Avocat RGPD

Nous prenons en charge votre conformité en matière de traitement des données à caractère personnel en Europe et en Amérique du Nord

Stéphane Grynwajc, un avocat RGPD augmenté… …doté d’une double expertise en droit européen et américain des données personnelles

Depuis 1995 et l’entrée en vigueur de la Directive européenne sur la protection des données personnelles nous vous accompagnons dans la mise en conformité de vos traitements avec les réglementations nationales et européennes.

Depuis 2010 et l’ouverture de notre bureau aux Etats-Unis, nous vous accompagnons en outre dans votre conformité aux réglementations nord-américaines, au niveau tant étatique que fédéral aux Etats-Unis, que fédéral et provincial au Canada.

Pour un aperçu des différences en termes d’approche européenne et nord-américaine en matière de réglementation de la protection des données, voir l’article ici

Une expérience de la matière acquise sur le terrain

Ayant – pendant de nombreuses années – exercé en entreprise en tant que juriste spécialisé dans la protection des données à caractère personnel, Stéphane Grynwajc, fondateur du Cabinet, a développé une approche très pragmatique du domaine, au contact des opérationnels. Il a notamment été en charge de la conformité internationale d’un des plus gros éditeurs mondiaux de logiciels de traitement de données personnelles.

  • Pilotage de la conformité du groupe et de ses filiales aux réglementations internationales en matière de protection des données à caractère personnel, et notamment :
  • Développement et mise en place des programmes de conformité globaux aux lois et règlements applicables
  • Mise en oeuvre d’un mécanisme de veille juridique et de suivi des opérations de mise en conformité aux réglementations internationales
  • Création et maintien de structures de pilotage de conformité aux lois et règlements
  • Rédaction de politiques, chartes, procédures, et guides internes de protection des données personnelles globaux/par pays/par zone géographique de traitement
  • Conformité aux exigences en matière de transfert international de données (via le “safe harbor”/”privacy shield” pour les transferts vers les Etats-Unis, les règles d’entreprise contraignantes (BCR), et/ou les clauses contractuelles types (SCC) de la Commission Européenne)
  • Lancement de mécanismes de validation des traitements par rapport aux exigences nationales en matière de protection des données.
  • Revue des pratiques internes (e.g., design et développement des produits mettant en oeuvre un traitement de données (“privacy by design”), procédures en matière de sécurisation des données, activités de marketing ciblé) par rapports aux exigences légales et réglementaires
  • Développement et organisation de programmes de sensibilisation et de formation généraux et spécifiques par département, fonction, ou site géographique
  • Création de procédures de gestion des accès fournisseurs aux données de la société en conformité avec les lois et règlements applicables
  • Identification et suivi des exigences légales dans les différentes juridictions où la société a des opérations ou collecte des données à caractère personnel
  • Développement de relations solides avec le management et les départements des sevices centraux afin de soutenir le processus de gouvernance
  • Mise en place de groupes de travail cross-fonctionnels globaux et régionaux afin de gérer en temps réel le risque en matière de protection des données des activités de traitement des différents départements de l’entreprise
  • Réalisation périodique d’études d’impact, et liaison avec le département d’Audit interne afin d’assurer un contrôle continu de la conformité
  • Création de mécanismes d’escalation interne des incidents afin d’assurer une information, une gestion, et une résolution active et en temps réel par les opérationnels
  • Création de feuilles de route adaptées afin de gérer le risque international en matière de protection des données, et de définir les actions prioritaires
  • Maintien de registres de traitement et conformité aux obligations d’enregistrement des traitements auprès des autorités nationales de protection des données
  • Mise en place d’un partenariat avec les départements IT de chaque fonction interne afin de documenter et de cartographier les flux de données pour tous les traitements de la société
  • Analyse des implications des collectes manuelles et automatisées de données aux fins de conformité aux lois locales
  • Création de notices (“privacy notices”) et chartes externes (“privacy policies”) de traitement localisées par pays, en conformité avec les lois et règlementations nationales
  • Assistance des équipes Affaires Publiques (“Government Affairs”) dans leurs activités de lobbying législatif et réglementaire auprès des gouvernements, organismes publics, autorités nationales et supranationales, et groupes d’industrie en matière de protection des données à caractère personnel
  • Expert interne en protection des données à caractère personnel (“privacy”), en soutien des équipes de juristes locales et régionales
  • Diffusion de guides pratiques afin d’assister les équipes internes de juristes dans la rédaction et la négociation des clauses contractuelles en matière de protection des données à caractère personnel
  • Conseil aux équipes de marketing et de développement sur divers aspects en matière de e-discovery et collecte de données de preuve dans le cadre de litiges.
  • Engagement proactif avec les autorités de protection des données afin de maintenir une bonne communication et de bâtir des relations de confiance
  • Gestion des litiges et des mises en conformité avec les exigences de notification des failles sécuritaires dans les différentes juridictions
  • Participation aux activités de l’IAPP (International Association of Privacy Professionals) et autres associations professionnelles ainsi qu’à divers groupes de travail d’industrie dans le domaine des données personnelles.

En Europe et en Amérique du Nord

Fort de l’expérience en entreprise de son fondateur, acquise en France, en Angleterre, et aux Etats-Unis, le Cabinet conseille depuis 2011 ses clients ayant une activité transatlantique dans la mise en oeuvre de programmes de conformité leur permettant de mutualiser leurs efforts afin de répondre aux exigences légales et réglementaires tant européennes que nord-américaines dans une matière en constante évolution.

Une offre centrée autour des principes du RGPD

Depuis son entrée en vigueur le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) sert de véritable référence internationale en matière de réglementation dans le domaine, incitant nombre de régulateurs étrangers à revisiter leur législation afin de la mettre en phase avec l’approche européenne.

“Formé à l’école du droit européen des données personnelles, l’avocat RGPD est parfaitement outillé pour conseiller les entreprises dans leur conformité à la plupart des réglementations étrangères dans cette matière.”

Nos offres d’accompagnement “Avocat RGPD Augmenté” tiennent compte de la diversité des besoins de nos clients.

Nos articles sur les droits européen, américain et canadien des données personnelles

union europeenne drapeau

Conformité RGPD / Directive ePrivacy / Droit européen

Voir
etats unis drapeau

Conformité CCPA / HIPAA / Droit américain

Voir
canada drapeau

Conformité PIPEDA / Droit canadien

Voir

Une conformité en 2 étapes

Pre-audit / Etude d’ensemble

A l’issue de cette première phase, nous aurons effectué un pré-audit de vos traitements de données à caractère personnel, des types de traitements que vous réalisez, des finalités de vos traitements, et nous aurons déterminé combien de ces traitements sont réalisés en interne ou externalisés auprès de prestataires indépendants. Nous serons alors en mesure de vous donner une estimation du temps, des ressources, et du budget à prévoir pour mettre en phase votre programme de conformité.

Quoi:

  • Vos activités de traitement
  • Votre niveau de conformité à la réglementation applicable
  • Vos flux internes et externes de données
  • Le niveau de sécurisation des données que vous avez mis en place

Qui:

  • Sont les personnes de votre société investies du pouvoir de décision en matière de protection des données à caractère personnel
  • Est responsable de la gestion du programme de gouvernance des informations traitées par la société
  • Sont vos sous-traitants et quel est leur degré d’implication dans vos activités de traitement

Comment:

  • Votre politique de gouvernance de l’information est gérée
  • Vous sécurisez les données
  • Vous répertoriez vos traitements internes et externes

Où:

  • Vont les données que vous traitez, aussi bien en interne qu’à l’externe

Cette première étape est très interactive. Nous devons en effet avoir une meilleure compréhension de votre société et de vos activités de traitement, Y COMPRIS qui traite de quelles données, pour quelles finalités, où, et pour combien de temps.

Cartographie approfondie & conformité évolutive

Sur la base des évaluations préalables, nous procéderons ensuite à un audit plus approfondi de vos activités de traitement. A l’issue de cet audit nous développerons un programme de mise en conformité adapté à votre société et à son profil de traitement.

Notre travail va consister à établir votre niveau de conformité par rapport aux lois et règlement applicables dans chacune des juridictions dans lesquelles vous exercez votre activité. Dans le cadre de cet audit nous effectuerons une ou plusieurs des taches suivantes :

  • Réalisation d’analyses d’impact
  • Réalisation d’un inventaire de tous vos contrats avec vos fournisseurs et clients impliquant une activité de traitement, et analyse de leur conformité avec les lois et règlements applicables
  • Création de procédures, politiques internes, et chartes externes de traitement des données à caractère personnel conformes aux exigences légales
  • Réalisation d’un inventaire de vos chartes et notices de traitement externes, et mise à jour éventuelle
  • Création d’un ou plusieurs guides internes comprenant des clausiers et autres informations à intégrer dans vos futurs contrats, ainsi que des modèles de contrats à utiliser avec vos sous-traitants
  • Réalisation d’outils de formation sur divers aspects des lois et règlements applicables en matière de protection des données à caractère personnel
  • Mise en conformité de vos transferts internationaux de données avec les lois et règlements applicables
  • Vous outiller afin de pouvoir répondre aux demandes des personnes concernées afin d’avoir accès à leurs données en votre possession
  • Le cas échéant, mise en place des processus internes de gestion des failles sécuritaires, ou analyse de vos politiques et procédures internes en matière de notification des failles par rapport aux exigences légales applicables, et création d’un plan d’action afin de mettre celles-ci en conformité avec les lois et règlements

Aller plus loin

Si vous souhaitez qu’on vous aide davantage, nous pouvons mettre en place un certain nombre d’actions complémentaires, parmi lesquelles :

  • Création de modules et sessions de formation ad hoc sur différents aspects des lois et réglements applicables : ces formations peuvent être adaptées à votre société, votre secteur d’activité, la nature de votre activité, ainsi qu’aux types de traitement que vous effectuez. Elles peuvent être fournies sur une base mensuelle, bi mensuelle ou tel qu’agréé avec vos équipes.
  • Services de Data Protection Officer (DPO) ou de Délégué à la Protection des Données (DPD) : Nous pouvons agir en tant que DPO/DPD externalisé. Ce service vous permettra de disposer d’un pilote dédié à votre mise en conformité avec les lois et réglements en Europe et/ou aux Etats-Unis.

Nous fournissons nos services sous forme d’abonnement. Il est important de noter que ces services additionnels optionnels ne sont disponibles que pour les sociétés ayant effectué les phases 1 et 2 ci-dessus de leur mise en conformité.

Ce qui fait notre différence

  • Notre double admission en tant qu’avocat RGPD et données personnelles aussi bien en Europe qu’aux Etats-Unis et au Canada, couplée avec notre expérience professionnelle obtenue sur les deux continents, nous met en situation idéale pour conseiller les sociétés dans leurs opérations tant en Europe qu’en Amérique du Nord
  • Notre expérience de plus de 15 ans en entreprise en charge de la protection des données personnelles (Juriste RGPD) nous a permis de développer une expérience très pratique des problématiques des opérationnels
  • Notre expertise aussi bien en droit européen qu’en droit américain des données personnelles nous permet d’aider nos clients à se conformer à leurs obligations tant en Europe qu’aux Etats-Unis.
  • Notre présence physique en Europe et aux Etats-Unis nous permet d’être basés près de nos clients, au plus près de leurs opérations, et de les conseiller sur chaque continent.