Dans le cadre de notre nouveau cycle de conférences autour du numérique et des problématiques « cyber », nous avons le plaisir de vous convier à un petit déjeuner organisé dans nos locaux parisiens, à l’occasion duquel Claude-Etienne Armingaud, CIPP/E (Associé, Protection des données & Technologies) se penchera sur la préparation des entreprises dans le cadre de leur mise en conformité au regard du Règlement sur les Données (EU Data Act). Une belle occasion d’échanger, de s’inspirer et d’entrer en relation avec des professionnels du domaine !

Les places étant limitées, nous vous invitons à vous inscrire dès à présent via le lien suivant : https://ow.ly/183L50TAWbP.

Entretien croisé réalisé par Dorian Marcellin avec notre confrère et ami Romain Perray.

Les entreprises se sont-elles suffisamment préparées au Data Act ? 

Claude-Etienne Armingaud : La maturité est quasiment nulle aujourd’hui sur le Data Act, car il n’y a même pas de connaissance de base du texte chez beaucoup d’acteurs, voire de son existence même. Si on compare avec l’expérience du RGPD il y a 8 ans, la différence, c’est qu’il y avait déjà une culture dans les pays européens autour des données personnelles. Ainsi, certaines filiales européennes avaient prévenu très tôt leur maison mère à l’étranger des impacts de la réglementation en avance de phase. Aujourd’hui, le Data Act reste avant tout un sujet connu des juristes, qui n’a pas provoqué de remous. Avec le RGPD, il fallait nommer des data protection officers, et cela avait fait réagir fortement. Là, on est dans la politique de l’autruche. 

L’échéance du 12 septembre 2025 est-elle un couperet ? 

Claude-Etienne Armingaud : La façon dont je vois les choses, c’est que si les entreprises ne prennent pas le sujet à bras-le-corps avec le temps qui leur reste, ce sont les utilisateurs qui vont les mettre face à leurs responsabilités. J’ai le sentiment que de nombreuses organisations se disent qu’elles verront bien s’il y a d’éventuelles actions en justice avant d’agir. Pourtant, on est sur des changements en termes de processus, de conception des produits, de changements contractuels, qui se font en moyenne sur des délais de 18 mois environ. Sans signaux plus positifs par rapport à l’échéance, je pense que les régulateurs européens vont finir par montrer les dents. 

L’augmentation de la maturité de la gouvernance des entreprises sur le sujet des données depuis une dizaine d’années n’est-elle pas un avantage en ce sens ? 

Claude-Etienne Armingaud : Les partis pris dans les organisations concernant la donnée m’ont toujours choqué : la fragmentation est très importante et il y a très peu d’ownership sur la donnée. Par exemple, l’ESG a toujours évolué séparément de son côté, alors qu’en toute logique, ces sujets devraient être intimement liés avec la vie privée, les données personnelles et la conformité technologique dans son ensemble. Les organisations ont la tentation de délaisser de nombreuses questions sur la donnée en mettant tout sur les épaules de leurs directions IT. Or, une grande partie de l’effort, au-delà de la question technique, va être le travail que le business va devoir faire sur lui-même ! Et en retour, cela contribue à la tendance des équipes IT de vouloir garder des prérogatives exclusives, quitte à jargonner pour repousser les métiers. 

Je pense au contraire que les entreprises qui mettent en avant leur chief data officer, par opposition ou complémentarité avec le data protection officer, avec la mission de raconter une histoire pour fédérer à la fois les métiers et l’IT, sont sur la bonne voie. Leur message est d’une certaine façon que la conformité est un aspect collatéral de la gouvernance de la donnée, qui doit être mise en place de toute façon pour permettre à l’entreprise d’aller de l’avant. Cela implique une conscience à haut niveau que le sujet des fondamentaux data est un investissement vertueux. Travailler sur ces fondamentaux, c’est faire le chemin du Data Act. 

Pensez-vous qu’une prise de conscience puisse avoir lieu suffisamment rapidement pour que les entreprises changent leur vision et leur méthode ? 

Claude-Etienne Armingaud : Elles ont une forte incitation à le faire. Sans cette nouvelle approche sur la donnée, elles ne tireront pas grand-chose de l’intelligence artificielle. Je le répète, cet effort initial de classification, ce n’est pas seulement un enjeu de conformité avec le Data Act, c’est une démarche de valeur globale. Mais pour y parvenir, il est nécessaire d’avoir une impulsion business, plutôt qu’une épée de Damoclès réglementaire. Malheureusement, c’est une vision un peu idéaliste et optimiste de penser que, parce que les dirigeants veulent de l’IA générative qui fonctionne, ils vont accepter de travailler sur les fondamentaux data. Dans les faits, on voit des comités exécutifs qui veulent tout, tout de suite, avec beaucoup d’idées de produits qui surfent juste sur la médiatisation. Trop souvent, l’ambition qui prévaut est de « faire à tout prix », même si c’est mal faire. La reprise d’initiative et d’influence par les chief data officers, je l’appelle bien sûr de mes vœux, mais je ne pense pas qu’elle sera avérée d’ici 2025. 

Lire l’intégralité de l’entretien sur le site Alliancy

Claude-Etienne Armingaud, avocat associé du cabinet K&L Gates spécialisé dans la protection de la vie privée et le droit des technologies, a identifié quatre points de défaillance potentiels dans la réaction du Parlement. S’ils devaient être confirmés, ils pourraient justifier une action éventuelle de l’autorité de protection des données.

Il s’agit d’une défaillance dans la sécurité, d’une quantité injustifiée de données collectées ou pendant une durée injustifiée, ou encore d’une communication incomplète de la violation aux personnes concernées.

Comme il s’agit d’un dossier très important, il est probable qu’il soit suivi par le CEPD, a ajouté M. Armingaud.

Lire l’article complet sur Euractiv

Six ans après l’entrée en vigueur du Règlement Européen 2016/679 sur la protection des données à caractère personnel (« RGPD« ), l’Union Européenne vient d’adopter un nouveau règlement visant une meilleure répartition de la valeur générée par l’utilisation des données entre les acteurs de l’économie numérique.

(suite…)

Le message envoyé à tous ceux qui font appel à des brokers est très clair : il faut vérifier les données et tout ce qui s’y attache. Il est plus que jamais nécessaire de rationaliser ses actions de marketing et d’être proactif pour tenir compte des dernières décisions de la CNIL. Celles-ci sont d’ailleurs loin d’être dogmatiques : elles s’inscrivent dans la logique qui a déjà prévalu en matière de traitement des cookies.

Option Droit & Affaires, Mercredi 29 mai 2024

Retrouvez l’intégralité de l’article sur le site Option Droit & Affaires

Six ans déjà…

Nouvelle bougie pour le RGPD… et une table ronde en compagnie d’Aurélie Banck d’Europcar Mobility Group et de Noshin Khan, de OneTrust pour fêter ça – venez célébrer et dresser le bilan avec nous !

Spoiler : il n’y aura clairement pas de PowerPoint…

En détail :
🗓️ 30 mai
🕰️ 18h30
📍 Morning rue d’Amsterdam
🔗 Inscription Ici

L’accompagnement de l’innovation en France

La France, terre d’accueil pour les créateurs de start-up?

On cite régulièrement la France dans les classements de pays innovants et favorable aux start-up. Par ailleurs, de nombreuses start-up françaises connaissent un développement et une croissance fulgurante, devenant même des licornes.

Mais, assez paradoxalement, la France est régulièrement pointée du doigt pour ses démarches administratives fastidieuses, sa législation complexe et une fiscalité parfois jugée excessive.

Pour échanger sur les paradoxes et défis de l’accompagnement de l’innovation en France, j’ai le plaisir de recevoir pour ce regard croisé, Claude Etienne Armingaud, avocat associé en Droit des Nouvelles Technologies & Propriété Intellectuelle au sein du cabinet K&L Gates, ainsi que Alban Michou-Tognelli, avocat associé en droit fiscal au sein du cabinet Michel-Ange.

Un grand merci à Justine Zavoli, Open Your Law et Tax Talkers pour leur invitation et bien entendu, Alban pour la qualité de son intervention ! Retrouvez notre échange dans son intégralité ici

Post-Brexit EU businesses have needed to rethink how they approach showing compliance with a host of regulations, managing international data transfers and building trust with data subjects. Having to comply with the GDPR, prepare for other data protection bills, all while continuing to comply with the EU-GDPR as well as a host of global regulations means businesses might look to certification as a common system for adequacy as a one-stop shop, when addressing the overlaps and more crucially closing the gaps on their privacy compliance programs.

Featured speakers:

  • Noshin Khan, Senior Compliance Counsel, Ethics Center of Excellence, OneTrust 
  • Claude-Étienne Armingaud, Partner, K&L Gates

Register here.

Le Cabinet K&L Gates est classé « Pratique Réputée » avec Claude-Etienne Armingaud.

SourcesMagazine Décideurs

(suite…)

Le Cabinet K&L Gates est classé avec sa « Pratique Réputée » avec Claude-Etienne Armingaud.

SourcesMagazine Décideurs

(suite…)