Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 256

dès la conception de projet. Ce rôle
devrait être assuré par le Délégué à la
protection des données dans les entreprises soumises à l'obligation de s'en
doter. Cependant, ces principes s'appliquent de manière globale à l'ensemble
des entreprises qui traitent des données
personnelles. Les autres entreprises
devront vraisemblablement se doter de
compétences internes ou faire appel à
des prestataires externes spécialisés
qui assureront la fonction de « conformité Privacy » afin de démontrer qu'elles
respectent les principes et la philosophie
issus du Règlement.
Le délégué à la protection des données
ou toute autre personne ou comité désignés pour garantir le respect des dispositions du Règlement devront être consultés
dès l'origine d'un projet et à chaque étape
de développement impliquant l'utilisation
de données. Si elles ne disposent pas
des compétences nécessaires en interne,
les entreprises devront faire monter en
compétence certains de leurs employés
ou faire appel à des prestataires externes.
De plus, la personne ou le comité chargés
de s'assurer du respect des principes de
protection des données devront être dotés
de pouvoirs de contrôle suffisants et d'un
droit de véto afin d'être en mesure de
s'opposer à la mise en œuvre de projets
qui ne respecteraient pas les règles de
protection des données.
En pratique, les entreprises qui traitent
des données à caractère personnel
devront instaurer une nouvelle fonction au sein de leur organigramme dont
le rôle sera de garantir le respect des
règles de protection des données et dont
les pouvoirs seront appropriés afin de
démontrer que l'entreprise respecte les
principes et la philosophie découlant du
Règlement.
Cette nouvelle fonction de « chargé
de la protection des données personnelles » pourrait devenir comparable
aux comités chargés de la conformité
mis en place au sein des établissements
bancaires. Au moment de la conception
de produits ou services impliquant le traitement de données à caractère personnel, les entreprises devront s'assurer
notamment que :
■ Les données d'une personne pourront être facilement rassemblées lorsque
celle-ci souhaitera exercer son droit
d'accès ;
■ Le traitement permet la suppression des données d'une personne qui

256

s'oppose à faire l'objet de prospection
commerciale ou qui retire son consentement au traitement de ses données
(lorsque le traitement était fondé sur le
consentement) ;
■ Le responsable du traitement peut se
conformer à ses obligations en matière
de portabilité des données.
■
Le Règlement précise qu'afin de se conformer à ses obligations, le responsable du
traitement pourra notamment envisager de mettre en place des mesures de
pseudonymisation ou de minimisation4
de la collecte de données. Ces mesures
semblent être données à titre d'exemple
uniquement. Cependant, la pseudonymisation des données est largement recommandée par le Règlement.

Obligation de tenir un
registre des traitements
Les entreprises employant plus de 250
personnes devront tenir un registre
recensant l'ensemble des traitements
qu'elles mettent en œuvre. Cette obligation concerne aussi bien les responsables
de traitement que les sous-traitants. Ce
registre devra contenir des informations
complètes sur les traitements, leurs finalités, les catégories de personnes concernées et de données traitées, les catégories de destinataires, le cas échéant, les
transferts vers des pays tiers ainsi que
les délais prévus pour l'effacement des
données dans la mesure du possible.
Ces informations sont similaires à celles
qui doivent figurer dans le registre des
traitements tenu par le Correspondant
Informatique et Libertés. Cependant, le
registre des traitements devra également
contenir une description des mesures
techniques et organisationnelles mises
en place pour assurer la sécurité de ce
traitement, dans la mesure du possible.
Les sous-traitants doivent quant à eux
consigner les coordonnées de chaque
responsable de traitement pour lesquels
ils agissent ainsi que les catégories de
traitement correspondant à chaque
responsable.
Le Règlement ne contient pas de précisions quant à la personne qui sera chargée, en interne, de tenir ce registre à jour.
Le Délégué à la protection des données
personnelles devrait vraisemblablement
être chargé de tenir ce registre bien que
cette tâche ne figure pas dans la liste
de ses missions figurant à l'article 39 du
Règlement.

EXPERTISES JUILLET/AOÛT 2016

Les entreprises ne disposant pas d'un
Délégué à la protection des données
personnelles devront désigner une
personne ou un service chargé de tenir
ce registre. Les personnes désignées pour
assurer la conformité privacy de l'entreprise pourraient être les plus à même
d'exercer cette mission.
Tout manquement à l'obligation de tenir
un registre des traitements pourra faire
l'objet d'une sanction administrative
prononcée par la Cnil dont le montant
pourra s'élever jusqu'à 10 000 000 d'euros
ou 2% du chiffre d'affaires annuel mondial
de l'entreprise.

Obligation de réaliser une
analyse d'impact
L'obligation pour les responsables de
traitement de réaliser une analyse
d'impact n'est imposée que pour les
traitements susceptibles de présenter
des risques élevés pour la vie privée
des personnes notamment en raison du
recours à de nouvelles technologies.
Le Règlement liste les traitements présumés présenter un risque élevé. Il s'agit
notamment des traitements permettant le profilage des personnes et sur
la base desquels sont prises des décisions produisant des effets juridiques
à l'égard des personnes physiques,
des traitements à grande échelle de
données sensibles ou de données d'infractions ou de condamnation, ainsi
que les dispositifs de vidéosurveillance
d'espaces publics.
Les autorités nationales ont la possibilité d'établir une liste des opérations de
traitements qui devront faire l'objet d'une
analyse d'impact préalablement à leur
mise en œuvre. Cette disposition pourrait
entraîner des interprétations différentes
selon les Etats membres. Certaines
opérations pourraient être exemptées
de l'obligation de mener une étude d'impact dans certains Etats et soumises
à cette obligation dans d'autres. Afin
d'éviter ce risque, le Règlement prévoit
la mise en place d'un « mécanisme
de cohérence » imposant aux autorités nationales de soumettre certaines
de leurs décisions, et notamment l'inscription d'opérations de traitements
sur la liste des opérations soumises
à analyse d'impact, au Comité européen de la protection des données.
L'analyse d'impact devra notamment
contenir une description systématique



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415

Couverture
Editorial & Sommaire
MAGAZINE
DONNÉES PERSONNELLES : UN ENJEU MAJEUR POUR MICROSOFT Par Sylvie ROZENFELD
L’ANNULATION DE BREVETS AMÉRICAINS À DEUX VITESSES Par William B. BIERCE
INTERVIEW DPO : UN MÉTIER D’AVENIR PAUL-OLIVIER GUIBERT Par Sylvie ROZENFELD
DOCTRINE
DONNÉES PERSONNELLES : CE QUI VA CHANGER CONCRÈTEMENT POUR LES ENTREPRISES
SIGNATURE ÉLECTRONIQUE : LA VALEUR JURIDIQUE NE DÉPEND PAS DE LA TECHNIQUE
COWORKING : UNE NOUVELLE APPROCHE DE LA RELATION DE TRAVAIL
MOTEUR DE RECHERCHE : LA PRIMAUTÉ DE LA LIBERTÉ D’EXPRESSION RÉAFFIRMÉE
JURISPRUDENCE
MM. STÉPHANE ET PASCAL X. / LES ECHOS
MAQUINAY / MAPAYE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - DONNÉES PERSONNELLES : UN ENJEU MAJEUR POUR MICROSOFT Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 240
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 241
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 242
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 243
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 244
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 245
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - L’ANNULATION DE BREVETS AMÉRICAINS À DEUX VITESSES Par William B. BIERCE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 247
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - INTERVIEW DPO : UN MÉTIER D’AVENIR PAUL-OLIVIER GUIBERT Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 249
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 250
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 251
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 252
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - DONNÉES PERSONNELLES : CE QUI VA CHANGER CONCRÈTEMENT POUR LES ENTREPRISES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 254
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 255
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 256
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 257
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 258
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 259
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 260
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 261
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - SIGNATURE ÉLECTRONIQUE : LA VALEUR JURIDIQUE NE DÉPEND PAS DE LA TECHNIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 263
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - COWORKING : UNE NOUVELLE APPROCHE DE LA RELATION DE TRAVAIL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 265
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 266
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - MOTEUR DE RECHERCHE : LA PRIMAUTÉ DE LA LIBERTÉ D’EXPRESSION RÉAFFIRMÉE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 268
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - MM. STÉPHANE ET PASCAL X. / LES ECHOS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 270
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - MAQUINAY / MAPAYE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 272
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com