Protection des Données et Cybersécurité
Les 50 avocats de notre équipe « Protection des données et cybersécurité » conseillent nos clients sur les cadres législatifs et réglementaires applicables à la collecte, l’utilisation et la divulgation de données aussi bien aux États-Unis, en Europe, qu’en Asie et même dans d’autres régions.
Les règlementations encadrant la confidentialité et la protection des données ainsi que les usages et problématiques y afférents rentrent dans notre domaine d’expertise. Nous sommes régulièrement sollicités tant en matière d’utilisation et de transfert de données en France et à l’étranger qu’en matière de conformité aux lois relatives à la protection des données des pays destinataires. Notre équipe mène des analyses d’impact des risques portant sur la protection des données et la cybersécurité tout au long du cycle de vie de la donnée, dès la conception du modèle technique ou économique, dans le cadre de négociation contractuelles ainsi que dans le cadre de fusions, d’acquisitions ou d’autres opérations d’envergure nationale ou internationale.
Notre équipe, forte de son expérience acquise au fil des années, est reconnue tant pour sa réactivité que son efficacité dans la gestion des incidents de cybersécurité, qu’il s’agisse d’une enquête de l’autorité de protection compétente que de l’éventuel contentieux qui peut en résulter, les violations de données personnelles ou encore de suspicions d’utilisation inadéquate de données. Aux Etats-Unis tout particulièrement, nos avocats interviennent en première instance comme en appel pour tous litiges impliquant la protection de données de santé. Ainsi, nous avons récemment représenté notre client devant la Cour suprême des États-Unis avec succès dans l’affaire Gobeille v. Liberty Mutual. Dans cette affaire d’une importance cruciale en matière de protection des données, la Cour a estimé que la loi étatique prévoyant la divulgation forcée d’informations de santé à l’État du Vermont était inapplicable aux régimes d’assurance autofinancés.
Plusieurs de nos avocats ont été récompensés ou salués pour leur expertise dans le domaine de la protection des données, notamment par The National Law Journal, The Legal 500 UK, Chambers USA, le Point, le Décideurs Magazine et d’autres publications et organismes de référence dans la notation des professionnels du droit.
Quelques-unes de nos interventions :
- Intervention suite à plusieurs centaines d’incidents de cybersécurité, concernant notamment la fuite massive de données à travers les 50 États des États-Unis et plus de 100 pays
- Représentation de plusieurs clients dans le cadre de litiges portant sur la protection des données ou la cybersécurité ainsi que dans des enquêtes administratives relatives à la collecte, l’utilisation ou la divulgation de données personnelles et d’informations de consommateurs ou de patients ou d’autres informations
- Coopération avec les autorités de régulation en Europe, aux États-Unis et dans d’autres pays dans le cadre d’incidents de cybersécurité
- Conception et implémentation de programmes de mise en conformité RGPD pour et mise au point de programmes de gestion de la protection des données
- Conseil des dirigeants et conseils d’administration sur les cybermenaces à considérer en priorité, et organisation d’exercices de résolution d’incidents au profit de dirigeants
- Audits d’acquisition sur la protection des données et négociation de conditions minimisant les risques qui en découlent
- Conception et mise à jour de politiques de réponse en cas d’incident de cybersécurité
- Élaboration de protocoles d’analyse des risques fournisseurs et rédaction de clauses contractuelles corollaires
- Analyse de la vulnérabilité de régimes d’avantages du personnel aux risques liés à la protection des données et à la cybersécurité
- Négociation contractuelle et rédaction de clauses relatives à la qualification et l’allocation de responsabilité liées à la protection des données et à la cybersécurité
- Évaluation de diverses solutions de transfert de données comme le Privacy Shield entre l’Union européenne et les États-Unis et élaboration de stratégies de mise en œuvre en découlant
- Conseil régulier et mise à jour des politiques relatives à la conformité au règlement général sur la protection des données (RGPD)
Technology
Technology shapes how your business operates, competes, and grows – but the legal and regulatory complexities behind it can create significant risk. We help you navigate these challenges by structuring technology transactions, agreements, and strategic partnerships that accelerate innovation, support growth, and protect your business.
We advise stakeholders across the technology sector – from emerging startups and global platform providers to enterprise customers, investors, and outsourcing partners. Our technology law practice includes lawyers with deep experience in transactions, intellectual property, privacy and cybersecurity, regulatory compliance, and dispute resolution. The team also includes engineers, computer coders, and former government officials and cybercrime prosecutors.
As you develop, acquire, integrate, and commercialize technology, we guide you through the complex issues that arise throughout the technology lifecycle, including:
- Innovation, product development, and commercialization
- Technology transactions, strategic partnerships, outsourcing, and M&A
- Software, SaaS, intellectual property, and licensing agreements
- Cloud, AI, digital platforms, and connected technologies
- Data privacy, cybersecurity, FinTech, and regulatory compliance
- Governance, disputes, investigations, and incident response
Our lawyers advise on high-value domestic and cross-border transactions. We have structured, negotiated, and closed billions of dollars in technology transactions worldwide, including M&A deals, strategic partnerships, outsourcing arrangements, SaaS and cloud agreements, technology licensing, and inbound and outbound intellectual property transactions.
As your use of data, AI, and digital platforms expands, we help you navigate the evolving privacy, cybersecurity, and regulatory challenges surrounding the implementation, management, and scaling of digital infrastructure. From AI and generative AI systems to cloud computing, IoT, robotics, and FinTech, we help you address the operational and compliance challenges associated with modern technologies.
When disputes, investigations, or cyber incidents arise, we help mitigate disruption to your business. Our team advises you on complex disputes involving technology transactions, intellectual property, data privacy, cybersecurity, outsourcing relationships, digital platforms, and regulatory compliance.
Santé Numérique
Innovative solutions for an ever-evolving industry
Digital health solutions are fundamentally transforming the quality and delivery of healthcare. As the doctor-patient relationship evolves beyond the in-person encounter, digitized data and technology have converged with healthcare delivery and payment. Our digital health team works with clients to create solutions that improve access to medical services and engage patients in managing their healthcare, with an eye toward the complex and ever-evolving regulatory considerations affecting healthcare innovation.
We offer guidance on all aspects of digital health, including the formation, financing and governance of business entities, joint venture arrangements, and mergers and acquisitions. Drawing on our vast institutional knowledge and the creativity to drive forward-looking solutions, we counsel clients in a wide range of areas, including development, reseller marketing and distribution arrangements, intellectual property protection and licensing agreements, systems integration agreements, internet and new technology issues, product liability matters, and employment and noncompetition agreements, as well as related personnel issues.
Our team leads emerging and established organizations through the unique—and often unanticipated—transactional, regulatory and compliance challenges they face. Uniting our depth of experience and our ability to anticipate change, we help clients develop creative solutions to the obstacles that slow adoption and growth so they can keep moving forward in an ever-changing industry.
How can we help you transform healthcare?
Our areas of focus
- Health Information Technology
- Mobile Health
- Big Data and Data Strategies
- Data Privacy/Security HIPAA and State Laws
- Telehealth/Telemedicine
Health information technology
Complex legal and compliance issues surround the acquisition, implementation, use and management of health information technology (HIT). Our team offers advice on key matters in a quickly changing landscape, including patient consent issues involved with health information exchanges; electronic communication issues among and between providers, payers and patients; and matters involving electronic health records (EHRs), health information exchanges (HIEs), and the use and disclosure of protected health information (PHI). We also counsel our clients on compliance with the Health Insurance Portability and Accountability Act, state breach notification laws, Medicare and Medicaid EHR Incentive Program requirements, the False Claims Act, the Anti-Kickback Statute, and other federal and state healthcare regulatory laws.
For clients ranging from physicians, hospitals and health systems to practice management companies, HIT vendors and medical billing companies, we offer skillful support with software and hardware procurement, implementation, service level agreements and warranties, and associated contract and regulatory compliance aspects.
mHealth
Mobile healthcare devices, including wearables and medical apps, empower patients to better understand their health. These devices capture consumer-generated health data, analyze it and provide mobile feedback to consumers. These mHealth applications may also deliver healthcare information to providers and researchers in order to facilitate efficient coordination of care. Our team assists clients with the transactional and regulatory issues that arise when businesses engage with patients, consumers, providers or researchers about their health needs, whether through mobile devices or other connected devices outside of traditional healthcare provider settings. We also offer counsel on issues arising from emerging digital health tools, such as mobile medical apps, that the US Food and Drug Administration (FDA) may consider regulated devices.
Big data and data strategies
We assist clients with the design and deployment of big data strategies. Supported by a flexible, yet sustainable, privacy and security protection infrastructure, big data strategies can capture, aggregate, transform and analyze key data. Businesses use these sophisticated analytics to effectively implement improvements in healthcare quality, coordination, accessibility and affordability for the benefit of payers, employers and healthcare consumers. Our team helps identify, manage and resolve legal issues associated with high-volume analytics and data mapping, privacy and security protections, data licensing and clinical research activities, including federal and privately sourced data. We also assist in forging collaborations between industry stakeholders to leverage strengths and accelerate initiatives.
Data privacy/security HIPAA and state laws
The Health Insurance Portability and Accountability Act (HIPAA) governs the use and disclosure of identifiable health information. Using our industry-leading best practices, we counsel a diverse range of clients in navigating these complex rules. We conduct audits, develop customized plans, policies and procedures for privacy and security compliance, and even facilitate HIPAA-related training sessions.
If a crisis does arise, we also advise clients regarding security breaches, risk assessment, mitigation and remediation, and negotiate settlements and resolution agreements with the US Department of Health and Human Services Office for Civil Rights. Together with lawyers in our privacy and data protection practice, our digital health team has guided companies through the successful resolution of many privacy and security incidents, including hundreds of incident responses and breach remediation efforts involving PHI. From cyber attacks and malicious insiders, to lost laptops, unsecured data and mailing mishaps, we have handled the full spectrum of information incidents.
We draw on this experience to bring calm to the storm and provide guidance from beginning to end, including developing and implementing effective audits, protection and loss-prevention programs, and simplifying the notification process across jurisdictions.
Telehealth/telemedicine
Bringing the doctor-patient relationship out of the confines of an in-person encounter, telehealth integrates information technology with traditional healthcare and wellness practices. Remote healthcare, also called telemedicine, is changing the way medical services are delivered. Thanks to advances in technology and information systems, these new diagnostic tools and methodologies can improve access to and consistency of medical services—an important benefit to consumers and providers alike. Our clients turn to us for guidance regarding licensure, patient consent and recordkeeping, data privacy, risk mitigation, and navigating the varied state-based regulations and regulatory definitions associated with telehealth. We help assess business strategies and advise on government and commercial reimbursement standards so clients can succeed in this rapidly changing, highly regulated industry.
Global Privacy & Cybersecurity Resource Center
Don’t be a victim of damaging cyberattacks. Visit our resource center for tips on protecting your business.
We dig deeper to keep you informed with the latest legal insights, insightful analyses, and events related to privacy.
Chambers USA
“They are among the most skilled in terms of protecting their clients and developing the approach for the client to protect themselves.”
Chambers Europe
“Out-of-the-box thinking, reliability and sustainable advice.”
- Mise en œuvre, pour le compte d’un producteur international de produits chimiques et de matériaux spéciaux, d’un programme de conformité au RGPD prévoyant la préparation d’un bilan des pratiques en vigueur, l’examen de ses politiques, processus et documents et leur éventuelle modification, et la désignation d’un Délégué mutualisé à la protection des données (DPD)
- Conseil, dans le cadre de la fuite massive de données de son personnel à travers le monde, du client sur ses obligations dans plus de 50 pays dont les États-Unis, supervision des communications avec les salariés concernés et les différentes autorités de régulation, et abandon par ces dernières des poursuites contre notre client suite à notre intervention
- Obtention du rejet par la Cour suprême des États-Unis de l’application aux régimes d’assurance autofinancés d’une loi étatique prévoyant la divulgation forcée d’informations de santé à l’État du Vermont, dans l’affaire Gobeille v. Liberty Mutual, d’une importance cruciale en matière de protection des données
- Mise au point, pour le compte d’un fabricant de biens de consommation aux États-Unis, d’un programme de protection des données conforme au RGPD, couvrant tant les bases légales du traitement de données à caractère personnel, les déclarations externes et les directives internes relatives à la protection de ces données, que les transferts internationaux et la collecte en ligne de données à caractère personnel
- Conseil d’une société internationale de dispositifs médicaux pour sa certification de conformité au Privacy Shield UE – États-Unis, relatifs notamment à sa cartographie des données, à l’examen et l’analyse de ses politiques et procédures internes et externes, et à la révision de contrats conclus avec ses fournisseurs
- Conception, pour le compte d’une chaine hôtelière internationale, de stratégies d’analyse de données et de marketing externe, et réévaluation corollaire des politiques de protection des données en ligne
- Conseil d’un fabricant américain de produits industriels sur les conséquences sur la protection des données collectées dans le cadre de la commercialisation et l’utilisation à distance d’objets connectés dans l’Union européenne
- Conseil d’un prestataire de soins de santé américain sur les conditions à remplir pour pouvoir utiliser les données de patients à des fins scientifiques
- Conseil d’une université internationale sur la conformité au RGPD, concernant notamment l’applicabilité du RGPD aux activités menées par celle-ci dans l’Union européenne, les bases légales – dont le consentement – du traitement de données à caractère personnel ou encore la désignation d’un DPD, entre autres sujets
- Élaboration de politiques de protection des données et de conditions d’utilisation en ligne pour le compte de clients intervenant dans divers secteurs dont l’aérospatial, les énergies alternatives, la mode et le luxe, la gestion de dossiers médicaux électroniques , les applications mobiles, les nouvelles technologies, le conseil aux petites entreprises, la santé et les services de programmes de soins intégrés
- Acquisition, mise en place et déploiement d’un entrepôt de données d’entreprise, pour le compte d’un prestataire et payeur de soins de santé intégré verticalement, comprenant notamment la négociation des contrats d’acquisition de logiciels et de matériel informatique et des contrats de services d’implémentation, l’analyse des dispositions de la loi américaine « HIPAA » et d’autres prescriptions réglementaires ou relatives à la bonne gestion des données applicables au rassemblement des données du prestataire et du payeur au sein d’un entrepôt de données d’entreprise intégré, et l’examen des conditions requises pour satisfaire au critère d’usage positif.
- Rédaction, pour le compte de plusieurs dizaines de clients, de clauses contractuelles types et d’accords semblables permettant le transfert des données à caractère personnel de l’Union européenne vers des pays n’offrant pas un niveau de protection équivalent
- Conseil, dans le cadre du RGPD, sur les DPD de différents pays et leurs obligations, sur les voies de notification de diverses violations (par exemple en établissant dans l’Union européenne des ressources d’investigation, des centres d’appels et des prestataires compétents en la matière), sur les assurances couvrant les cybermenaces et la protection des données, et sur la collecte, la conservation et l’utilisation de données et l’évaluation des risques y afférents
- Conception et élaboration, pour le compte d’une multinationale de renom, d’un programme de protection des données et de cybersécurité dans l’entreprise, comprenant l’accomplissement de diverses tâches rentrant dans le cadre de l’activité, la constitution d’équipes, l’attribution de niveaux de priorité (élevée, moyenne ou faible), et une présentation à l’équipe de direction des risques liés à la protection des données et à la cybersécurité
- Dans le cadre d’une série d’incidents entraînant la fuite d’informations de santé de patients d’un hôpital californien de premier plan, supervision des aspects techniques de l’affaire, conseil de notre client sur les obligations légales applicables (en vertu de la loi américaine « HIPAA » et des lois de l’Etat de Californie) et sur les mesures à engager pour limiter sa responsabilité, et préparation d’un plan de communication et de déclarations
- Conseil d’un fournisseur international de solutions pour les services publics et les objets connectés sur les obligations découlant des lois relatives à la protection des données à caractère personnel du Canada et de Hong Kong
- Représentation d’un acteur incontournable du commerce électronique dans un litige l’opposant à l’un de ses prestataires, mettant en cause le caractère adéquat du niveau de sécurité offert par la technologie de ce dernier (algorithme de chiffrement utilisé pour sécuriser les transactions entre la société et ses clients)
- Dans le cadre de la constitution et du déploiement de séries de données de santé anonymisées, assistance d’un fournisseur de solutions de dossiers médicaux partagés, examen d’un avis juridique portant sur l’anonymisation des données au regard de la loi américaine « HIPAA », élaboration de politiques et procédures relatives à la sécurité et à la protection des données, et rédaction et négociation de contrats avec des entreprises pharmaceutiques et de biotechnologies souhaitant accéder aux séries de données anonymisées
- Assistance d’un centre d’urgence médicale concernant le vol d’un disque dur externe contenant les données de facturation médicale de plus de 175 000 patients issus de plus de 50 territoires, et notamment rédaction de la notification-type de violation de données, des rapports adressés à l’Office for Civil Rights (OCR) des États-Unis et aux autorités de régulation des États fédérés, des éléments de langage adoptés par les opérateurs de centres d’appels, des communiqués de presse et annonces aux médias, et de la demande d’indemnisation auprès de l’agence de facturation médicale. Obtention, après examen des pièces communiquées, de la clôture de l’enquête de l’OCR sans qu’aucune sanction ne soit prononcée et, conjointement avec le conseil juridique de l’agence de facturation médicale, du rejet d’un recours collectif de consommateurs affectés par cette fuite de données
- Élaboration, pour le compte d’une entreprise multinationale, d’un programme de gestion des fournisseurs lui permettant de satisfaire aux obligations de conformité en choisissant des partenaires pour la protection les informations personnelles des consommateurs, par le biais d’une liste de points à vérifier au préalable, de clauses-types de sécurité et de protection des données et de conseils pratiques de négociation
- Intervention auprès d’une entreprise du secteur de l’informatique médicale portant sur le développement, le déploiement et l’exploitation d’une application de santé mobile, et plus précisément négociation de contrats avec des développeurs informatiques, de contrats alpha/bêta et de contrats commerciaux y afférents, conseil sur les exigences applicables aux appareils mobiles ou connectés en matière de protection des données et de sécurité, sur la bonne gestion des données de consommateurs, et rédaction de politiques de protection des données et d’autres documents destinés aux consommateurs
- Révision, pour le compte d’un prestataire international de services de ressources humaines, de l’ensemble de ses politiques de protection des données en ligne, afin de veiller à sa conformité aux prescriptions légales des Etats-Unis et de l’Union européenne qui lui sont et seront applicables
- Assistance d’une société internationale pour le lancement d’une fonctionnalité mobile et connectée de santé et de fitness pour les produits qu’elle développe
- Intervention auprès d’un fournisseur de solutions pour dossier médical partagé dans le lancement d’une application de télémédecine et, notamment, élaboration des conditions d’utilisation de l’application, de la politique de protection des données, et du formulaire de consentement des patients
- Mise au point, pour le compte d’une entreprise nationale de télémédecine, d’un modèle de soins primaires virtuels intégrés et coordonnés ainsi que des outils associés de partage de données
- Conseil d’une société informatique sur la création d’une plateforme de collecte et d’analyse de données de recherche provenant de sources fédérales ou privées des Etats-Unis
- Intervention auprès d’un consortium national constitué de plus de 200 hôpitaux, aux fins d’assurer la conformité à la réglementation et d’élaborer une stratégie contractuelle dans le cadre de la création, de la mise en œuvre, de la maintenance, de la propriété et de la licence d’une base de données comparative et d’un système d’aide à la décision permettant l’échange, le regroupement et l’analyse d’informations électroniques par ses membres
Deal announcement, Press release
McDermott a conseillé Riot dans le cadre d’un financement de série B
Disclaimer
Do not send any information or documents that you want to have treated as secret or confidential. Providing information to McDermott Will & Schulte via email links on this website or other introductory email communications will not create an attorney-client relationship; will not preclude McDermott Will & Schulte from representing any other person or firm in any matter; and will not obligate McDermott Will & Schulte to keep confidential the information you provide. McDermott Will & Schulte cannot enter into an attorney-client relationship with you until McDermott Will & Schulte has determined that doing so will not create a conflict of interest and until you and McDermott Will & Schulte have entered into a written agreement or engagement letter that sets forth the terms of our relationship.