Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 254

une telle violation de données dans
les meilleurs délais au responsable
de traitement. Par ailleurs, l'article 34
du Règlement prévoit également que
le responsable de traitement peut être
tenu d'informer les personnes concernées lorsque la violation de données
est susceptible d'engendrer un risque
élevé pour les droits et libertés des
personnes. Il sera nécessaire que le
Comité européen de la protection des
données (le Comité qui remplacera le
G29) adopte des critères permettant de
définir les circonstances dans lesquelles
une violation de données est susceptible
d'engendrer un tel risque.

Recours à la pseudonymisation
Les responsables de traitement sont
encouragés à recourir à la pseudonymisation des données personnelles qu'ils
traitent. La notion de pseudonymisation
est définie à l'article 4§5 comme « le traitement de données à caractère personnel de telle façon qu'elles ne puissent
plus être attribuées à une personne
concernée sans avoir recours à des
informations supplémentaires [...] ».
La pseudonymisation consiste à conserver de manière séparée les données
relatives à une personne des données
permettant l'identification de cette
personne. La mise en œuvre de mesures
de pseudonymisation des données
permet d'alléger les contraintes pesant
sur les responsables de traitement sous
réserve du respect des principes établis
par le Règlement. Le Règlement précise
notamment que les données permettant
d'identifier directement la personne
concernée doivent être conservées
séparément et être encadrées par des
mesures techniques et organisationnelles permettant de garantir que les
informations traitées ne pourront pas
être liées à une personne directement
ou indirectement identifiable.
La pseudonymisation est un aspect
central du concept de Privacy by design.
Sa mise en œuvre devrait permettre
aux traitements concernés de bénéficier d'une présomption de risque faible
pour les droits et libertés des personnes.
La mise en place de mesures de pseudonymisation pourrait engendrer des
coûts importants pour les entreprises.
Toutefois, ces coûts pourraient être
compensés par les économies réalisées
grâce à l'allégement des obligations des
entreprises adoptant cette solution.

254

RÉGIME APPLICABLE
AU PROFILAGE
Introduction d'une définition
du profilage
Les traitements visant à établir des
profils de personnes physiques ainsi
que le marketing ciblé étaient déjà
encadrés par la Directive. Cependant
ces termes n'étaient pas définis.
Le Règlement introduit une définition du profilage et met en place un
régime spécifique applicable à ces
traitements. L'article 4§4 du Règlement
défini le profilage comme un traitement automatisé de données à caractère personnel mis en œuvre pour
évaluer certains aspects personnels
d'une personne physique. Ces traitements peuvent être mis en œuvre
pour évaluer la situation financière,
le comportement ou les déplacements
d'une personne physique. En pratique,
constituent des formes de profilage les
traitements de données utilisés dans le
cadre du marketing ciblé sur internet,
les traitements de scoring utilisés par
les établissements bancaires ou encore
les profils de risques clients établis par
les organismes d'assurance.

Droits des personnes à l'égard
des opérations de profilage
L'article 22 du Règlement prévoit que les
personnes ont le droit de ne pas faire
l'objet de décisions prises exclusivement sur la base d'éléments provenant
d'une opération de profilage lorsque
cette décision produit des effets juridiques à son égard ou l' « affecte de
manière significative ». Le considérant
71 du Règlement illustre cette notion par
les exemples de « rejet automatique
d'une demande de crédit en ligne ou
des pratiques de recrutement en ligne
sans aucune intervention humaine ».
Toutefois, l'absence de critère précis
pourrait entraîner des divergences
d'interprétation entre les autorités de
contrôle. Par exception, des décisions
peuvent valablement être prises sur la
base d'un profilage lorsque le droit de
l'Union ou d'un Etat membre le permet
(par exemple dans le cadre de la lutte
contre la fraude fiscale), lorsqu'elles sont
nécessaires à la conclusion d'un contrat
ou lorsque la personne concernée y
consent expressément.
Les personnes doivent être informées
de manière spécifique de l'existence

EXPERTISES JUILLET/AOÛT 2016

d'opérations de profilage et de la possibilité que des décisions soient prises sur
cette base ainsi que de la logique qui
sous-tend ces opérations.

QUELLES ENTREPRISES
SONT CONCERNÉES ?
Le Règlement étend de manière substantielle la portée de la règlementation européenne sur la protection
des données personnelles. De plus
les sous-traitants qui jusqu'alors ne
se voyaient imposer d'obligations de
protection des données qu'en vertu des
contrats les liant aux responsables de
traitement se verront désormais soumis
de manière directe à de nombreuses
dispositions. Le Règlement s'applique
à toutes les organisations, responsables
de traitement ou sous-traitants, disposant d'un établissement sur le territoire
de l'Union européenne qui effectuent
des traitements de données à caractère
personnel dans le cadre des activités de
cet établissement. Les dispositions s'appliquent que les traitements aient lieu
ou non sur le territoire de l'Union et que
l'organisation soit responsable du traitement ou sous-traitant.
L'application des dispositions du
Règlement est liée à la notion d'établissement qui bénéficie d'une acception
particulièrement large en matière de
protection des données personnelles.
Pour rappel, la Cour de justice de
l'Union européenne a considéré que
la notion d'établissement au sens de
la Directive 95/46 « s'étend à toute activité réelle et effective, même minime,
exercée au moyen d'une installation
stable »(1). La qualification d'établissement ne s'applique donc pas uniquement aux entreprises immatriculées
dans un Etat membre mais peut viser
tout élément tel qu'un site internet, un
représentant ou même une simple boîte
aux lettres dès lors que ces éléments
permettent la fourniture de services.
Les entreprises non européennes qui
disposent uniquement de représentants ou de bureaux de marketing ou de
commercialisation d'espaces publicitaires sur le territoire de l'Union pourront
ainsi être soumises à l'intégralité des
dispositions du Règlement dès lors que
les traitements de données personnelles
mis en œuvre par la société étrangère
sont indissociablement liés aux activités
de l'établissement(2).



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415

Couverture
Editorial & Sommaire
MAGAZINE
DONNÉES PERSONNELLES : UN ENJEU MAJEUR POUR MICROSOFT Par Sylvie ROZENFELD
L’ANNULATION DE BREVETS AMÉRICAINS À DEUX VITESSES Par William B. BIERCE
INTERVIEW DPO : UN MÉTIER D’AVENIR PAUL-OLIVIER GUIBERT Par Sylvie ROZENFELD
DOCTRINE
DONNÉES PERSONNELLES : CE QUI VA CHANGER CONCRÈTEMENT POUR LES ENTREPRISES
SIGNATURE ÉLECTRONIQUE : LA VALEUR JURIDIQUE NE DÉPEND PAS DE LA TECHNIQUE
COWORKING : UNE NOUVELLE APPROCHE DE LA RELATION DE TRAVAIL
MOTEUR DE RECHERCHE : LA PRIMAUTÉ DE LA LIBERTÉ D’EXPRESSION RÉAFFIRMÉE
JURISPRUDENCE
MM. STÉPHANE ET PASCAL X. / LES ECHOS
MAQUINAY / MAPAYE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - DONNÉES PERSONNELLES : UN ENJEU MAJEUR POUR MICROSOFT Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 240
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 241
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 242
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 243
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 244
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 245
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - L’ANNULATION DE BREVETS AMÉRICAINS À DEUX VITESSES Par William B. BIERCE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 247
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - INTERVIEW DPO : UN MÉTIER D’AVENIR PAUL-OLIVIER GUIBERT Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 249
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 250
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 251
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 252
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - DONNÉES PERSONNELLES : CE QUI VA CHANGER CONCRÈTEMENT POUR LES ENTREPRISES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 254
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 255
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 256
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 257
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 258
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 259
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 260
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 261
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - SIGNATURE ÉLECTRONIQUE : LA VALEUR JURIDIQUE NE DÉPEND PAS DE LA TECHNIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 263
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - COWORKING : UNE NOUVELLE APPROCHE DE LA RELATION DE TRAVAIL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 265
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 266
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - MOTEUR DE RECHERCHE : LA PRIMAUTÉ DE LA LIBERTÉ D’EXPRESSION RÉAFFIRMÉE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 268
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - MM. STÉPHANE ET PASCAL X. / LES ECHOS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 270
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - MAQUINAY / MAPAYE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 272
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com