Avocat Senior

Thomas Dubuisson

Langues

Français
Anglais
Néerlandais
Espagnol

Réseaux sociaux

Thomas est spécialisé en protection des données (RGPD), propriété intellectuelle, intelligence artificielle (IA), technologies avancées, ainsi qu’en cybersécurité. Il possède une expérience significative auprès de multinationales, de start-ups innovantes et d'entités du secteur public, couvrant à la fois des dossiers contentieux et non-contentieux dans ces domaines. Il a également réalisé plusieurs audits de due diligence dans le cadre de transactions M&A impliquant des investissements technologiques. Par ailleurs, Thomas agit en tant que Délégué à la Protection des Données (DPO) externe pour divers clients issus de secteurs variés.

Il est titulaire d’un LL.M. délivré par l’Université de Maastricht aux Pays-Bas et par The George Washington University aux États-Unis. Cette double formation lui confère une compréhension approfondie des systèmes de droit civil et de « Common Law ». Il a également perfectionné ses compétences lors de stages au sein des principales institutions de propriété intellectuelle : l’Office de l’Union européenne pour la propriété intellectuelle (EUIPO), l’Office européen des brevets (OEB) et l’Organisation mondiale de la propriété intellectuelle (OMPI).

L’équipe Tech&Data, dont Thomas est un membre clé, est reconnue pour son excellence, ayant obtenu le statut Tier 1 dans la catégorie “Privacy and Data Protection” du classement Legal500, ainsi qu’un classement Band 1 dans le répertoire International Chambers. Depuis 2021, Thomas est régulièrement cité par Legal500 comme avocat de référence dans la catégorie “Privacy and Data Protection” de l’UE, notamment pour les litiges liés aux données.

Thomas a reçu la certification CIPP/E (« Certified Information Privacy Professional / Europe ») de l’IAPP. Il est membre de l’incubateur européen du barreau de Bruxelles et du groupe CMS Belgium AI, ce qui le place à l’avant-garde de l’innovation juridique en matière de technologie et de protection des données.

Il intervient régulièrement lors d’événements clients et de conférences internationales, telles que le “AI Legal Summit 2025” à Bruxelles. Récemment, il a été nommé professeur dans le cadre du programme de formation du barreau de Bruxelles, où il enseignera deux cours sur l’IA : “Introduction à l’intelligence artificielle” et “IA avancée pour les professionnels du droit”.

Auteur prolifique, Thomas contribue à de nombreux articles dans la presse (ex. : L’Écho, Trends) et dans des revues juridiques (ex. : European Data Protection Law Review, Revue Expertises des systèmes d’information – Droit, technologies et prospective).

Thomas possède une expertise approfondie dans les domaines suivants :

Vie privée et protection des données personnelles
Intelligence artificielle (IA)
Contentieux liés aux technologies et aux données
Propriété intellectuelle
Cybersécurité (ex. : directive NIS2, Cyber Resilience Act (CRA))
Législation sur les données (ex. : RGPD, Data Act (DA))
Violations de données et cyberattaques
Droit des technologies

Publications

Thomas a apporté sa contribution dans plusieurs publications prestigieuses.

En janvier 2025, Thomas Dubuisson a publié un article dans la revue « European Data Protection Law Review » (EDPL) portant sur l’interaction entre le RGPD et le règlement de l’UE sur l’intelligence artificielle, en s’appuyant sur les lignes directrices de l’Autorité belge de Protection des Données.

En décembre 2024, il a publié un article dans la Revue « Expertises des systèmes d'information - Droit, technologies et prospectives ». Il y fournissait des informations cruciales afin de rester conforme à la législation relative à la protection des données dans le domaine en constante évolution des technologies liées à l'IA.

En octobre 2023, Thomas Dubuisson et Tom De Cordier ont publié un article dans la Revue « Expertises des systèmes d'information – Droit, technologies et prospectives » concernant le « Règlement sur les données » (également connu sous le nom de « Data Act »), ses implications et les défis juridiques, techniques et financiers qu’il engendrera pour de nombreux acteurs économiques.

En août 2021, Thomas a contribué, avec d'autres avocats, au chapitre belge du livre « Law of Raw Data » publié par Wolters Kluwer. Ce livre donne un aperçu de la législation sur les données brutes dans le monde entier. Pour plus d'informations, cliquez ici.

En octobre 2021, Thomas a publié un article dans l' « European Data Protection Law Review » (EDPL) sur les nouvelles politiques concernant les aspects de violation du RGPD et les litiges devant l'Autorité belge de protection des données.

Thomas publie également de nombreux articles dans la presse et sur notre site CMS.law :

DUBUISSON (T.), “Un avocat condamné pour avoir remis des conclusions fantaisistes rédigées par l’intelligence artificielle”, Interview in RTBF, 25 décembre 2025, disponible ici.
DE CORDIER (T.), DUBUISSON (T.), et al., “The EU Digital Omnibus: Consolidation, Simplification and Realignment Across the EU’s Digital Rulebook”, 22 décembre 2025, disponible ici.
DUBUISSON (T.), UYTTERS (M.), et al., “Cyber-fraud and banking vigilance: French case law and lessons for Belgium”, 31 octobre 2025, disponible ici.
DE CORDIER (T.), DUBUISSON (T.), et al., “EU Cybersecurity Month: Protecting your business from investment fraud”, 16 octobre 2025, disponible ici.
VAN DEN BRANDE (S.), DUBUISSON (T.), et al., “AIPPI 2025 – Study Question. Copyright and Artificial Intelligence”, Ing.-Cons., 2025/2, 4 septembre 2025, p. 274-326, disponible ici.
DE CORDIER (T.), DUBUISSON (T.), et al., “Decoding the NIS2 Directive: Practical guidelines from the EU Agency for Cybersecurity on NIS2 risk management and skills”, 21 août 2025, disponible ici.
DE CORDIER (T.), DUBUISSON (T.), “Launch of new portal for data breach notification by the Belgian Data Protection Authority”, 17 juin 2025, disponible ici.
DE CORDIER (T.), DUBUISSON (T.), “CMS GDPR Enforcement Tracker Report”, 23 mai 2025, disponible ici
DE CORDIER (T.), DUBUISSON (T.), “Avec moins de 50 amendes en sept ans, le raz-de-marée de sanctions en lien avec le RGPD n'a pas eu lieu”, Interview in l’Echo, 22 mai 2025, disponible ici
DE CORDIER (T.), DUBUISSON (T.), et al., “The comeback is on: how the EU plans to reclaim digital sovereignty”, 29 avril 2025, disponible ici
DUBUISSON (T.), “Rançongiciel : un hôpital sanctionné pour manquement à la sécurité de ses données”, Revue Expertises des systèmes d'information – Droit, technologies et prospectives, n° 510, mars 2025, disponible ici
DUBUISSON (T.), “Deepseek AI - What is it and what do legal teams need to know about it?”, 25 février 2025, LexisNexis, disponible ici
DE CORDIER (T.), DUBUISSON (T.), et al., “Should privacy professionals take on AI governance roles?”, 11 février 2025, disponible ici
DE CORDIER (T.), DUBUISSON (T.), “Is the EU-U.S. Data Privacy Framework in danger”, 28 janvier 2025, disponible ici
DUBUISSON (T.), “Belgium – AI under the microscope of the GDPR: the Belgian Data Protection Authority deciphers the challenges of data protection in the development and use of AI”, European Data Protection Law Review, Volume 10 (2024), Issue 4, jan. 2025, disponible ici
DE CORDIER (T.), DUBUISSON (T.), “Compulsory or optional? AI literacy a central component of compliance with AI Act”, 18 décembre 2024, disponible ici
DUBUISSON (T.), “L’IA sous la loupe du RGPD” Revue Expertises des systèmes d'information – Droit, technologies et prospectives, n° 507, décembre 2024, disponible içi
DE CORDIER (T.), DUBUISSON (T.), “EU Cyber Resilience Act comes into effect on 10 December”, 03/12/2024, disponible içi
DE CORDIER (T.), DUBUISSON (T.), “EU’s NIS 2 enters into force: compliance is now mandatory”, 22/10/2024, disponible ici
DE CORDIER (T.), DUBUISSON (T.), “The Belgian Data Protection Authority publishes an informative brochure on artificial intelligence systems and the GDPR”, 25/09/2024, disponible ici
DE CORDIER (T.), DUBUISSON (T.), DOBBELAERE (D.) and DE PAUW (V.), and Co., “News from the CJEU on GDPR compensation”, 02/02/2024, disponible ici
DUBUISSON (T.), “Corporate Disputes - Ransomware and data privacy: class action litigation”, Financier Worldwide Magazine, Jan-Mar 2024 issue, 01/2024, disponible ici
DE CORDIER (T.), DUBUISSON (T.), DOBBELAERE (D.) et DE PAUW (V.), « With EU Cyber Resilience Act, EU gets tough on IoT supply chain cybersecurity », 13/12/23, lire ici
DE CORDIER (T.), DUBUISSON (T.), “How to draft an AI policy?” 23/10/2023, disponible ici
DUBUISSON (T.), “Phishing : Votre employé est-il responsable ?”, Trends-Tendances, 19/10/2023, disponible ici
DUBUISSON (T.), “Un cybercriminel m’a contacté par e-mail, SMS, téléphone et j’ai malheureusement partagé mes informations personnelles. Que puis-je faire ?”, La Libre Belgique, 16/10/2023, disponible ici
DUBUISSON (T.), “EU Cybersecurity Month: The looming threat of a single phishing click to your business”, 09/10/2023, disponible ici
DE CORDIER (T.), DUBUISSON (T.), “Règlement sur les données (Data Act) : Un pas décisif vers une société fondée sur les données”, Revue Expertises des systèmes d'information – Droit, technologies et prospectives, n° 494, October 2023, disponible ici
DE CORDIER (T.), DUBUISSON (T.), “Summer Snapshot: Tech and Data Highlights You Might Have Missed”, 11/09/2023, disponible ici
DUBUISSON (T.), "Data Protection and Privacy" (Belgium), InDepth Features, Financier Worldwide, 13/07/2023, disponible ici
DE CORDIER (T.), DUBUISSON (T.), “Adequacy decision on EU-US Data Privacy Framework adopted”, 10/07/2023, disponible ici
DE CORDIER (T.), DUBUISSON (T.), “The GDPR turns 5 | Europe-wide analysis reveals data protection fines totaling EUR 2.7 billion in over 1,500 cases”, 23/05/2023, disponible ici
DE CORDIER (T.), DUBUISSON (T.), “The Belgian Whistleblowing Act enters into force. What do you need to know regarding data protection?”, 15/02/2023, disponible ici
DE CORDIER (T.), DUBUISSON (T.), “Happy Data Protection Day! What’s on the horizon for 2023?”, 27/01/2023, disponible ici
DE CORDIER (T.), DUBUISSON (T.), « Les cybercriminels vont-ils profiter du succès de ChatGPT pour tromper votre entreprise? », l’Echo, 23/01/2023, disponible ici
DE CORDIER (T.), DUBUISSON (T.), « Quelle stratégie adopter face aux attaques par rançongiciel? », l’Echo, 11/01/2023, disponible ici
DUBUISSON (T.), FONTEYN (B.), “Belgian DPA again clarifies the right of access to medical records”, 20/12/2022, disponible ici
DUBUISSON (T.), HEREMANS (T.), “The Digital Services Act has entered into force: Here's a quick recap”, 25/11/2022, disponible ici
DE CORDIER (T.), DUBUISSON (T.), “EU Cybersecurity Month: mobile devices can pose a risk to your business”, 20/10/2022, disponible ici
DOMOKOS (M.), DUBUISSON (T.), HORVATH (K.), PETRANYI (D.), “European Commission proposes new Cyber Resilience Act”, 12/10/2022, disponible ici
DE VISSCHER (F.), DUBUISSON (T.), MARIANO (M.), JANSSENS (M-C.), VAN DE GEHUCHTE (T.), Moral rights in « Les travaux de l’AIPPI », Revue de droit intellectuel - L'ingénieur conseil / Tijdschrift intellectuele eigendom, 2022/2 - 1 septembre 2022, p. 297-324.
DE GRAAF (E.), DUBUISSON (T.), “How to handle your (ex)-employees’ health data? The BDPA provides new guidelines regarding manager’s communication”, 08/08/2022, disponible ici
DUBUISSON (T.), FONTEYN (B.) “Belgian DPA clarifies the interaction between Belgian Patient's Rights Law and GDPR”, 13/07/2022, disponible ici
DE CORDIER (T.), DUBUISSON (T.), “Another cookie enforcement case: Belgian privacy watchdog reconfirms cookie consent rules”, 31/01/2022, disponible ici
DE CORDIER (T.), DUBUISSON (T.), “Éradiquer le fléau des ransomware en interdisant le paiement des rançons?”, l’Echo, 23/11/2021, disponible ici
DUBUISSON (T.), “Data Protection Authority Provides New Policies on GDPR Infringements and Litigation Proceedings Aspects”, 15/10/2021, European Data Protection Law Review, 2021/3, p. 435-449
Van den Brande (S.), Lens (S.), Dubuisson (T.), Lhote (A-N.), Meyer (G.), Law of Raw Data, Belgium chapter, Kluwer Law International, 2021, disponible ici
DE CORDIER (T.), DUBUISSON (T.), “EU Cybersecurity Month: Hybrid working makes phishing attacks harder to spot”, 13/10/2021, disponible ici
DE CORDIER (T.), DUBUISSON (T.), “Summer legal recap of data protection law”, 3/09/2021, disponible sur inscription ici
DE CORDIER (T.), DUBUISSON (T.), “EU finally adopts new data transfer clauses”, 09/06/2021 disponible sur inscription ici
DE CORDIER (T.), DUBUISSON (T.), “EU Court of Justice clarifies concept of “informed consent” for collection of personal data”, 17/11/2020, disponible ici
DUBUISSON (T.), « Télétravail et cybersécurité : vos employés sont-ils bien formés ? »,Trends Tendances, 12/11/2020, disponible sur Linkedin;
DUBUISSON (T.), “Que faire en cas de chantage à la pornographie ?”, 03/11/2020, disponible sur Linkedin:
DE CORDIER (T.), DUBUISSON (T.), “EU Cyber Security Month: learn how multi-factor authentication can protect your company's most valuable assets”, 29/10/2020, disponible dans The Wire
DUBUISSON (T.), Simonart (B.), “How to handle your ex-employees’ mailboxes? The Belgian Data Protection Authority provides guidelines and a EUR 15,000 fine”, 23/10/2020, disponible ici
DUBUISSON (T.), “Le « revenge porn » (vengeance pornographique) est désormais dans le Code pénal !” 25/08/2020, disponible sur Linkedin:
DE CORDIER (T.), DUBUISSON (T.), VAN DAELE (J.), “Schrems strikes again: EU-US Privacy Shield invalid; Standard Contractual Clauses upheld but due diligence required”, 17/07/2020, disponible ici
DUBUISSON (T.), Van den Brande, S., de Visscher, F., Lens, S., Vandewynckel, S., Anne Namalie Lhote and Meyer, G., Rights in Data in « Les travaux de l'AIPPI », 19/05/2020, Revue de droit intellectuel - L'ingénieur conseil / Tijdschrift intellectuele eigendom, 2020/2, p.360-395
DE CORDIER (T.), DUBUISSON (T.), “Belgian Data Protection Authority provides new guidance on cookies”, 25/05/2020, disponible ici
DE CORDIER (T.), DUBUISSON (T.), “Deadline approaching for notifying CCTV cameras to Belgian police”, 14/05/2020, disponible ici
DE CORDIER (T.), DUBUISSON (T.), “Belgian DPA publishes new detailed guidelines on direct marketing”, 14/02/2020, disponible ici
DE CORDIER (T.), DUBUISSON (T.), VAN DAELE (J.), “EU Advocate-General opinion hints Europe’s top court is unlikely to disrupt international data flows in pending decision”, 20/12/2019, disponible dans The Wire
DUBUISSON (T.), “L'employé est-il responsable lorsqu’il mord au “phishing””, 28/11/2019, Trends Tendances, disponible sur Trends
DE CORDIER (T.), DUBUISSON (T.),” EU Cybersecurity Month: When a simple phishing click can severely harm your company”, 10/10/2019, disponible ici
DE CORDIER (T.), DUBUISSON (T.), “Time to update your cookie consent and policy! CJEU says preticked checkboxes are not valid”, 02/10/2019, disponible ici
DE CORDIER (T.), DUBUISSON (T.), “Using social plug-ins on your website? You and the social network will be jointly liable for the data processing”, 31/07/2019, disponible ici
DE CORDIER (T.), DUBUISSON (T.), “First Belgian GDPR sanction: DPA fines mayor EUR 2,000”,31/05/2019, disponible ici
DE CORDIER (T.), DUBUISSON (T.), "EU Advocate General gives Internet cookie opinion that could impact data privacy regs”, 02/04/2019, disponible ici
DE CORDIER (T.), DUBUISSON (T.), GORIS (A-M), “Belgium's privacy watchdog publishes guidance on the notions of controller and processor”, 17/01/2019, disponible ici .

Affiliations et fonctions

Membre de l’Association internationale des professionnels de la protection de la vie privée (IAPP)
Membre de l’Association Nationale Belge pour la Protection de la Propriété Industrielle (ANBPPI)
Membre de l’Association Internationale pour la Protection de la Propriété Intellectuelle (AIPPI)

Conférences

Thomas est couramment invité comme orateur à des conférences dans ses domaines de prédilection, comme par ex. :

Projet LITEL de la Commission européenne : « Comment élaborer une politique en matière d’intelligence artificielle (AI) ? » (4 et 5 décembre 2025)
École du barreau de Bruxelles (CAPA) : « Introduction à l’intelligence artificielle » et « IA avancée pour les professionnels du droit » (septembre 2025 - juin 2026)
Webinaire CMS : « Décoder la définition du système d’IA dans le règlement européen sur l’intelligence artificielle (AI Act) (10 juin 2025)
European Company Lawyers Association (ECLA) : « Les systèmes d’IA dans le contexte du règlement européen sur l’intelligence artificielle » (30 avril 2025)
AI Legal Summit 2025 : « Quels risques visibles et invisibles l’intégration de l’IA fait-elle peser sur la pratique juridique et la gouvernance des activités ? Quelles stratégies proactives pour prévenir les dérives éthiques, juridiques et opérationnelles ? (27-28 février 2025)
Luxembourg House of Cybersecurity – « Retour de 12 mois de réponse à incident par le team CSIRT d’Excellium – Panorama des types d’incidents et principaux enseignements à retenir » (18 octobre 2022)
Université de New York (NYU) « Cybersecurity, An International & Commercial Perspective » (14 juillet 2022)
« Lutte contre le blanchiment / Les défis du Compliance Officer : Le RGPD souffle ses 6 bougies. Tant de choses à accomplir (encore) ? » (31 mai 2022)

Formation

2015 - Admis au Barreau Francophone de Bruxelles
2012 - George Washington University Law School - États-Unis d’Amérique (LL.M en Intellectual Property Law)
2011 - Maastricht University - Pays-Bas (LL.M en Intellectual Property Law and Knowledge Management)
2010 - Université de Louvain, UCLouvain (Master en droit)

Domaine de droit

Propriété Intellectuelle Droit commercial

Secteurs

TMC - Technologie, Média & Communications

Plus d'informations

Summer Snapshot: Tech and Data Highlights You Might Have Missed
The Belgian Whistleblowing Act enters into force. What do you need to know regarding data protection?

Insights

Couverture mondiale

Contactez-nous