'une plainte, la CNIL peut demander à l'organisme concerné de lui communiquer ses observations dans un délai souvent compris entre 8 et 15 jours. Une analyse rapide des faits reprochés et la définition d'une stratégie de réponse adaptée sont souvent déterminantes pour la suite du dossier.

Exemple d'intervention

Accompagnement d’un groupe du CAC 40 à la suite d’une plainte déposée auprès de la CNIL relative à des opérations de prospection commerciale réalisées par l’un de ses partenaires.

Définition de la stratégie de réponse et assistance tout au long des échanges avec l’autorité.

Contrôle CNIL

Anticiper les risques et maîtriser les suites du contrôle

Les constats réalisés par la CNIL et les informations recueillies au cours du contrôle peuvent influencer durablement l'issue du dossier. Une préparation rigoureuse du contrôle, puis l'analyse du procès-verbal et la définition d'une stratégie adaptée, sont souvent déterminantes.

Exemple d'intervention

Accompagnement d'un groupe du CAC 40 confronté à un contrôle sur pièces de la CNIL portant sur un dispositif innovant de paiement biométrique, dans un contexte de forte exposition médiatique.

Définition de la stratégie de réponse et assistance tout au long des échanges avec l'autorité.

Violation de données

Qualifier le risque et déterminer les obligations de notification

Une violation de données impose d'évaluer rapidement les risques associés à l'incident afin de déterminer les obligations de notification applicables. Cette analyse conditionne notamment la notification à la CNIL et, le cas échéant, l'information des personnes concernées.

Exemple d'intervention

Accompagnement d'une organisation syndicale à la suite d'une violation de données affectant plusieurs milliers de données sensibles relatives à ses adhérents.

Définition de la stratégie de notification à la CNIL et assistance dans la préparation de l'information des personnes concernées.

Mise en demeure

Piloter la mise en conformité et prévenir une escalade du dossier

La mise en demeure fixe un délai pour remédier aux manquements identifiés par la CNIL. L'enjeu est d'apprécier les mesures correctrices attendues et les risques associés à une absence ou à une insuffisance de mise en conformité.

Exemple d'intervention

Accompagnement d’un entreprise américaine dans le cadre d'une mise en demeure de la CNIL portant sur l'utilisation cookies et autres traceurs.

Définition de la stratégie de réponse et assistance dans les échanges avec l'autorité jusqu'à la clôture du dossier sans autre mesure de la CNIL.

Procédure de sanction et recours

Définir une stratégie de défense et limiter l'exposition de l'organisme

Lorsqu'une procédure de sanction est engagée, l'enjeu est d'analyser les manquements retenus par la CNIL et de définir une stratégie de défense adaptée afin de limiter les conséquences associées à la procédure. Cette stratégie se matérialise notamment dans les observations écrites et la préparation de la séance devant la formation restreinte.

Exemple d'intervention

Accompagnement d'une ETI dans le cadre d'une procédure de sanction engagée par la CNIL à la suite d'une violation de données personnelles.


Définition de la stratégie de défense et assistance tout au long de la procédure ayant permis de réduire de moitié le montant de la sanction initialement envisagée.

+
20
ans

d’expertise en protection des données.

7
ans à la CNIL

dont 4 ans à la direction de l'accompagnement juridique et 3 ans au service des sanctions.

30
entreprises

du CAC 40 et ETI accompagnées depuis la création du cabinet.

100
%

des dossiers pré-contentieux clos sans sanction.

80
%

des clients accompagnés font appel au cabinet sur plusieurs dossiers.
+ 20 ans d’expertise juridique, dont 7 ans à la CNIL

Odoné, l’expertise choisie par
les entreprises les plus exigeantes

Des dirigeants, juristes, DPO et anciens collègues de la CNIL témoignent de la recherche
continue d’excellence du cabinet, axée sur la rigueur, la proximité et la détermination.

Voir tous les témoignages

“Je travaille régulièrement avec Me Joanna Masson sur des problématiques en lien avec les données personnelles.

A chaque fois j’ai pu constater l’efficacité de son accompagnement dans la gestion de ces enjeux, son professionnalisme, sa réactivité ainsi que son adaptabilité par rapport à chaque situation donnée.


Ses diverses expériences passées ainsi que sa connaissance approfondie de la réglementation applicable lui permettent d'avoir une approche pragmatique et rigoureuse.

C’est par ailleurs toujours un plaisir de travailler avec elle.”

Florence Knafou
Directrice Juridique

“Joanna est une professionnelle reconnue dans le domaine des données personnelles. Sa fine connaissance du sujet et sa compréhension du monde de l'entreprise lui permettent de trouver un bon équilibre entre contraintes légales et impératifs business.”

Tiphaine Bessière
Group Data Protection Officer / Third-party risk management / Director

“Une avocate très compétente, réactive et pragmatique, qui nous a accompagné sur des projets très variés et stratégiques. Joanna s'adapte à tous les niveaux d'interlocuteurs et son approche de la gestion du risque a été appréciée par tous.”

Marion Gauvain
EVP, Group General Counsel

“Je travaille régulièrement avec Joanna sur des sujets data complexes et stratégiques. Joanna nous a en particulier assisté dans l’organisation d’un contrôle CNIL à blanc, dont nous avons tiré de précieux enseignements. Joanna est réactive, dynamique et a une connaissance approfondie de la réglementation.”

Yoann Haddad
Responsable Juridique Digital, Marketing, Données personnelles et Contrats

“J'ai travaillé avec Joanna à la CNIL sur plusieurs dossiers techniquement complexes. Joanna a une très bonne connaissance des exigences en matière de sécurité et comprend rapidement les problématiques techniques. Elle est pragmatique, efficace et fait preuve de beaucoup de bon sens dans ses analyses. Travailler avec elle est un vrai plaisir. Je recommande Joanna sans hésitation !”

Bao-Khanh Nguyen Trung
Enquêteur

“Joanna est une grande professionnelle, qui maîtrise parfaitement les problématiques relatives à la protection des données à caractère personnel et avec laquelle il est toujours très agréable de travailler. J'ai été très heureuse de la compter parmi mes collègues à la CNIL.”

Sabrina Lalaoui
Responsable juridique - droit des données et droit de la cybersécurité

"Le cabinet Odoné nous a accompagnés dans notre participation à un groupe de travail de la CNIL et dans la négociation d’un marché public portant sur des questions complexes de données personnelles. Une expertise solide et un accompagnement à la fois pragmatique, réactif et proche de nos équipes".

Tristan Croiset
Co-founder & CTO

“J’ai travaillé avec Joanna pendant plusieurs années à la CNIL, notamment sur des dossiers liés au transport et à l’énergie. Joanna connaît parfaitement la réglementation applicable aux données personnelles et a une vision stratégique et pragmatique de la matière qui lui permet d'analyser rapidement les problématiques les plus complexes et donner des conseils clairs et opérationnels.”

Emile Gabrié
Adjoint à la sous directrice - DAJ des ministères sociaux

"Travaillant avec le cabinet Odoné depuis plusieurs années sur des sujets de protection des données particulièrement sensibles dans le secteur de l’énergie, nous apprécions leur réactivité et leur pragmatisme. Grâce à leur compréhension fine du fonctionnement du régulateur ils nous accompagnent régulièrement dans des situations complexes, notamment en phase pré-contentieuse".

Isabelle Schun
Directrice juridique

"Le cabinet Odoné nous a accompagnés dans nos échanges avec la CNIL sur des sujets complexes de données personnelles, propres au secteur de l’énergie. Leur expertise du régulateur et la clarté de leurs analyses en font un partenaire de confiance sur les dossiers les plus sensibles."

Pierfranck Pelacchi
Directeur Général Adjoint

Une équipe à taille humaine,
tournée vers l’excellence

Femme souriante avec chemise blanche, portant deux bracelets et une bague, posant avec la main sous le menton dans un intérieur élégant.Portrait d'une femme souriante portant une veste en cuir noir et une chemise blanche avec des motifs colorés, assise devant une cheminée ornée.

Joanna Masson

Avocate associée

Avant de fonder Odoné, Joanna a exercé pendant sept ans dans des cabinets d'avocats internationaux de premier plan.


Elle a ensuite rejoint la Commission Nationale de l’Informatique et des Libertés (CNIL), où elle a exercé à la direction de conformité puis au service des sanctions.


À ce titre, elle a accompagné de grands groupes, acteurs privés et ministères dans leurs démarches de mise en conformité au RGPD et à la loi Informatique et Libertés.


Joanna est chargée d’enseignement en droit des données personnelles à l'École nationale des ponts et chaussées depuis 2022.



Elle est diplômée d’une double maîtrise en droit français et anglais (Université de Cambridge et Paris II Panthéon-Assas), d’un Master 2 en propriété industrielle (Paris II) et d’un Master 2 en droit privé (Paris I Panthéon-Sorbonne).

« Accompagner un client, c’est concilier exigence juridique et réalité opérationnelle. Notre mission : apporter clarté et sécurité dans un cadre en constante évolution et traduire les exigences juridiques en solutions concrètes. »

— Joanna Masson
Envoyer un e-mail
flèche bleue pointant vers la droite
Une femme aux cheveux longs bruns porte une chemise blanche, assise à une table en bois avec un fauteuil jaune et un bouquet de fleurs en arrière-plan.Jeune femme aux cheveux longs et chemise blanche assise à une table en bois avec un fauteuil jaune et un bouquet de fleurs en arrière-plan.

Emma Hanoun

Avocat au Barreau de Paris

Avocate au barreau de Paris depuis quatre ans, Emma intervient aux côtés de Joanna.

Emma a débuté sa carrière au sein du service juridique d’un grand groupe international, avant de rejoindre un cabinet boutique où elle a animé le pôle IT en qualité de counsel.

Elle est diplômée d'un Master 1 Droit privé (Paris II Panthéon-Assas) DU Droit des technologies et du numérique (Paris II Panthéon-Assas) et d'un Master 2 Droit du multimédia et de l'informatique (Paris II Panthéon-Assas).

« La conformité est une culture d’entreprise avant d’être une obligation légale. C'est un marqueur de confiance et un facteur de crédibilité. »

— Emma Hanoun
Envoyer un e-mail
flèche bleue pointant vers la droite

Discutons de vos enjeux

Vous avez fait l'objet d'un contrôle de la CNIL, devez répondre à une mise en demeure, avez subi une violation de données ou souhaitez sécuriser vos pratiques ?

Anticiper, répondre, défendre :

Prenons rdv dès maintenant

Échange direct avec Joanna Masson, avocate fondatrice

7 ans d'expérience au sein de la CNIL

3 ans au service des sanctions de la CNIL

Accompagnement de groupes du CAC 40 et d'ETI

Un accompagnement clair 

commence par des réponses précises

En quoi votre expérience au sein de la CNIL constitue-t-elle un atout ?

Chevron pointant vers le haut

Les années passées au sein de la CNIL, notamment au service des sanctions, nous permettent d'anticiper les attentes de l'autorité et d'identifier rapidement les principaux enjeux d'un dossier.

Une violation de données doit-elle toujours être notifiée à la CNIL ?

Chevron pointant vers le haut

Non. La notification à la CNIL n'est requise que lorsque la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées. Une analyse doit être réalisée au cas par cas afin d'évaluer les obligations applicables et les mesures à mettre en œuvre.

Un contrôle de la CNIL conduit-il nécessairement à une sanction ?

Chevron pointant vers le haut

Non. Un contrôle peut donner lieu à une clôture du dossier, à une mise en demeure ou, dans certains cas, à l'engagement d'une procédure de sanction ordinaire ou simplifiée.

Une plainte déposée auprès de la CNIL conduit-elle nécessairement à un contrôle ?

Chevron pointant vers le haut

Non. Une plainte ne donne pas systématiquement lieu à un contrôle ou à une procédure de sanction.

Les plaintes constituent néanmoins l'une des principales sources de contrôle de la CNIL. Selon la nature des faits dénoncés et les réponses apportées par l'organisme concerné, la CNIL peut solliciter des explications complémentaires, engager un contrôle ou décider de clore le dossier.

Quel est le rôle d'un avocat lors d'un contrôle CNIL ?

Chevron pointant vers le haut

L'avocat peut intervenir avant, pendant et après un contrôle CNIL. En amont, il peut préparer l'organisation au travers d'une simulation de contrôle, revoir la documentation RGPD en place et identifier les principaux points de vigilance. Il peut également assister l'organisation le jour du contrôle afin de sécuriser les échanges avec la CNIL et d'accompagner les équipes concernées.


L'intervention de l'avocat est souvent la plus utile à l'issue du contrôle. L'analyse du procès-verbal permet d'identifier les manquements relevés par la délégation de contrôle, d'évaluer le niveau de risque associé et d'anticiper les suites susceptibles d'être données au dossier. L'avocat accompagne également l'organisation dans ses échanges avec les services de contrôle afin de porter à leur connaissance les mesures correctrices mises en œuvre et de démontrer, lorsque cela est possible, la mise en conformité de l'organisation. L'objectif est d'éviter une approche passive du dossier et de contribuer utilement à la décision de la CNIL sur les suites à donner au contrôle.

À quel moment faut-il se faire assister par un avocat ?

Chevron pointant vers le haut

Dès les premiers échanges avec la CNIL. Les explications apportées à la CNIL dans le cadre d'une plainte, d'une notification de violation de données ou d'un contrôle peuvent influencer durablement les suites du dossier.