Koenraad Flamant

Pionnier de la nouvelle génération des juristes entrepreneurs, prônant des services proactifs à guichet unique avec de la passion pour le Privacy & IT et l'immobilier.

DATAPROTECTIONOFFICER.LEGAL

Cette appellation fait référence à la nouvelle fonction spéciale créée par le RGPD, le règlement européen : le Data Protection Officer (le « Délégué à la protection des données » en français ou le « Functionaris voor de gegevensbescherming » en néerlandais). Compte tenu de l’usage universel de l’anglais, tant dans le secteur IT que dans le cadre du RGPD, nous avons choisi de ne pas traduire notre marque. Mais attention : ce n’est pas pour autant que nous ne vous assistons pas dans votre langue maternelle. Que du contraire !

RGPD ET VIE PRIVÉE

Vous avez trouvé mon site. Vous vous êtes donc probablement déjà renseigné sur le RGPD. Je vais donc vous épargner une énième présentation générale de ce règlement, des nouvelles obligations et des amendes monstrueuses qui vont de pair.
Vous cherchez des conseils et des solutions spécialisés. Vous êtes à la bonne adresse.
Le puzzle du logo dévoile en un coup d’œil ce qui est important et nécessaire dans le cadre de la protection de la vie privée et de l’implémentation (du respect) du RGPD : une approche globale simultanée sur les différents terrains en tant que partenaire de l’entreprise.

  1. L’individu

L’erreur humaine est à l’origine de la plupart des fuites de données. Les gens choisissent des mots de passe trop simples et cliquent sur tout ce qu’ils voient. Il est donc important de sensibiliser ces personnes au rôle qu’elles jouent dans la sécurité IT et la vie privée. Dans le cadre de l’implémentation du RGPD, le principal défi réside dans le fait de faire figure de partenaire auprès de l’organisation et de devenir membre de l’équipe business plutôt que de l’équipe consacrée au RGPD. Ce n’est qu’alors que l’entreprise fera confiance à l’équipe RGPD et prendra le train en marche.

  1. IT

La plupart des entreprises investissent déjà massivement dans la sécurité. Certaines d’entre elles sont néanmoins à la traîne. À l’heure où les applications cloud gagnent du terrain, nous devons en sécuriser l’accès par le biais d’une méthode d’authentification et d’autres outils. Le principal défi, dans le cadre de l’implémentation du RGPD, est de souligner l’importance des données en général. « Data is the new oil ! » Chaque entreprise, B2C et B2B, traite de grandes quantités de données, personnelles notamment. L’analyse de ces données, leur suivi, leur profilage... confèrent aux entreprises un avantage concurrentiel et leur permettent de sortir du lot. Et il ne s’agit pas uniquement des données personnelles qui doivent être protégées. Toutes les données sont cruciales pour une organisation.

  1. Legal

Le RGPD implique un lourd investissement juridique, quoi qu’on en veuille. Il ne suffit cependant pas de faire rédiger un texte à un cabinet d’avocats. Le RGPD nécessite l’approche d’un juriste qui maîtrise l’IT et qui dispose de bonnes connaissances en droit civil et en droit des contrats. Il convient de réviser les procédures, de même que la gestion de l’accès (quel collaborateur peut consulter quelles données ?), les délais de conservation des données, les plaintes et les requêtes des personnes (SAR, Subject Access Request), les procédures en cas de violation des données et la politique de confidentialité. N’oublions bien sûr pas le volet contractuel du RGPD : quels sont vos droits et vos obligations vis-à-vis de votre maître d’ouvrage, de votre sous-traitant ou de votre client ? Qu’en est-il des entreprises internationales et du transfert de données en dehors de l’Union européenne ? Nous mettons notre expertise, transferts vers les pays plus délicats (USA, Russie…) y compris, à votre service. Nous nous chargeons enfin du volet le plus négligé des obligations afférentes au RGPD : la documentation de l’implémentation et des décisions prises. Les choix essentiels devraient, en effet, être posés par les chefs d’entreprise et pas par l’équipe RGPD. En ce sens, il faut se concerter régulièrement avec la direction, qui tranchera, sur la base des informations fournies par l’équipe DPO, les questions épineuses telles que les délais de conservation, la manière de traiter les données existantes, etc.

  1. DPO

De très nombreuses entreprises sont obligées de nommer un Data Protection Officer (Délégué à la protection des données) :

  • toutes les autorités, mais aussi toutes les personnes morales de droit public
  • les entreprises dont les tâches essentielles consistent en des traitements qui nécessitent une observation régulière et systématique à grande échelle des personnes concernées (monitoring et/ou profilage). Pensons notamment au traçage des travailleurs par les employeurs (via monitoring GPS en voiture ou sur le GSM, via des modules GPS qui surveillent le comportement de conduite…), mais aussi aux dernières technologies dans les centres commerciaux qui permettent de suivre les clients par Bluetooth, Wi-Fi, etc.
  • les entreprises dont le cœur de métier est de traiter des catégories particulières de données à grande échelle (race, religion, sexualité, opinions politiques, état de santé, appartenance syndicale et données génétiques (données biométriques, empreintes digitales, scanner oculaire…)) ou des données à caractère personnel relatives à des condamnations et des infractions pénales.

Le RGPD maintient délibérément un certain flou sur différents principes. Aujourd’hui, nous ne savons donc pas clairement ce qui est autorisé et ce qui ne l’est pas. Vous avez donc besoin de conseils spécialisés et pragmatiques.

Toutes les entreprises qui y sont obligées n’ont pas les moyens de recruter un DPO interne à temps plein. Les risques sont parfois tellement faibles qu’un tel recrutement est tout à fait inutile. Koenraad FLAMANT est un DPO, qui agit pour le compte de plusieurs clients et à qui le client paie un forfait mensuel limité (une commission de réservation pour s’assurer des services). En cas d’incidents (SAR, violation de données, contrôle DPA…), Koenraad agit en tant que DPO, à un tarif horaire prédéfini. Les coûts d’un DPO (obligatoire) restent ainsi acceptables.

Les entreprises qui n’ont pas besoin d’un DPO doivent toutefois remplir les mêmes obligations que les autres organisations. Elles doivent également répondre aux questions, intervenir en cas de violation des données et peuvent faire l’objet d’un contrôle par la DPA (l’Autorité de protection des données, autrefois Commission de protection de la vie privée).

Comme indiqué ci-dessus, il est tout à fait logique que Koenraad possède aussi l’expertise nécessaire en droit de l’informatique, droit de la propriété intellectuelle et droit des médias. Ces branches du droit sont étroitement liées. Koenraad peut dès lors vous assister dans les matières suivantes.

Droit de l’informatique

  • Contrats et dossiers relatifs au matériel, aux logiciels et à Internet
  • Marchés publics de matériel ou de logiciels informatiques, ou de projets IT
  • Externalisation (Service Level Agreements – SLA)
  • Cloud Computing
  • Commerce électronique et publicité
  • Sécurité de l’informatique

Droit de propriété intellectuelle – IP

  • Droit des marques
  • Droit d’auteur
  • Droit des dessins et modèles
  • Droit des brevets
  • Noms de domaines
  • Droit relatif aux banques de données
  • Législation sur la vie privée

Droit des médias

  • Liberté de la presse, liberté d’expression et protection des sources d’information
  • Droit de réponse
  • Droit à la vie privée
  • Droit à l’oubli
  • E-réputation
  • Usurpation d’identité
  • Droit de portrait et de la personnalité
  • Responsabilité des éditeurs, fournisseurs de services Internet ou modérateurs pour le contenu de leurs publications (en ligne)
  • Régulation des médias