Expertises
Un know-how transversal en matière juridique, informatique, artistique et technique qui nous qualifie particulièrement pour la résolution des problématiques et du contentieux de Digital Compliance.
Une expertise de la Privacy qui relève de notre ADN, de notre formation, et de notre pratique au quotidien du juridique et du technique.
Une expérience du judiciaire en matière de cybercriminalité et de cybersurveillance qui permet d’adopter une stratégie du contentieux ad hoc et d’établir une gouvernance de la Privacy à même de prévenir et limiter les risques de responsabilité pénale.
La désignation d’un délégué à la protection des données est une des exigences essentielles participant de la conformité RGPD.
Nous accompagnons nos clients en tant que DPO externe à chaque étape de leur data compliance, en adaptant au plus juste les contraintes réglementaires de sorte que le principe d’accountability soit mis en œuvre dans l’intérêt des clients de l’entreprise … mais aussi dans leurs intérêts propres, pour ne pas nuire à la valorisation de leur activité économique.
A la demande des responsables de traitements, nous assurons la formation de leurs DPO in-house et assistons l’ensemble des Services dans l’encadrement et la valorisation Data des projets en cours.
Pour limiter et encadrer les risques de responsabilité potentiels, nous coachons “sur place” et “en situation” le personnel et les collaborateurs des responsables de traitements, aux fondamentaux de la Privacy et aux réflexes à tenir au quotidien sur le plan technique et informatique pour prévenir toute violation de données à caractère personnel.
Parallèlement, nous faisons assurer la configuration Privacy du hardware et du software des devices connectés du personnel de l’entreprise (smartphones, ordinateurs, tablettes…) au plus près de leurs besoins respectifs et des nécessités de l’activité économique de l’entreprise.
SÉCURITÉ & COMPLIANCE
L’environnement informatique des entreprises – au sens large – ne doit plus simplement être perçu comme un simple outil de travail mais doit être apprécié comme une source de richesses nouvelles, à savoir, un véritable patrimoine de données à forte valeur ajoutée pouvant être vecteur de développements économiques à court et moyen terme.
Ces nouvelles technologies sont susceptibles de véhiculer des menaces nouvelles, intrusives et pour certaines destructrices à l’encontre de systèmes d’information d’acteurs professionnels pour beaucoup vulnérables aux attaques d’un genre nouveau.
Les conditions tenant à la politique et aux protocoles organisationnels et de sécurité mise en place par les professionnels – pour garantir, notamment, l’intégrité et la confidentialité des données collectées, conservées aux fins de traitement ultérieur – sont primordiales pour satisfaire aux principes de conformité RGPD, eu égard, particulièrement, à la nature de certaines données qualifiées de « sensibles ».
SANCTIONS PÉNALES
A défaut de compliance, la responsabilité encourue est conséquente, en matière civile et administrative, mais aussi sur le plan pénal. Le régime de la protection des données personnelles relève pour sa majeure partie, en effet, du droit pénal.
Les sanctions applicables ne se limitent pas seulement au simple versement de dommages-intérêts ou au paiement d’amendes administratives dont les montants sont pourtant dissuasifs: jusqu’à 4% du chiffre d’affaires mondial
ou 20 millions d’euros.
Les sanctions peuvent aussi prendre la forme de peines correctionnelles pouvant atteindre
5 ans d’emprisonnement
et 300 000 euros d’amende.
Compte tenu de la nature et de l’ampleur des sanctions, nous prenons très au sérieux – à l’instar de nos clients – la situation de crise et les enjeux non négligeables consécutifs à une data breach pour l’image de l’entreprise affectée, et pour les risques de responsabilités pénale et civile susceptibles d’être mises en jeu par tout intéressé : la CNIL, le Procureur de la République, et l’utilisateur final, personne physique dont la donnée personnelle aura fait l’objet d’une violation par destruction, perte ou altération, divulgation non autorisée…
VIOLATIONS DE DONNÉES
Eviter, réagir, parer aux failles de sécurité, vulnérabilités, intrusions frauduleuses, fuites, pertes et autres violations de données des systèmes d’information et d’exploitation dont les entreprises font usage (ci-après «data breach»)
est devenu crucial et critique, compte tenu de la masse de données en circulation.
Et ce, dans un double intérêt, celui des « personnes concernées » au sens du RGPD – i.e. les utilisateurs finaux – dont les données personnelles doivent faire l’objet d’une protection renforcée, mais aussi celui des acteurs professionnels qui doivent également protéger l’intégrité et la confidentialité de leurs propres traitements de données, à savoir, l’ensemble de “l’information” relevant du “savoir-faire” et des “secrets d’affaires” protégés par la Directive (UE) 2016/943 du 8 juin 2016, transposés dans le nouveau Titre V du code de commerce « De la protection du secret des affaires ».
INTÉGRITÉ MULTIFACTORIELLE
La question de l’intégrité et de la sécurité des données personnelles doit s’apprécier sur les plans informatique, logique, technique, matériel, physique et évidemment juridique.
Notre rôle est de limiter et réduire au mieux les risques de data breach en amont, et de vous permettre de répondre dans les meilleures dispositions à tout incident relevant d’une violation de données (cyberattaques, dénis de service, hacking, phishing, tentatives d’intrusion malicieuses, accès non autorisés…).
POLITIQUES DE SÉCURITÉ
Nous vous assistons – en collaboration étroite avec les responsables DSI – dans l’audit, l’évaluation, l’élaboration, le développement et l’amélioration des pratiques organisationnelles existantes, des codes de bonne conduite à mettre en place le cas échéant, et des politiques de sécurité appropriées les plus actualisées possibles, au regard de la nature et du degré de sensibilité des données concernées (anonymisation, protocoles de hashing renforcé avec ou sans clé, chiffrement, tokénisation, authentification forte avec droits d’accès différenciés…) afin de prévenir autant que faire se peut, toute situation de crise et être en capacité de démontrer et documenter votre conformité sur ces points, auprès de la CNIL.
Nous établissons un compendium de mesures et de réponses à adopter sans délai en suite immédiate de votre connaissance de la data breach (notifications et démarches auprès des autorités concernées et services compétents de la CNIL…).
ASSISTANCE DEVANT LES JURIDICTIONS
Nous vous représentons et vous assistons devant toutes autorités compétentes ou juridictions saisies de poursuites administratives et judiciaires à votre encontre pour défaut de conformité aux dispositions « informatique et libertés » et préjudices consécutifs causés d’ordre économique, social, matériel, ou moral (discrimination, vol ou usurpation d’identité, perte économique ou financière, atteinte à la confidentialité de données protégées par le secret professionnel, renversement non autorisé du process de pseudonymisation….).
DROIT AU DÉRÉFÉRENCEMENT & DROIT À L'OUBLI
Une photo, une annonce, une vidéo, des commentaires… ou tout autre élément d’information publié sur des pages web indexées – en leur temps – à l’insu des personnes concernées, peuvent être la source d’un préjudice certain lorsque, par exemple, l’image ou le type de réputation véhiculés par ces publications ne sont plus en adéquation avec une réalité actualisée, dans une perspective objective ou subjective.
Le 13 mai 2014, dans une affaire « GOOGLE SPAIN & GOOGLE Inc. vs. AEPD & MARIO COSTEJA GONZALES », la Cour de Justice de l’Union Européenne – sur le fondement d’une interprétation conjuguée des dispositions de la Directive 95/46 alors applicable et de la Charte des droits fondamentaux de l’Union Européenne – consacrait au profit d’une personne physique un droit au « déréférencement » des moteurs de recherches, sous certaines conditions
E-REPUTATION & IMAGE DE MARQUE
L’image de marque, la notoriété ou la réputation attachées à une personne, un entrepreneur, une entreprise, un objet ou un service, sont, par nature, des éléments sujets à des variations de valeur, sensibles dans le temps, et dans l’étendue.
La concordance de la réalité objective et de l’impression ressentie par le public quant à une marque ou un objet subit régulièrement des évolutions vers le haut, ou vers le bas, au gré de tel ou tel effet d’opportunité, de mode, de conjoncture, de conjecture et/ou de communication.
Les causes de ces évolutions reposent, dans leur majeure partie, sur des bases objectives (baisse de qualité du produit ou du service, communication inadaptée, etc…).
Mais pour le reste, ces changements de tendances et de trends sont le fruit des vicissitudes de la rumeur numérique et de la réputation en ligne, en d’autres termes, de l’E-reputation d’une marque ou d’un produit.
VIDÉOSURVEILLANCE, GÉOLOCALISATION ET BIOMÉTRIE
Le RGPD impose à l’employeur la communication d’une information la plus exhaustive possible concernant la manière dont il doit traiter les données personnelles de ses salariés, à cette différence près qu’aux principes de droit commun, viennent s’ajouter les règles et sanctions propres au droit du travail.
L’impact de la protection des données à caractère personnel sur l’activité des services RH est, en effet, non négligeable, compte tenu du flux et de la nature des données exploitées par ces services : depuis l’entretien d’embauche…jusqu’à la rupture des relations contractuelles entre employeur et salariés; voire même au-delà, notamment en cas de contentieux pénal et/ou prud’hommal.