Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 62
fasse l'objet d'une auto évaluation permanente, ainsi que la mise en place de
mécanismes de gouvernance interne à
cet effet.
Tout d'abord, le responsable doit mettre
en place toutes mesures techniques et
organisationnelles (y compris la minimisation des données collectées et,
le cas échéant, leur anonymisation)
nécessaires au respect du Règlement,
et doit revoir et actualiser ces mesures
régulièrement. Ces mesures doivent
inclure notamment la mise en œuvre
de politiques Informatiques et libertés,
et peuvent également inclure l'adhésion à des codes de conduite édictés par
des tiers ou l'obtention de la certification
d'organismes agréés à cet effet par les
autorités de contrôle. Le responsable doit
toujours s'assurer que les données collectées sont proportionnées par rapport à
la finalité du traitement, déterminer leur
durée de rétention et leur accessibilité,
qui doit par défaut être limité à un groupe
de personnes défini.
Le responsable de traitement (ainsi
que le sous-traitant) doit tenir à jour un
registre recensant les traitements effectués, qui doit notamment mentionner les
coordonnées du responsable ainsi que
de tout co-responsable, du représentant
du responsable et de son correspondant
Informatique et libertés, les finalités du
traitement, la description des catégories
de personnes concernées et de données
personnelles traitées, les catégories de
destinataires (y compris dans des pays
tiers), le cas échéant les transferts vers des
pays tiers (en indiquant les mécanismes
de sauvegarde mis en place), la durée de
rétention de chaque catégorie de données
ainsi qu'une description générale des
mesures techniques et organisationnelles
de sécurité mises en œuvre. Cette obligation ne s'applique pas aux entreprises
de moins de 250 salariés, sauf si le traitement peut constituer un risque aux droits
et libertés des personnes concernées, le
traitement n'est pas occasionnel ou le traitement inclut des données sensibles ou
liées à des condamnations pénales. Au
vu de la place prise par l'informatique
dans les entreprises, on voit mal quelle
entreprise de moins de 250 salariés ne
procède pas de manière régulière à des
traitements de données.
Lorsqu'un responsable met en œuvre
un nouveau traitement qui semble poser
un risque élevé aux droits et libertés
62
des individus (les autorités de contrôles
devant établir et publier des listes de
ces types de traitement), il doit effectuer
de façon préliminaire une étude sur les
impacts de ces nouveaux traitements
et obtenir l'avis de son correspondant
Informatique et libertés, le cas échéant.
L'étude doit au moins contenir une
description systématique des opérations
de traitement envisagées et de leurs finalités, une évaluation de la nécessité et
de la proportionnalité du traitement, une
évaluation des risques posés aux droits et
libertés des individus et les mesures envisagées pour atténuer ces risques. Ces
études d'impact ne seront toutefois pas
obligatoires quand le traitement a pour
base juridique le droit d'un Etat membre
ou de l'Union européenne, si ce droit
règlemente spécifiquement les opérations
de traitement.
Si l'étude d'impact a pour résultat la
constatation d'un risque élevé en l'absence de mesures adoptées par le
responsable, ce dernier doit consulter
l'autorité de contrôle, qui peut alors utiliser de tous ses pouvoirs pour que le traitement et les mesures mises en œuvre par
le responsable assurent un niveau satisfaisant de protection des droits et libertés
des individus.
Ce texte final est moins contraignant que
le texte adopté par le Parlement européen, qui prévoyait notamment que les
études d'impact soient applicables à tous
traitements de données concernant plus
de 5.000 personnes sur 12 mois consécutifs, et que les documents sociaux que les
politiques Informatique & libertés soient
revues obligatoirement tous les deux
ans et que tous les rapports habituels
concernant les activités du responsable,
tel que les rapports annuels des sociétés
cotées, incluent une description des politiques Informatique & libertés adoptées.
Cependant, il induira des coûts de mise
en œuvre pour les entreprises bien supérieurs à ceux exposés aujourd'hui.
LENOUVEAUCORRESPONDANT
INFORMATIQUES ET LIBERTÉS
Le Correspondant Informatique & libertés (CIL) avait été l'une des innovations
majeures de la transposition de la directive en droit français. Il devient obligatoire
pour tous les responsables et sous-traitants qui sont des personnes publiques
(à l'exception des tribunaux), dont les
EXPERTISES FÉVRIER 2016
activités de base consistent en des traitements qui, du fait de leur nature, de leur
portée et/ou de leurs finalités, exigent
un suivi régulier et systématique des
personnes concernées sur une grande
échelle ainsi que pour les personnes
dont l'activité de base consiste en des
traitements à grande échelle de données
sensibles ou concernant des infractions
pénales. On remarque l'abandon du
critère concernant le nombre de salariés ou de personnes concernées, qui
étaient proposés respectivement par la
Commission et le Parlement.
Le nouveau CIL pourra être mutualisé dans les groupes d'entreprises et les
personnes publiques et les Etats membres
auront la possibilité d'imposer d'autres
critères requérant la nomination d'un
CIL. Les coordonnées du CIL devront
désormais être publiques et il sera le
point de contact pour l'exercice de leurs
droits par les personnes concernées. Ses
prérogatives sont adaptées par rapport
aux nouvelles obligations des responsables de traitements et s'il ne peut pas
être licencié ou pénalisé pour l'exercice
de ses fonctions, il n'accède en revanche
pas au statut de salarié protégé.
LES TRANSFERTS
INTERNATIONAUX DE
DONNÉES PERSONNELLES
Selon l'article 41 du Règlement, les transferts de données hors de l'Union européenne ne peuvent avoir lieu que vers
des pays dont le niveau de protection
a été déclaré comme équivalent par la
Commission ou lorsque des mesures
appropriées de protections ont été mises
en œuvre, tels que les traditionnelles
binding corporate rules ou clauses-types
adoptées par la Commission européenne.
Cependant, de nouveaux mécanismes,
tels que les codes de conduite et les mécanismes de certifications apparaissent,
qui pourront constituer des alternatives
intéressantes par rapport aux deux
mécanismes d'ores et déjà existant. Le
Règlement ajoute que les mesures appropriées doivent permettre aux personnes
concernées l'exercice effectif de leurs
droits et de procédures de recours en
cas de manquement. Dans le cas de ces
mécanismes de transfert, aucune autorisation préalable des autorités de contrôle
ne sera nécessaire, ce qui constituera une
simplification appréciable. En revanche,
�
Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410
Couverture
Sommaire
MAGAZINE - CYBERSÉCURITÉ : LE BUSINESS DU 0-DAY DANS LA TOURMENTE, Par Sylvie ROZENFELD
INTERVIEW - JEAN-RAYMOND LEMAIRE : L’EXPERTISE AU XXIEME SIECLE, Par Sylvie ROZENFELD
DOCTRINE
DONNÉES PERSONNELLES : LE NOUVEAU RÈGLEMENT EUROPÉEN EN DIX POINTS, Par Marc LEMPÉRIÈRE
VIDÉOSURVEILLANCE : UN CADRE STRICT À RESPECTER, Par Matthieu BOURGEOIS & Amira BOUNEDJOUM
OPEN DATA : OUVERTURE DES DONNÉES DE SANTÉ, Par Thomas ROCHE
JURISPRUDENCE
BUZZEE FRANCE / FREE : Tribunal de commerce de Paris, ordonnance de référé du 20 janvier 2016
LOC CAR DREAM : Conseil d’État, 10ème / 9ème SSR, décision du 18 décembre 2015
VENTE-PRIVEE.COM / M. J-J. N., JKC FINANCE : TGI de Nanterre, pôle civil, 1ère chambre, jugement du 3 décembre 2015
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - MAGAZINE - CYBERSÉCURITÉ : LE BUSINESS DU 0-DAY DANS LA TOURMENTE, Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 44
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 45
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 46
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 47
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 48
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 49
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 50
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 51
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 52
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 53
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - INTERVIEW - JEAN-RAYMOND LEMAIRE : L’EXPERTISE AU XXIEME SIECLE, Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 55
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 56
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 57
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 58
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - DONNÉES PERSONNELLES : LE NOUVEAU RÈGLEMENT EUROPÉEN EN DIX POINTS, Par Marc LEMPÉRIÈRE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 60
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 61
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 62
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 63
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - VIDÉOSURVEILLANCE : UN CADRE STRICT À RESPECTER, Par Matthieu BOURGEOIS & Amira BOUNEDJOUM
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 65
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - OPEN DATA : OUVERTURE DES DONNÉES DE SANTÉ, Par Thomas ROCHE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 67
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 68
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - BUZZEE FRANCE / FREE : Tribunal de commerce de Paris, ordonnance de référé du 20 janvier 2016
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 70
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - LOC CAR DREAM : Conseil d’État, 10ème / 9ème SSR, décision du 18 décembre 2015
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 72
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - VENTE-PRIVEE.COM / M. J-J. N., JKC FINANCE : TGI de Nanterre, pôle civil, 1ère chambre, jugement du 3 décembre 2015
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 74
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 75
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 76
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 77
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 78
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 79
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 80
https://www.nxtbook.fr/newpress/celog/celog-expertises-2210_483
https://www.nxtbook.fr/newpress/celog/celog-expertises-2209_482
https://www.nxtbook.fr/newpress/celog/celog-expertises-2207_481
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com