Odoné est un cabinet d’avocat dédié aux enjeux liés à la protection des données à caractère personnel, caractérisé par une approche à haute valeur ajoutée et une forte implication auprès des clients.

Joanna Masson.jpg

Joanna MASSON


Avocat au Barreau de Paris



Envoyer un e-mail


Joanna Masson accompagne des sociétés françaises et étrangères dans leur mise en conformité à la règlementation applicable en matière de données à caractère personnel, avec des conseils stratégiques, pragmatiques et opérationnels.

Avocat au Barreau de Paris depuis 2007, Joanna a commencé sa carrière chez Latham & Watkins dans une équipe dédiée aux nouvelles technologies, avant d’intégrer un cabinet boutique, dont l’activité était consacrée à la propriété intellectuelle et aux technologies de l’information.

Après avoir exercé pendant sept ans en tant qu’avocat, elle a rejoint la Commission Nationale de l’Informatique et des Libertés (la CNIL). Elle y a travaillé pendant six ans, d’abord à la Direction de la Conformité au service des affaires économiques puis au service des sanctions et du contentieux à la Direction de la Protection des Droits et des Sanctions. À ce titre, elle a guidé des acteurs privés ainsi que des ministères dans leur mise en conformité à la loi Informatique et Libertés et au règlement général sur la protection des données à caractère personnel (le RGPD).

Joanna est diplômée d’une double maîtrise en droit français et anglais des universités de Cambridge et Paris II Panthéon-Assas, d’un Master 2 en propriété industrielle de l’université de Paris II Panthéon-Assas et d’un Master 2 en droit privé de l’université de Paris I Panthéon-Sorbonne.

Ma force

J’ai acquis une expertise approfondie en matière de données personnelles en accompagnant depuis plusieurs années des acteurs publics et privés dans leur mise en conformité sur des dossiers à forts enjeux.
Ma forte spécialisation et mon expérience me permettent de conseiller mes clients de manière pragmatique et stratégique.

Mon engagement

Je traite personnellement tous les dossiers du cabinet et me concentre uniquement sur les problématiques liées aux données personnelles, matière que je pratique quotidiennement depuis plusieurs années.

Ma mission

Je vous accompagne, pas à pas, dans votre mise en conformité pour vous aider à évaluer votre situation
et mettre en œuvre un plan d’action concret et clair pour corriger les points de non-conformité et minimiser
les risques d’une sanction de la CNIL.

FOIRE AUX QUESTIONS SUR LE RGPD

  • 1. Droit d’opposition préalable, sans nécessité de motiver sa décision (hors prospection commerciale pour laquelle un tel droit d’opposition est prévu à l’article 21 du RGPD).

    2. Traitement des données à la volée, en temps réel.

    3. Pseudonymisation ou anonymisation « à brefs délais » (notion qui était présente dans la loi Informatique et Libertés et a disparu avec le RGPD).

    4. Mise en place de « dashboards » permettant aux personnes concernées de gérer leurs préférences de manière fine et immédiate.

    5. Cloisonnement des données entre plusieurs entités, de façon à ce qu’aucune d’entre elles ne puisse accéder à l’ensemble des données.

    Il appartient au responsable de traitement de vérifier au cas par cas si l’application de ces mesures permet d’atteindre un équilibre entre son intérêt légitime et les droits et intérêts des personnes concernées : si la pondération apparaît équilibrée, le traitement peut être fondé sur la base légale de l’intérêt légitime. Dans le cas contraire, une autre base légale devra être recherchée, par exemple, le consentement.

  • En matière de RGPD, le mieux est parfois l’ennemi du bien.

    Ainsi, lancer tous vos chantiers de mise en conformité RGPD en même temps (par exemple, quand vous décidez de lever des fonds), sans les hiérarchiser et sans y dédier de ressources en interne, est généralement une mauvaise idée.

    La plupart du temps, la documentation reste à l’état de projet et n’est jamais finalisée, faute d’arbitrages en interne, et/ou les règles applicables ne sont pas relayées aux opérationnels, de sorte que le rapport d’audit reste lettre morte.

    Alors pour commencer, privilégiez la méthode des petits pas et identifiez 3 chantiers stratégiques.

    Par exemple, attaquez-vous :

    • Au bandeau cookie de votre site d’e-commerce si en 2022 il prévoit toujours que « Ce site utilise des cookies afin d’améliorer votre expérience et optimiser nos sites et services. J’accepte ».

    • A la politique de confidentialité si l’information RGPD de votre site se résume à une clause « Données Personnelles » dans vos CGV.

    • A l’archivage de vos données, si vous gardez tout en base active depuis la création de votre société … en 2008.

  • De manière générale, si vous devez vous assurer de l’identité d’une personne, la simple consultation d’une pièce d’identité suffit.

    Une copie de la pièce d’identité peut être conservée uniquement lorsque les conditions cumulatives suivantes sont remplies :

    • La loi le prévoit (par exemple, les banques sont tenues de vérifier l'identité de leurs clients dans le cadre de la lutte contre le blanchiment d'argent et de conserver une copie des documents relatifs à cette identité pendant cinq ans à compter de la clôture des comptes ou de la cessation de leurs relations) ou vous justifiez en avoir besoin pour vous pré-constituer une preuve en cas de contentieux.

    S’agissant des demandes d’exercice des droits au titre du RGPD, sachez que la demande d’une pièce d’identité ne doit pas être systématique et ne peut intervenir qu’en cas de doute raisonnable.

    • La pièce d’identité est conservée au maximum 6 ans.

    • La copie de la pièce d’identité est conservée en base d’archivage intermédiaire et non en base active.

    • Vous mettez en œuvre des mesures de sécurité renforcées pour minimiser les risques d'usurpation d’identité en cas de fuite de données, par exemple, 𝑣𝑖𝑎 une limitation de la qualité de l’image numérisée (copie en noir et blanc et non en couleur, nombre de pixels limité), l'intégration d'un filigrane comportant la date de collecte et l’identité de l’organisme ou le chiffrement.

     En ce sens, voir le référentiel « gestion commerciale » de la CNIL, p. 6

    • Erreur n°1 : ne pas prévoir de document distinct de vos CGV ou CGU.

    Le RGPD prévoit que l’information donnée aux personnes concernées doit être aisément accessible.

    Il en résulte que les informations en rapport avec la protection des données doivent pouvoir être facilement distinguées de celles qui ne sont pas spécifiquement liées à la vie privée.

    Concrètement, cela signifie que l'insertion d'une clause "données personnelles" dans vos CGV ou CGU ne suffit pas : vous devez avoir une politique de confidentialité ou une charte "vie privée" distincte de vos CGV ou CGU.

    • Erreur n°2 : publier une information incomplète.

    La politique de confidentialité doit être exhaustive et contenir l’ensemble des informations listées aux articles 13 et 14 du RGPD.

    En pratique, si vous n’avez pas mis à jour votre politique de confidentialité depuis l’entrée en application du RGPD, vos mentions d’information sont probablement incomplètes, le RGPD ayant ajouté de nouvelles mentions par rapport à celles qui étaient exigées jusqu’en 2018 par la loi Informatique et Libertés.

    • Erreur n° 3 : utiliser un jargon juridique ou technique qui rend l’information incompréhensible pour le grand public.

    L’information doit être rédigée en des termes « clairs et simples » et être facilement « compréhensible », en application de l’article 12 du RGPD.

    En pratique, cela signifie qu’il convient d’éviter les termes juridiques ou techniques, ainsi que les formules vagues et abstraites et privilégier des phrases courtes et simples, avec une mise en page bien structurée grâce à des puces et alinéas clairement hiérarchisés.

  • Non. Le prononcé d’une sanction par la CNIL n’est pas subordonné à l’intervention préalable d’une mise en demeure.

    En ce sens, voir par exemple la sanction prononcée par la CNIL à l’encontre de la société FREE le 28 décembre 2021 :

    « La société s’étonne de ne pas avoir été au préalable mise en demeure de corriger les manquements à l’origine des faits litigieux (…)».

    Réponse de la CNIL : « la formation restreinte relève d’abord qu’il ressort des dispositions de l’article 20 de la loi « Informatique et Libertés » modifiée par la loi n° 2018-493 du 20 juin 2018 que l’autorité de contrôle dispose d’un ensemble de mesures correctrices, adaptées selon les caractéristiques propres à chaque cas, qui peuvent être combinées entre elles et être précédées ou non d’une mise en demeure. Les mesures correctrices peuvent être prises directement dans tous les cas.

    La formation restreinte relève également que le Conseil constitutionnel (Cons. const., 12 juin 2018, n° 2018-765 DC) n’a pas émis de réserve s’agissant de la possibilité pour le président de la CNIL d’engager une procédure de sanction sans mise en demeure préalable. Enfin, la formation restreinte rappelle que le Conseil d’État a jugé (CE, 9 octobre 2020, Société SERGIC, n° 433311) qu’il "résulte clairement [des dispositions de l’article 20 de la loi du 6 janvier 1978 modifiée], que le prononcé d’une sanction par la formation restreinte de la CNIL n’est pas subordonné à l’intervention préalable d’une mise en demeure du responsable du traitement ou de son sous-traitant par le président de la CNIL […] » (§ 25-26).

    • Idée reçue n° 1 : il faut nécessairement recueillir le consentement de la personne pour traiter ses données.

    Faux - le consentement constitue l’une des six bases légales prévues à l’art. 6 du RGPD.

    Le RGPD n’établit pas de hiérarchie entre ces bases légales et il n’existe pas de prééminence générale du consentement sur les autres bases légales.

    Les responsables du traitement peuvent procéder à des traitements en s’appuyant sur une autre base légale, par exemple, sur l’exécution d’un contrat ou leur intérêt légitime.

    Attention, si le RGPD n’établit pas de hiérarchie entre ces bases légales, dans certaines hypothèses, la base légale est prévue par des dispositions spécifiques. C’est, par exemple, le cas pour la prospection commerciale : l’article L. 34-5 du code des postes et des communications électroniques impose l’obligation de recueillir le consentement de la personne concernée préalablement à l’envoi de prospection commerciale par e-mail ou par sms.

    • Idée reçue n° 2 : pour recueillir un consentement valable, il suffit de prévoir une case à cocher non-pré-cochée, quel que soit le contexte de la collecte.

    Faux – le consentement doit être libre c’est-à-dire que la personne ne doit pas subir de conséquences négatives en cas de refus. Or, dans certains contextes, les personnes sont rarement en mesure de refuser ou de révoquer librement leur consentement.

    Par exemple, les traitements effectués dans le cadre des opérations de recrutement peuvent rarement être fondés sur le consentement des candidats, dès lors qu'un refus de leur part pourrait affecter leurs chances d’obtenir un emploi.

    • Idée reçue n° 3 : une fois que la personne a donné son consentement, il est possible de collecter tout type de données, que ces données soient ou non nécessaires à la prestation demandée.

    Faux – le traitement doit reposer sur une base légale ET être conforme au principe de minimisation des données, c’est-à-dire que le responsable de traitement n’est tenu de collecter que les données strictement nécessaires.

    Par exemple, une application météo ne peut pas collecter la géolocalisation exacte d’un utilisateur pour afficher la météo à l’échelle de la ville, et ce même s’il y a consenti.

    • Erreur n° 1 : exiger systématiquement un justificatif d’identité.

    Une demande systématique d’un justificatif d’identité constitue un manquement à l’article 12 du RGPD, dès lors qu’il n’existe pas de doute raisonnable sur l’identité de la personne présentant la demande.

    En ce sens, voir par exemple la sanction prononcée par la CNIL à l’encontre de la société CARREFOUR FRANCE le 18 novembre 2020.

    • Erreur n°2 : ne pas répondre à la demande.

    Vous devez informer le client des mesures prises à la suite de sa demande, dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la demande.

    Ainsi, tenir compte de la demande et supprimer les données du client sans le lui indiquer n’est pas conforme au RGPD.

    En ce sens, voir par exemple la sanction prononcée par la CNIL à l’encontre de la société FREE MOBILE le 28 décembre 2021 §74.

    Conseil : pour vous assurer que les demandes d’exercice des droits sont bien identifiées comme telles par vos équipes, préférez une adresse électronique dédiée, de type privacy@nomdelasociété.com, à une adresse générique, de type contact@nomdelasociété.com.

    • Erreur n° 3 : désactiver le compte du client sans supprimer ses données de la base active.

    Suite à une demande d’opposition, vous devez (i) supprimer les données du client ou (ii) les trier et archiver lorsqu’elles sont nécessaires pour répondre à vos obligations légales ou préserver vos droits en justice.

    Il n’est pas suffisant de désactiver le compte, de façon à ce que le client ne reçoive plus de messages de prospection, tout en continuant à conserver ses données en base active.

  • Le 3 février, la CNIL a publié deux référentiels sur la gestion commerciale et la gestion des impayés.

    À retenir :

    1. Bases légales

    Les référentiels identifient les bases légales susceptibles de fonder les traitements les plus courants.

    Par exemple :

    - programmes de fidélité => exécution du contrat

    - service après-vente => exécution du contrat

    - statistiques de vente => intérêt légitime

    - prospection commerciale par voie électronique (par e-mail ou SMS) en B2C => consentement

    - gestion des impayés => exécution du contrat

    Bon à savoir: ce sont ces bases légales qui doivent figurer dans votre politique de confidentialité.

    2. Durées de conservation

    Les données relatives aux clients utilisées à des fins de prospection commerciale peuvent être conservées en base active pendant la relation commerciale, puis pour une durée de 3 ans à compter de la fin de la relation commerciale.

    Les données relatives aux prospects utilisées à des fins de prospection commerciale peuvent être conservées en base active pendant un délai de 3 ans à compter de leur collecte ou du dernier contact venant du prospect (par exemple, un clic sur un lien hypertexte dans un courriel).

    Ce sont aussi ces durées de conservation qui doivent a priori figurer dans votre politique de confidentialité (et être mises en œuvre 😉)

    3. Impayés

    Les traitements relatifs à la gestion des impayés impliquent la mise en œuvre de garanties particulières, à savoir :

    - une information renforcée des personnes concernées, en plusieurs étapes (au moment de la conclusion du contrat, lorsque l’impayé survient ainsi qu’au moment de l’inscription sur la liste d’exclusion) ;

    - une durée limitée de conservation des données relatives à la personne concernée, c’est-à-dire un délai de suppression de 48 h maximum après le constat de régularisation et de 5 ans à compter de la survenance de l’impayé, dans le cas où il n’y a pas de régularisation.

  • Dans le prolongement d’une récente décision de l’autorité autrichienne, la Cnil vient à son tour de confirmer que les Google Analytics sont non conformes au RGPD en raison d’un encadrement insuffisant des transferts des données personnelles vers les Etats-Unis.

    En conséquence, la Cnil met en demeure un gestionnaire de site web et annonce avoir engagé d’autres procédures de mises en demeure contre des gestionnaires de sites utilisant Google Analytics.

    Pour autant, le recours à des outils de mesure et d’analyse d’audience reste possible et la Cnil liste sur son site plusieurs solutions conformes.

  • La CNIL rappelle les règles applicables à la prospection commerciale en publiant des fiches pédagogiques et une infographie sur la transmission des données à des partenaires pour des opérations de prospection B2C.

    Les points clefs à retenir :

    1. Prospection B2B par e-mail ou SMS

    Le consentement du professionnel démarché n’est pas nécessaire et l’intérêt légitime peut être retenu si :

    - l’objet de la sollicitation est en lien avec sa profession/spécialité ; et

    - au moment de la collecte de l’adresse de messagerie, le professionnel démarché a été informé que son adresse électronique sera utilisée à des fins de prospection par voie électronique et a été mis en mesure de s’y opposer de manière simple et gratuite.

    2) Prospection B2C par e-mail ou SMS

    La publicité est possible à condition que les personnes aient donné leur consentement avant d’être démarchées.

    Le consentement doit être libre, spécifique, éclairé et univoque et requiert, pour être valable, une action positive de la personne concernée (par exemple, une case à cocher dédiée qui ne soit pas pré-cochée). L'acceptation de conditions générales d'utilisation est insuffisante.

    Par exception, le consentement n’est pas requis si la personne prospectée est déjà cliente de l'entreprise et si la prospection concerne des produits ou services similaires fournis par la même entreprise.

    Dans ce cas, la prospection peut être fondée sur l’intérêt légitime de l’entreprise et la personne doit au moment de la collecte de son adresse de messagerie :

    - être informée que son adresse électronique sera utilisée à des fins de prospection ;

    - être en mesure de s’opposer à cette utilisation de manière simple et gratuite lorsque les données sont collectées et à tout moment notamment lors de chaque envoi d’un courrier électronique de prospection.

    Attention : cette exception ne peut pas être mobilisée lorsqu’aucune vente ou prestation de service n’a été effectuée, y compris lorsque le client a créé un compte en ligne.

    3) Transmission à des partenaires

    La transmission, payante ou non, de données personnelles de clients ou prospects à des partenaires qui souhaitent les réutiliser à des fins de prospection commerciale par voie électronique (e-mail ou SMS) est soumise au recueil du consentement des personnes concernées.

    • Erreur n° 1 : envoyer des courriels de prospection à des personnes ayant créé un compte sur le site mais n’ayant pas procédé à un achat, sans recueillir leur consentement préalable.

    • Erreur n° 2 : ne pas définir de durées de conservation des données à caractère personnel de ses clients et prospects ou les conserver pendant des durées plus longues que celles définies, sans que les durées effectives ne soient adaptées au regard des finalités pour lesquelles les données sont traitées.

    A titre d'exemple, en l'espèce, la société conservait :

    - les données personnelles de clients n’ayant pas passé commande depuis 5 ans;

    - les données personnelles de personnes ne s’étant pas connectées à leur compte client depuis 5 ans.

    • Erreur n° 3 : ne pas porter à la connaissance de ses clients et prospects l’ensemble des mentions listées à l’article 13 du RGPD (notamment les coordonnées du DPO, les durées de conservation, les bases juridiques des traitements et l'ensemble des droits dont les personnes bénéficient au titre du RGPD).

    • Erreur n° 4 : ne pas supprimer les données à caractère personnel (notamment les adresses mail) des clients ayant formulé une demande d'effacement et se contenter de désactiver l’accès à leur compte, de façon à bloquer l’envoi de prospection commerciale.

    • Erreur n° 5 : ne pas assurer la sécurité des données personnelles, notamment en n’imposant pas l’utilisation d’un mot de passe robuste lors de la création d’un compte sur son site web.

    • Erreur n° 6 : déposer automatiquement des cookies, y compris des cookies publicitaires, dès l’arrivée de l'utilisateur sur le site, sans recueil préalable de son consentement.

  • L’enregistrement d’un échange téléphonique avec un consommateur peut être réalisé de manière conforme au RGPD, sous réserve de respecter les conditions suivantes :

    1- L’enregistrement doit poursuivre une finalité légitime (par exemple, apporter la preuve d’un contrat, former le personnel, améliorer la qualité du service client) et être nécessaire pour l’atteindre.

    Par exemple, la CNIL considère que l’enregistrement d’une conversation téléphonique n’est pas nécessaire pour établir la preuve de la formation d’un contrat écrit, dès lors que cette preuve peut reposer sur la production de documents imposés par la loi.

    2- Respect du principe de minimisation des données : les enregistrements téléphoniques ne peuvent être ni permanents ni systématiques, sauf texte légal. L’enregistrement d’une conversation téléphonique ne peut être déclenché par défaut, de manière automatisée, pour tous les appels téléphoniques et pour l’intégralité des conversations.

    3- Transparence : les personnes concernées par l’enregistrement (prospect, client, salarié, prestataire) doivent être informées de façon concise, compréhensible et aisément accessible de la manière dont sont traitées les données les concernant.

    4- Sécurité : des mesures de sécurité doivent être prises pour éviter que des personnes non autorisées n’accèdent aux informations qu’elles n’ont pas à connaître. En particulier, il convient de mettre en place une gestion stricte des habilitations et des modes de traçabilité informatique permettant de savoir quel salarié accède aux enregistrements et à quelle date.

    5- Durées de conservation : les conversations enregistrées doivent être conservées pendant une durée limitée. Par exemple, la CNIL préconise que les enregistrements des appels sur le lieu de travail soient conservés six mois au maximum, sauf texte imposant une durée spécifique ou justification particulière.

    6- Registre : le dispositif d’enregistrement doit être inscrit au registre des activités de traitement.

    Pour en savoir plus, liens en premier commentaire vers deux fiches publiées CNIL sur cette thématique.

  • Le 15 avril 2022, la CNIL a sanctionné la société DEDALUS BIOLOGIE d’une amende de 1,5 million d’euros, notamment pour des défauts de sécurité, ayant conduit à la fuite de données médicales de près de 500 000 personnes.

    La CNIL retient 3 manquements à l'encontre du sous-traitant :

    1- Un manquement à l’obligation de respecter les instructions du responsable de traitement.

    La CNIL rappelle que le sous-traitant est tenu de se conformer aux instructions du responsable de traitement.

    En l’espèce, la CNIL considère que DEDALUS BIOLOGIE a traité des données au-delà des instructions données par les laboratoires responsables de traitement, en extrayant un volume de données plus important que celui requis dans le cadre d'une migration.

    2- Un manquement à l’obligation d’assurer la sécurité des données personnelles.

    La CNIL retient des manquements techniques et organisationnels en matière de sécurité à l’encontre de DEDALUS BIOLOGIE, ayant conduit à la violation de données.

    Plus particulièrement, la CNIL reproche au sous-traitant : l’absence de procédure spécifique pour les opérations de migration de données, l’absence de chiffrement des données personnelles stockées sur le serveur problématique, l’absence d’effacement automatique des données après migration vers l’autre logiciel, l’absence d’authentification requise depuis internet pour accéder à la zone publique du serveur, l’utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur, l’absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur.

    3- Un manquement à l'obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement.

    La formation restreinte souligne que le fait que l’obligation résultant de l’article 28, paragraphe 3, du RGPD incombe tant au responsable de traitement qu’au sous-traitant est sans incidence sur l’existence d’une responsabilité propre du sous-traitant.

    En l’espèce, un manquement à l’article 28, paragraphe 3, du RGPD est retenu dès lors que les CGV proposées par DEDALUS BIOLOGIE et ses contrats de maintenance ne contenaient pas les mentions prévues par l’article 28-3 du RGPD.

    Note : Les obligations précitées ne sont pas exhaustives. Le RGPD en impose d’autres, les sous-traitants étant notamment tenus d’assister le responsable de traitement (par exemple, pour répondre aux demandes d’exercice des droits de personnes concernées et respecter les obligations prévues aux articles 32 à 36 du RGPD), de l’alerter s’il estime qu’une instruction qu’il reçoit constitue une violation de la réglementation applicable, de tenir un registre de sous-traitant, etc.

Ils ont travaillé avec Joanna Masson

 

« J’ai eu l’occasion de travailler avec Joanna dans le cadre des questions d’exploitation des données du véhicule connecté. J’ai été particulièrement sensible à son approche opérationnelle qui, au-delà des considérations juridiques, intégrait la préoccupation des intérêts économiques des entreprises que je représentais.
Je ne peux que recommander ses compétences pour des professionnels soucieux de mettre en place des solutions pragmatiques et souples, dans le domaine particulièrement complexe de la protection des données personnelles
»

Gaël Bouquet

Conseiller en matière de réglementation et d'affaires publiques

« J'ai eu le plaisir de travailler avec Joanna pendant plusieurs années. Très impliquée dans son travail, Joanna a toujours fait preuve d'une grande rigueur dans le traitement des différents dossiers confiés, d'une connaissance fine de la réglementation applicable ainsi que de pragmatisme afin de pouvoir apporter des solutions concrètes aux différents responsables de traitements »

Émilie Seruga-Cau

Privacy Engineer - Schneider Electric

« J'ai eu le plaisir de travailler avec Joanna Masson au sein du service des sanctions et du contentieux de la CNIL. J'ai pu constater son sérieux et son professionnalisme dans le traitement des dossiers relatifs à la protection des données à caractère personnel. Elle est en outre une collègue particulièrement agréable »

Eve-Line Ellie-Bernardi

Magistrate

 

« J’ai travaillé avec Joanna pendant plusieurs années à la CNIL, notamment sur des dossiers liés au transport et à l’énergie. Joanna connaît parfaitement la réglementation applicable aux données personnelles et a une vision stratégique et pragmatique de la matière qui lui permet d'analyser rapidement les problématiques les plus complexes et donner des conseils clairs et opérationnels »

Émile Gabrié

Chef du bureau droit du numérique et des données - Direction des affaires juridiques des ministères sociaux

« Joanna est une professionnelle reconnue dans le domaine des données personnelles. Sa fine connaissance du sujet et sa compréhension du monde de l'entreprise lui permettent de trouver un bon équilibre entre contraintes légales et impératifs business. Elle pourra très certainement vous aider à mener à bien vos projets de mise en conformité »

Tiphaine Bessière

Délégué à la protection des données du groupe chez Ledger

« Joanna Masson est une spécialiste fiable du RGPD. Elle sait allier compétences juridiques approfondies et applications concrètes de terrain avec une excellente finesse d'analyse »

Tiphaine Havel

Conseil en affaire publiques - Relations institutionnelles et parlementaires