Propriété Intellectuelle - Droit du Numérique - Données personnelles

Dans un contexte de digitalisation croissante des activités, les acteurs du marchés sont confrontés à la complexification de la gestion des risques et doivent être en mesure de structurer leurs projets dans le respect d’obligations légales en mutation et d’anticiper, prévenir et préparer d’éventuelles situations de crise ou contentieuses. Notre équipe Droit du numérique met à profit son expérience dual du conseil et du contentieux et son appétence technique pour accompagner nos clients dans la définition stratégique, l’implémentation et le suivi de tout type de projets informatiques, quel que soit votre cœur de métier (éditeur, prestataire de service, distributeur,... ou clients de ces derniers) : contrat de développement (toutes méthodes de développement, ce compris AGIL),  licence d'utilisation, licence SaaS, contrat d'hébergement, contrat d'infogérance/outsourcing, contrat de maintenance, contrat d’intégration, contrat d'assistance, contrat de distribution. 

Notre accompagnement

Stratégie juridique & gestion de projet

• Elaboration du cahier des charges, des termes de l'appel d'offre, des niveaux de garantis et/ou de services
• Définition des KPI (niveau de services, de garanties, de maintenance…), référentiel de contrôle

Rédaction & Négociations de contrat

• Rédactions du contrat et négociations des niveaux d’engagement et de services, allocation des responsabilités…
• Assistance complémentaire à la gestion d’actifs de  propriété intellectuelle
• Conseils en matière de conformité règlementaire et accompagnement au développement “privacy by design”(Data Privacy)

Précontentieux et contentieux

• Gouvernance contractuelle (programme de revue des contrats, délégation de pouvoir, utilisation d’outils innovants, référentiel de contrôle interne…)
• Gestion de la preuve (traçabilité des engagements, documentation de la conformité, valeur juridique de la documentation établie)
• Accompagnement précontentieux et contentieux devant les cours de justices civiles, pénales ou administratives

Chaque année, près d’une centaine de mesures correctrices (mises en demeure et sanctions) sont mises en oeuvre par la CNIL pour manquement aux règles applicables aux cookies. Grâce à sa plateforme Transformation Cloud composée de consultants et d’avocats, PwC vous accompagne dans la réalisation d’un état des lieux des traceurs présents sur vos sites Internet. Cette revue vous permet d’avoir une vision précise des traceurs utilisés, des traitements associés, des principaux écarts et des mesures de remédiation à mettre en œuvre afin d’assurer le respect de la réglementation, d’optimiser la sécurité et qualité de vos traceurs et données, la pertinence de vos statistiques et communications personnalisées et géolocalisées ou non et ainsi vous permettre d’optimiser votre activité en ligne. 

Notre accompagnement

Identifier et référencer les traceurs implémentés

• Identification des typologies de traceurs, des finalités, des données collectées, des durées de conservation, etc.
• Evaluation de la documentation organisationnelle et technique
• Analyse des parcours utilisateurs et de l’architecture IT pour identifier les flux de données provenant des traceurs

Evaluer la conformité juridique

• Entretiens avec les personnes pertinentes
• Evaluation de la documentation organisationnelle et juridique (contrats conclus avec vos partenaires et sous-traitants, parcours utilisateurs, etc.)
• Classification et qualification des traceurs identifiés selon leur régime (soumis à consentement ou non)
• Confrontation de l’état des lieux avec les informations données aux utilisateurs
• Identification des écarts (i.e. existence de l’information, cohérence de l’information, nécessité du consentement (oui/non), modalités de recueil du consentement et cohérence de la gestion du consentement et des délais de conservation)
• Feuille de route et remédiation 

• Conseil et représentation des entreprises sur des problématiques liées au commerce électronique et aux paiements en ligne (rédaction de conditions générales, révision des contrats de fourniture de services informatiques impliquant une conformité PCI-DSS, mise en œuvre de plateformes commerciales internationales et de plateformes de financement participatif) ;
• Négociation et rédaction des contrats informatiques (licences de logiciel, contrat de développement de logiciel, contrat de création et développement de sites internet, contrat d’hébergement Web, convention de séquestre du code source), en ce compris les contrats d’’externalisation de services informatiques hébergés en mode SaaS ;
• Assistance et représentation des entreprises nationales et internationales dans le cadre de dossiers de cyber-sécurité, et de divers contentieux impliquant des enjeux de responsabilités contractuelle et délictuelle.

Dans le cadre d’opérations de cessions ou d’acquisitions, nous proposons à nos clients d’inclure la revue du dispositif de cybersécurité mis en place. Parce que les attaques cyber sont de plus en plus fréquentes, que les services et les actifs digitaux sont de plus en plus précieux et que le RGPD a renforcé les obligations en la matière, il est essentiel pour une entreprise de disposer d’un dispositif de cybersécurité adapté. Nous identifions pour nos clients les principaux risques de faille de sécurité informatique et les capacités de remédiation existantes. Nous analysons en particulier les dispositifs de sécurité et de gestion de crise implémentés. Enfin, nous mettons en évidence les éventuels écarts constatés ​entre le dispositif en place et les obligations ​réglementaires.

Vos enjeux

• Identification des principaux risques de faille de sécurité informatique et des capacités de remédiation existantes
• Analyse des dispositifs de sécurité et de gestion de crise implémentés
• Mise en évidence des éventuels écarts constatés ​entre le dispositif en place et les obligations ​réglementaires des entités

Notre accompagnement

• Analyse du niveau de conformité​ au Règlement Européen sur la Protection des Données Personnelles (RGPD) et à la loi Informatique et Libertés française
• Analyse des litiges et contrôles actuels et passés
• Analyse de la documentation technique organisationnelle et  juridique​
• Revue des contrats avec les principaux fournisseurs de services IT et clients
• Revue des polices d'assurances cyber

La réforme de la loi Informatique et Libertés et le RGPD renforcent l’obligation de notification des failles de sécurité (Data Breach). Outre l’obligation de notification des failles de sécurité à l’autorité de protection des données personnelles (la CNIL en France) et, le cas échéant à d’autres autorités de contrôle (ANSSI, ARS, ACPR…), la notification est à présent également obligatoire à l’égard des personnes concernées lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés. Parallèlement des mesures de protection et les actions appropriées doivent être mises en place afin de remédier à la faille de sécurité et limiter son éventuelle exploitation. Ces failles peuvent être lourdes de conséquences tant sur le plan financier que sur le plan réputationnel, dans un contexte où la cybercriminalité est la fraude la plus signalée par les entreprises françaises.

Notre accompagnement

• Analyse et rédaction des procédures internes relatives à la cybersécurité et sensibilisation du personnel
• Tenue du registre des violations de données
• Revue et négociation des contrats avec les prestataires IT et des polices d’assurance
• Notification aux différentes autorités compétentes
• Notification des personnes concernées le cas échéant
• Constitution du dossier de preuves et échanges avec les tiers (constats d’huissier des causes et conséquences de la faille de sécurité, expertises techniques, analyse et conservation des preuves du préjudice,…)
• Dépôt de plainte avec constitution de partie civile
• Représentation et accompagnement dans la stratégie judiciaire

Les 5 actions juridiques pour se protéger de la menace Cyber

La récente réforme de la loi Informatique et Libertés et le règlement général sur la protection des données (RGPD) entérinent le recours à des analyses d’impacts sur la vie privée (Privacy Impact Assessment, « PIA ») dans le cadre de certains projets impliquant des traitements de données personnelles. Ces enjeux sont d’autant plus forts dans le cadre de solutions technologiques innovantes basées sur l’IA. 

Dans quel cas réaliser un PIA ?

Lorsqu’un traitement de données comporte un risque élevé d’atteinte aux droits et libertés des personnes, par exemple pour :

• les traitements à grande échelle de données sensibles ou relatives aux infractions, condamnations ou mesures de sûreté
• les traitements ayant pour finalité la surveillance systématique à grande échelle d’une zone accessible au public
• les traitement pour évaluer systématiquement et de manière approfondie des aspects personnels sur la base desquels sont prises des décisions produisant des effets juridiques

Un PIA pourra également être recommandé pour les traitements faisant appel à des technologies disruptives, des croisements de sources de données, la collecte de données à grande échelle ou sensibles, etc.

Notre démarche envisagée pour l’élaboration d’un P.I.A

• Identifier les traitements qui nécessitent un PIA
• Conduire les analyses d’impact sur les traitements choisis conformément à la méthodologie EBIOS de l’ANSSI
• Arbitrer la profondeur de l’analyse

Selon le PwC CEO Pulse Survey, 30% des PDGs ont ou sont en train de se préparer proactivement à la gestion de crise, et 25% ont l’intention de commencer à s’y préparer cette année. Grâce à la plateforme Cyber Intelligence de PwC, nous pouvons simuler une attaque informatique des systèmes ou un contrôle d’une autorité administrative ou judiciaire afin de tester les dispositifs de gestion de crise et de sensibiliser nos clients et leurs collaborateurs à ce type de situation. Afin de permettre à nos clients d’améliorer leurs dispositifs, nous pouvons mobiliser toutes les compétences nécessaires pour les accompagner dans le cadre de la gestion d’une crise globale (résilience, sûreté, business intelligence, investigations forensiques, cyber sécurité, juridique, etc). La plateforme Cyber Intelligence est composée de professionnels ayant une expérience opérationnelle de la gestion de crise.

Notre accompagnement

Simulation d’une attaque cyber

• Démonstration virtuelle
• Simulation de notifications aux autorités compétentes (ex: CNIL) et aux personnes concernées le cas échéant
• Gestion de la communication externe et simulation d’échanges avec les partenaires économiques impliqués (sous-traitants, assurance, etc.)
• Retour d’expérience et bonnes pratiques

Simulation de contrôle d’une autorité judiciaire ou administrative

• Entretiens avec les personnes pertinentes
• Contrôle ponctuel de la documentation organisationnelle technique et juridique
• Evaluation cyber high level sur la base d’un questionnaire technique de sécurité
• Retour d’expérience et bonnes pratiques
• Simulation de réponse aux demandes de l’autorité

Conseil auprès de sociétés privées et d’organisme public sur des problématiques relatives à des projets de développement de Blockchain et de levées de fonds (ICO – Initial Coin Offering) :

• Encadrement juridique du projet en amont, notamment en vue d’assurer sa conformité aux législations nationales et européennes en matière d’E-commerce et de protection des données personnelles :
  • Assistance devant les autorités concernées (ex : ACPR, ANSSI, CNIL),
  • Aide à la rédaction du livre blanc de l’ICO et des conditions générales de vente/d’échange des Token,
  • Développement de la stratégie contractuelle, notamment aide à l’encadrement et à la rédaction des smart contracts ou contrats d’entiercement et mise en place d’une Organisation Autonome Décentralisée (DAO),
  • Analyse et validation des maquettes et interfaces des plateformes, réalisation d’études d’impact sur la vie privée,
  • Mise en place d’une stratégie de protection d’éventuels actifs immatériels, ce compris de tout droit dans l’architecture ou les applications mises en œuvre.
• Assistance devant les juridictions civiles et pénales dans des cas :
  • D’accès frauduleux à des systèmes de traitement automatisés (ex : « La DAO »),
  • De violations de droits de propriété intellectuelle et/ou d’obligations contractuelles.