advisors by SP, avocats et délégués à la protection des données

Qui sommes nous ?

Advisors by SP regroupe autour de Saba Parsa, avocate et déléguée à la protection des données, une équipe pluridisciplinaire d'avocats, de conseillers, de délégués à la protection des données (DPO) et de médiateurs tous passionnés par leur métier.

Rigoureuse et dynamique, privilégiant les relations fondées sur la confiance, la transparence et la confidentialité absolues, l'équipe de advisors by SP vous accompagne, vous conseille et défend vos intérêts.

A côté des missions d'avocats, nos délégués à la protection des données vous conseillent dans le cadre de la mise en conformité de votre entreprise au RGPD (règlement général relatif à la protection des données).

Nous avocats sont également soucieux de trouver des solutions alternatives à la voie judiciaire, et négocie à vos côtés en vue d'assurer vos intérêts au mieux. Nous comptons au sein de notre équipe, également des médiateurs, qui encadrent vos contentieux, dans le cadre de modes alternatifs de règlement des contentieux.

Enfin, nous donnons également des formations, intervenons comme orateurs ou conférenciers.

Depuis le mois de septembre 2021, notre cabinet a rejoint les avocats du cabinet Rawlings Giles établi entre Londre, Paris, Bruxelles, Anvers, Tournai et également Waterloo.

Vous pouvez retrouver les coordonnées des membres de notre équipe, sous l'onglet : Notre équipe mais également sur le site de Rawlings Giles : ici

Le cabinet est installé à Waterloo, dans un écrin de verdure, à la sortie du Ring où nous pouvons vous accueillir dans les meilleures conditions.

Découvrez notre expertise

Notre métier : conseiller, accompagner, défendre vos intérêts

Notre métier, nous l'appréhendons avant tout comme un engagement, celui de vous accompagner dans les meilleures conditions avant, pendant, après votre contentieux.

Ainsi, en qualité d'avocat, avant le contentieux, nous veillons à être votre partenaire privilégié pour la rédaction de vos conventions, statuts, R.O.I., préavis, notes, avis et rapports juridiques.

Pendant votre contentieux, nos avocats, vous accompagnent, tant en qualité de conseil, de négociateur que de plaideur, si votre contentieux se judiciarise.

Après le contentieux, nous nous assurons de l'exécution de l'accord ou du jugement (le cas échéant en vous mettant en contact avec un huissier de justice).

Notre pratique est ainsi centrée autour de 4 axes :

Le conseil, l'accompagnement et la défense de vos intérêts en cas de contentieux ;
L'accompagnement dans la mise en conformité au Règlement général relatif à la protection des données (RGPD) et la mission de délégué à la protection des données (DPO, DPD) ;
La rédaction de rapports, notes ou avis en diverses matières ;
La formation.

L'équipe d'advisors by SP

L'avocat c'est quelqu'un qu'il faut aller voir avant pour éviter les problèmes après

AVOCATS.BE

Découvrez le cabinet

L'actualité

‹ Retour

Lignes directrices 07/2020 sont publiées !

Par PARSA SABA

Avocate I DPO certifiée

Pour Advisors By SP

Ce 7 juillet 2021, le Comité de protection des données (ci-après le CEPD ou EDPB en anglais) a adopté la dernière version de ses lignes directrices 07/2020 relatives aux concepts de responsable de traitement et de sous-traitant définis dans le Règlement général relatif à la protection des données, ou le RGPD (GDPR en anglais).

Ces lignes directrices avaient été précédemment publiées pour consultation de septembre à octobre 2020.

La distinction du rôle des acteurs dans le traitement des données entre le responsable du traitement et le sous-traitant est importante et doit être examinée in concreto.

Elle impacte d'une part les obligations et responsabilités des parties aux traitements notamment à l'égard des personnes concernées, d'autre part la substance de la documentation contractuelle qui devra être conclue entre les parties partageant des données. (Par exemple les clauses contractuelles types)

En ce sens les lignes directrices énoncent que :

" (...) Les notions de responsable du traitement, de responsable conjoint du traitement et de sous-traitant sont des notions fonctionnelles en ce sens qu'elles visent à répartir les responsabilités en fonction des rôles réels des parties et des notions autonomes qui doivent être interprétées principalement en fonction du droit européen de la protection des données." (nous traduisons)

Bien que les notions de responsable du traitement et de sous-traitant existaient déjà sous la Directive 95/46/CE relative à la protection des données à caractère personnel et que ces notions n'ont pas été modifiées par l'entrée en vigueur du RGPD, le CEPD a décidé de mettre à jour l'avis 1/2010 émis par le Groupe de travail de l'article 29, ou G29, en précisant et actualisant les exemples donnés dans l'avis de 2010.

Il est important de noter que les lignes directrices remplacent désormais l'avis 1/2010 du G29.

Ainsi, ces nouvelles lignes directrices apportent davantage de clarté sur les scénarios auxquels sont confrontées quotidiennement les entreprises et s'alignent plus clairement sur les considérations découlant du RGPD. Comme le reconnait le CEPD depuis l'entrée en vigueur du GDPR, de nombreuses questions ont été soulevées dans la pratique, notamment autour du rôle et des implications de la notion de responsable conjoint (article 26 du RGPD) ou encore des obligations spécifiques des sous-traitants (article 28 du RGPD).

Les lignes directrices sont, dans les grandes lignes, divisées en deux parties :

La première partie est consacrée aux définitions des différentes notions : de responsable du traitement, responsables conjoints du traitement, sous-traitant et de tiers/destinataire.
La seconde partie fournit des indications supplémentaires sur les conséquences et implications de la qualification des rôles des acteurs.

Nous avons sélectionné et traduit un aperçu des parties qui nous semblent pertinentes :

S'agissant du responsable du traitement
" La qualité de responsable du traitement peut être définie par la loi ou découler d'une analyse des éléments factuels ou des circonstances de l'affaire. Certaines activités de traitement peuvent être considérées comme naturellement attachées au rôle d'une entité (un employeur envers ses employés, un éditeur envers ses abonnés ou une association envers ses membres). Dans de nombreux cas, les termes d'un contrat peuvent aider à identifier le responsable du traitement, bien qu'ils ne soient pas déterminants dans toutes les circonstances."
" Le responsable du traitement détermine les finalités et les moyens du traitement, c'est-à-dire le pourquoi et le comment du traitement. Le responsable du traitement doit décider à la fois des finalités et des moyens. Toutefois, certains aspects plus pratiques de la mise en œuvre ("moyens non essentiels") peuvent être laissés au sous-traitant.
"Il n'est pas nécessaire que le responsable du traitement ait effectivement accès aux données qui sont traitées pour être qualifié de responsable du traitement."
S'agissant du tiers destinataire
"Il peut y avoir des situations où divers acteurs traitent successivement les mêmes données à caractère personnel dans une chaîne de traitement, chacun de ces acteurs ayant une finalité indépendante et des moyens indépendants dans sa partie de la chaîne. En l'absence de participation conjointe à la détermination des finalités et des moyens d'un même traitement ou d'un même ensemble d'opérations, la notion de contrôle conjoint doit être exclue et les différents acteurs doivent être considérés comme des contrôleurs indépendants successifs."
S'agissant du sous-traitant
"Le traitement doit être effectué pour le compte d'un responsable du traitement mais autrement que sous son autorité ou son contrôle direct. Agir "pour le compte de" signifie servir l'intérêt de quelqu'un d'autre et rappelle le concept juridique de "délégation". Dans le cas du droit de la protection des données, un sous-traitant est appelé à mettre en œuvre les instructions données par le responsable du traitement au moins en ce qui concerne la finalité du traitement et les éléments essentiels du moyen."
"Le traitement de données à caractère personnel pour le compte du responsable du traitement exige tout d'abord que l'entité distincte traite les données à caractère personnel pour le compte du responsable du traitement. À l'article 4, paragraphe 2, le traitement est défini comme un concept comprenant un large éventail d'opérations allant de la collecte, du stockage et de la consultation à l'utilisation, la diffusion ou toute autre mise à disposition et la destruction. En pratique, cela signifie que toute manipulation imaginable de données à caractère personnel constitue un traitement."
"Le traitement de données à caractère personnel peut faire intervenir plusieurs sous-traitants. Par exemple, un responsable du traitement peut lui-même choisir d'engager directement plusieurs sous-traitants, en faisant intervenir différents sous-traitants à des étapes distinctes du traitement (sous-traitants multiples). Un responsable du traitement peut également décider d'engager un sous-traitant, qui à son tour - avec l'autorisation du responsable du traitement - engage un ou plusieurs autres sous-traitants ("sous-traitant(s) secondaire(s)"). L'activité de traitement confiée au sous-traitant peut être limitée à une tâche ou un contexte très spécifique ou être plus générale et étendue."
"Une entité distincte signifie que le responsable du traitement décide de déléguer tout ou partie des activités de traitement à une organisation externe. Au sein d'un groupe de sociétés, une société peut être un sous-traitant pour une autre société agissant en tant que responsable du traitement, car les deux sociétés sont des entités distinctes."
"Si le responsable du traitement décide de traiter lui-même les données, en utilisant ses propres ressources au sein de son organisation, par exemple par le biais de son propre personnel, il ne s'agit pas d'une situation de sous-traitant."