Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 255

QUEL IMPACT SUR
L'ORGANISATION
ET L'ACTIVITÉ DES
ENTREPRISES ?
L'impact du Règlement sur l'organisation
des entreprises variera en fonction des
catégories de traitements mis en œuvre.
L'organisation des entreprises mettant
en œuvre des opérations de profilage
ou collectant de grandes quantités
de données personnelles devrait être
impactée de manière importante.

La suppression des formalités
préalables à la mise en œuvre
de traitements de données
personnelles constitue-t-elle
réellement un allègement des
obligations des entreprises ?
Le Règlement supprime la possibilité pour les Etats membres d'imposer
aux responsables de traitements d'accomplir des formalités préalables. Les
formalités administratives préalables
à la mise en œuvre des traitements
seront donc allégées. Cela ne signifie
cependant pas que la mise en œuvre
de traitements de données personnelles soient simplifiée, au contraire.
Les formalités préalables auprès des
autorités nationales ont été supprimées
afin de diminuer les coûts et la charge
de travail administratif qui en découlaient. Plutôt que de mettre en place un
contrôle a priori des modalités de mise
en œuvre des traitements qui implique
une charge de travail plus importante pour les autorités, le Règlement a
instauré un principe de responsabilité
qui permet un contrôle a posteriori du
respect des termes du Règlement.
L'article 5 du Règlement liste les
grands principes qui doivent être
respectés pour tout traitement de
données à caractère personnel. Ces
principes sont similaires aux principes
en vigueur actuellement. Il s'agit des
principes de licéité, loyauté et transparence, de limitation des finalités pour
lesquelles les données sont collectées,
de minimisation des données, d'exactitude des données, de limitation de la
durée de conservation des données et
de préservation de l'intégrité et de la
confidentialité des données.
Le Responsable du traitement est
responsable du respect de ces principes. Mais désormais, il devra être
à même de démontrer à tout moment

que le traitement qu'il met en œuvre
est conforme à ces principes.
Il s'agit du principe de responsabilité
(« accountability »). Ce principe est fixé
à l'article 24 du Règlement. Il convient
cependant de se reporter aux versions
précédentes pour mesurer la teneur
des obligations qui pèsent sur les
responsables de traitement. Cet article
impose à ces derniers de « mettre en
œuvre des mesures techniques et
organisationnelles appropriées [et
proportionnées notamment au regard
des caractéristiques des données
traitées et de la finalité du traitement]
pour s'assurer et être en mesure de
démontrer que le traitement est effectué conformément aux dispositions du
Règlement ».
Le second paragraphe précise que
ces mesures peuvent comporter la
mise en œuvre de politiques appropriées en matière de protection des
données. La nouveauté introduite par
cet article repose sur l'obligation des
responsables de traitements d'être en
mesure de démontrer qu'ils ont mis
en place des mesures appropriées
afin de respecter les dispositions du
Règlement. Les contours de cette obligation étaient présentés de manière
plus détaillée dans la première proposition de Règlement3 dont l'article 22
précisait que les « mesures appropriées » portaient notamment sur :
■ la tenue d'un registre des traitements
mis en œuvre par les responsables de
traitements et les sous-traitants ;
■ la mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de
sécurité adapté aux risques potentiels
liés aux traitements en cause ;
■ la réalisation d'une analyse d'impact relative à la protection des données
(voir ci-après) ;
■ le respect des obligations en matière
d'autorisation ou de consultation préalables de l'autorité de contrôle lorsque
l'analyse d'impact révèle que le traitement pourrait présenter un risque pour
la vie privée ;
■ la désignation d'un délégué à la
protection des données, le cas échéant.
Bien que cette liste n'ait pas été
reprise dans la dernière version du
Règlement, il conviendra de s'y référer
afin de s'assurer que l'entreprise est
en mesure de prouver qu'elle respecte
les termes du Règlement.

EXPERTISES JUILLET/AOÛT 2016

En quoi consiste concrètement
les nouvelles obligations qui
pèsent sur les entreprises ?
L'un des objectifs du Règlement est
d'inculquer une culture « Privacy » aux
entreprises afin d'assurer la protection
des données personnelles dans toutes
les activités des entreprises et à
chaque étape de leur développement.
Pour ce faire, le Règlement impose
aux entreprises des obligations de
documenter toutes les utilisations
qu'elles font des données personnelles.

Privacy by design - Privacy
by default
L'article 25 du Règlement instaure deux
nouveaux grands principes de protection
de données personnelles. Les responsables de traitement doivent prendre en
compte les impératifs de protection des
données personnelles qu'ils traitent dès
la conception du traitement (principe
dit de privacy by design) et adopter des
paramétrages par défaut de leur système
permettant de garantir que les modalités
de mise en œuvre des traitements sont
conformes au Règlement (principe dit de
privacy by default).
Ces mesures doivent être adoptées tout
en tenant compte de l'état de l'art et des
technologies ainsi que des coûts de mise
en œuvre mais également la nature, le
contexte, les finalités et les risques et leur
gravité potentielle pour la vie privée des
personnes.
La mise en œuvre de ces principes et les
mesures adoptées devront être documentées afin que le responsable de traitement
soit en mesure d'apporter la preuve du
respect de ses obligations sur demande
des autorités de contrôle. En pratique, le
responsable du traitement devra démontrer qu'il agit en conformité avec ces
principes. A cette fin, il devra disposer de
documents permettant de démontrer que
dès l'origine de la conception du produit,
il a choisi la solution la plus protectrice des
données personnelles et la moins disant
au regard de la quantité de données
collectée et traitée.
En termes organisationnels, le respect
de ces principes implique que les entreprises disposent d'une équipe ou, à tout
le moins, d'une personne parmi leurs
effectifs, disposant de compétences suffisantes en matière de règles et de techniques de protection des données personnelles, susceptibles d'imposer la prise
en compte de la protection des données

255



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415

Couverture
Editorial & Sommaire
MAGAZINE
DONNÉES PERSONNELLES : UN ENJEU MAJEUR POUR MICROSOFT Par Sylvie ROZENFELD
L’ANNULATION DE BREVETS AMÉRICAINS À DEUX VITESSES Par William B. BIERCE
INTERVIEW DPO : UN MÉTIER D’AVENIR PAUL-OLIVIER GUIBERT Par Sylvie ROZENFELD
DOCTRINE
DONNÉES PERSONNELLES : CE QUI VA CHANGER CONCRÈTEMENT POUR LES ENTREPRISES
SIGNATURE ÉLECTRONIQUE : LA VALEUR JURIDIQUE NE DÉPEND PAS DE LA TECHNIQUE
COWORKING : UNE NOUVELLE APPROCHE DE LA RELATION DE TRAVAIL
MOTEUR DE RECHERCHE : LA PRIMAUTÉ DE LA LIBERTÉ D’EXPRESSION RÉAFFIRMÉE
JURISPRUDENCE
MM. STÉPHANE ET PASCAL X. / LES ECHOS
MAQUINAY / MAPAYE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - DONNÉES PERSONNELLES : UN ENJEU MAJEUR POUR MICROSOFT Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 240
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 241
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 242
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 243
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 244
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 245
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - L’ANNULATION DE BREVETS AMÉRICAINS À DEUX VITESSES Par William B. BIERCE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 247
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - INTERVIEW DPO : UN MÉTIER D’AVENIR PAUL-OLIVIER GUIBERT Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 249
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 250
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 251
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 252
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - DONNÉES PERSONNELLES : CE QUI VA CHANGER CONCRÈTEMENT POUR LES ENTREPRISES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 254
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 255
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 256
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 257
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 258
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 259
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 260
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 261
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - SIGNATURE ÉLECTRONIQUE : LA VALEUR JURIDIQUE NE DÉPEND PAS DE LA TECHNIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 263
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - COWORKING : UNE NOUVELLE APPROCHE DE LA RELATION DE TRAVAIL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 265
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 266
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - MOTEUR DE RECHERCHE : LA PRIMAUTÉ DE LA LIBERTÉ D’EXPRESSION RÉAFFIRMÉE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 268
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - MM. STÉPHANE ET PASCAL X. / LES ECHOS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 270
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - MAQUINAY / MAPAYE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 272
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com