Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 61
dans les téléphones portables, qui ne
sont pas forcément transférables entre
modèles et systèmes d'exploitation, ce qui
incite donc les consommateurs, lorsqu'ils
renouvellent leur portable, à racheter
un téléphone du même fournisseur ou
utilisant le même système d'exploitation.
Cependant, la mise en œuvre de ce droit
risque de constituer un coût significatif
pour les responsables de données, et la
définition des formats structurés, lisibles
en machine et couramment utilisés fera
probablement l'objet d'un lobbying très
intense de tous les industriels.
LA PLUS GRANDE
RESPONSABILISATION
DES SOUS-TRAITANTS
Les sous-traitants étaient jusqu'à présent
des acteurs très peu responsabilisés du
droit Informatique et libertés. La directive ne prévoyait qu'une obligation pour
le responsable de traitement de s'assurer que ses sous-traitants apportent
des garanties suffisantes au regard des
mesures de sécurité technique et d'organisation relatives aux traitements à effectuer, de veiller au respect de ces mesures
et de prévoir contractuellement le respect
de ces dispositions, ainsi que l'obligation
du sous-traitant de ne traiter les données
que conformément aux instructions du
responsable. Au vu du développement
exponentiel de l'externalisation et de
l'informatique en nuage, ce régime des
sous-traitants devait être révisé.
Le Règlement prévoit ainsi désormais
que le responsable de traitement doit
non seulement prendre les mesures
pour s'assurer que les données seront
traitées par le sous-traitant en conformité avec le droit Informatique et libertés, mais aussi être toujours capable de
démontrer que cela est actuellement le
cas et procéder régulièrement à une
révision de ces mesures. Les obligations
des sous-traitants qui emploient plus de
250 salariés (les très petites entreprises
étant exemptées de ces obligations) sont,
quant à elles, détaillées à l'article 26 du
Règlement qui prévoit tout d'abord qu'ils
ne peuvent pas sous-traiter à un tiers sans
l'accord écrit spécifique du responsable
de traitement, et qu'ils doivent toujours
informer le responsable de traitement
de toutes modifications concernant leurs
propres sous-traitants, afin de donner
au responsable de traitement la possibi-
lité d'objecter à de telles modifications.
Les sous-traitants doivent s'assurer que
toute personne qu'ils autorisent à traiter
les données soient soumises à une obligation de confidentialité, assister le responsable de traitement dans le respect de ses
obligations en droit Informatique et libertés par des mesures techniques et organisationnelles appropriées et, au choix
du responsable de traitement, effacer ou
retourner les données au responsable
au terme du contrat, ainsi que mettre
à disposition du responsable toutes les
informations nécessaires pour démontrer
son respect du droit Informatique et libertés. Les sous-traitants doivent également
informer les responsables s'ils estiment
que le traitement viole le Règlement ou
le droit Informatique et libertés d'un Etat
membre.
Les sous-traitants pourront adhérer à
des codes de conduite approuvés par
les autorités nationales de protection des
données (ou, si le code régit les activités
dans plusieurs Etats membres, le Comité
européen de la protection des données),
ainsi qu'être certifiés par des organismes agréés, afin de démontrer qu'ils
présentent les garanties nécessaires.
Les sous-traitants devront également
tenir à jour un registre de toutes les
catégories d'activités de traitement des
données effectuées pour le compte de
chaque responsable, qui devra être tenu
à la disposition de l'autorité de contrôle.
Finalement, le Règlement prévoit que les
sous-traitants pourront être responsables
des dommages subis par les personnes
concernées, ainsi qu'être condamnés au
paiement des amendes administratives
prononcées par les autorités nationales
de protection des données personnelles.
L'OBLIGATION DE NOTIFIER
LES VIOLATIONS DE DONNÉES
À CARACTÈRE PERSONNEL
Le Règlement, après avoir précisé le
contenu de l'obligation de sécurité, prévoit
un élargissement de l'obligation de notification des violations des données à
caractère personnel. Cette obligation,
qui nous vient des Etats-Unis où elle a
infligé des dommages considérables
aux entreprises concernées, s'applique
pour l'instant dans l'Union européenne
aux fournisseurs de communications
électroniques, en application de la directive dite Cookies4. En cas de violation
EXPERTISES FÉVRIER 2016
de la sécurité des données entraînant de
manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation
ou la consultation non autorisées de
données, le responsable de traitement
devra notifier cet évènement sans retard
injustifié et, si possible, dans les 72 heures
après en avoir pris connaissance à l'autorité de contrôle compétente, sauf s'il est
peu probable que la violation constitue
un risque pour les droits et libertés des
individus. La notification doit décrire la
nature de la violation, les catégories et
le nombre approximatif de personnes
concernées, les coordonnées du correspondant Informatique et libertés ou
autre point de contact, les conséquences
probables de la violation ainsi que les
mesures que le responsable se propose
de mettre en œuvre.
De plus, si la violation est susceptible de
porter gravement atteinte aux droits et
libertés des individus, le responsable doit
informer les personnes concernées sans
retard injustifié, en décrivant de façon
claire la nature de la violation, les coordonnées du correspondant Informatique
et libertés ou autre point de contact, les
conséquences probables de la violation
ainsi que les mesures que le responsable
se propose de mettre en œuvre.
Au vu de l'impact économique d'une
campagne de notification aux personnes
concernées de la violation de leurs
données ou simplement de la publication de la violation notifiée à l'autorité de
contrôle, les notions d'atteinte et d'atteinte
graves aux droits et libertés des individus vont probablement faire l'objet d'une
interprétation intensive, pour laquelle il
convient de se référer, en l'absence pour
l'instant d'autres documents aux lignes
directrices publiées par le G29 concernant les violations en matière de fourniture de services de communications
électroniques7.
L'OBLIGATION DE PRATIQUER
LA « PRIVACY BY DESIGN »
Le Règlement veut faire du droit
Informatique & libertés un réflexe des
entreprises, qui doit faire l'objet d'une
réflexion continue et s'inscrire en amont
de toute décision. S'il supprime l'obligation préalable de notification à l'autorité
de contrôle imposée par l'article 28 de
la Directive, il prévoit par contre que le
respect du droit Informatique et libertés
61
Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410
Couverture
Sommaire
MAGAZINE - CYBERSÉCURITÉ : LE BUSINESS DU 0-DAY DANS LA TOURMENTE, Par Sylvie ROZENFELD
INTERVIEW - JEAN-RAYMOND LEMAIRE : L’EXPERTISE AU XXIEME SIECLE, Par Sylvie ROZENFELD
DOCTRINE
DONNÉES PERSONNELLES : LE NOUVEAU RÈGLEMENT EUROPÉEN EN DIX POINTS, Par Marc LEMPÉRIÈRE
VIDÉOSURVEILLANCE : UN CADRE STRICT À RESPECTER, Par Matthieu BOURGEOIS & Amira BOUNEDJOUM
OPEN DATA : OUVERTURE DES DONNÉES DE SANTÉ, Par Thomas ROCHE
JURISPRUDENCE
BUZZEE FRANCE / FREE : Tribunal de commerce de Paris, ordonnance de référé du 20 janvier 2016
LOC CAR DREAM : Conseil d’État, 10ème / 9ème SSR, décision du 18 décembre 2015
VENTE-PRIVEE.COM / M. J-J. N., JKC FINANCE : TGI de Nanterre, pôle civil, 1ère chambre, jugement du 3 décembre 2015
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - MAGAZINE - CYBERSÉCURITÉ : LE BUSINESS DU 0-DAY DANS LA TOURMENTE, Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 44
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 45
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 46
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 47
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 48
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 49
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 50
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 51
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 52
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 53
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - INTERVIEW - JEAN-RAYMOND LEMAIRE : L’EXPERTISE AU XXIEME SIECLE, Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 55
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 56
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 57
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 58
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - DONNÉES PERSONNELLES : LE NOUVEAU RÈGLEMENT EUROPÉEN EN DIX POINTS, Par Marc LEMPÉRIÈRE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 60
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 61
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 62
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 63
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - VIDÉOSURVEILLANCE : UN CADRE STRICT À RESPECTER, Par Matthieu BOURGEOIS & Amira BOUNEDJOUM
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 65
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - OPEN DATA : OUVERTURE DES DONNÉES DE SANTÉ, Par Thomas ROCHE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 67
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 68
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - BUZZEE FRANCE / FREE : Tribunal de commerce de Paris, ordonnance de référé du 20 janvier 2016
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 70
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - LOC CAR DREAM : Conseil d’État, 10ème / 9ème SSR, décision du 18 décembre 2015
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 72
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - VENTE-PRIVEE.COM / M. J-J. N., JKC FINANCE : TGI de Nanterre, pôle civil, 1ère chambre, jugement du 3 décembre 2015
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 74
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 75
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 76
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 77
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 78
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 79
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 80
https://www.nxtbook.fr/newpress/celog/celog-expertises-2210_483
https://www.nxtbook.fr/newpress/celog/celog-expertises-2209_482
https://www.nxtbook.fr/newpress/celog/celog-expertises-2207_481
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com