Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 258

QUELLES VONT ÊTRE
LES OBLIGATIONS ET
RESPONSABILITÉS IMPOSÉES
AUX SOUS-TRAITANTS ?
Sont qualifiées de sous-traitants les
personnes physiques ou morales qui
traitent des données à caractère personnel pour le compte d'un responsable
de traitement. En pratique, les prestataires de services d'hébergement, les
fournisseurs d'application ou de solution en mode SaaS ou PaaS ainsi que
de nombreux prestataires de services
agissent en tant que sous-traitants.
Sous l'empire de la Directive 95/46, les
sous-traitants échappaient à la réglementation sur la protection des données
personnelles. Seuls les responsables
de traitements étaient soumis aux
obligations découlant de la Directive.
A ce titre, les responsables de traitement qui choisissent de faire appel à des
sous-traitants pour effectuer le traitement
pour leur compte ne doivent faire appel
qu'à des sous-traitants présentant « des
garanties suffisantes au regard des
mesures de sécurité technique et d'organisation relatives aux traitements à
effectuer ».
Le responsable de traitement est tenu de
veiller à ce que le sous-traitant respecte
ces mesures. Le responsable de traitement est seul responsable à l'égard
des personnes en cas de violation de la
règlementation. Avec l'entrée en application du Règlement, les sous-traitants ne
pourront plus échapper aux obligations
en matière de protection des données.
Les prestataires de services devront
nécessairement modifier leur politique
en matière de protection des données et
leur pratique contractuelle.

Nécessaire mise en place d'une
politique interne de protection
des données
Le Règlement ne se limite pas à imposer que le sous-traitant présente des
garanties en matière de sécurité.
L'article 28 qui organise le recours à la
sous-traitance impose au responsable
de traitement de ne faire appel qu'à des
sous-traitants ayant mis en place des
mesures techniques et organisationnelles appropriées de manière à ce que
le traitement réponde aux exigences du
Règlement. Il résulte de cette disposition
que non seulement les sous-traitants
devront mettre en place des mesures

258

ne se limitant plus à la seule sécurité des
données et fournir aux responsables de
traitement des document de nature à
justifier du respect de leurs obligations
au titre du Règlement mais également
que les responsables de traitement
clients seront tenus de tester les solutions mises en œuvre afin de vérifier
leur conformité au Règlement et le cas
échéant, à leur propre politique interne
en matière de protection des données.
En pratique, les responsables de traitement pourraient légitimement exiger
des sous-traitants de pouvoir accéder
aux services fournis afin de vérifier la
robustesse des mesures mises en place.

Des obligations renforcées à
l'égard des responsables de
traitement
Par ailleurs, le sous-traitant ne pourra
plus se contenter de fournir des services
sans connaître les traitements auxquels
il prend part. Il sera, d'une part, tenu
d'une obligation de conseil à l'égard du
responsable de traitement (article 28 e) et
sera également tenu d'assister le responsable de traitement à mettre en œuvre
ses obligations notamment lors de
la réalisation d'études d'impact. Les
sous-traitants, à l'instar des responsables
de traitement, devront mettre en œuvre
des mesures techniques et organisationnelles de nature à assurer un niveau de
sécurité approprié aux risques inhérent
au traitement de données.
Ces mesures peuvent inclure la pseudonymisation des données ou leur chiffrement, des mesures permettant d'assurer la confidentialité des données,
ainsi que des mesures permettant
d'assurer la récupération et la restauration du système et des données en cas
d'incident. L'ensemble de ces mesures
doit tenir compte des caractéristiques
particulières de chaque traitement et
des risques attachés. Cette nécessité
pourra impliquer que les sous-traitants
mettent en place des mesures adaptées
à chaque client ou groupe de clients en
fonction des catégories de traitements
qu'ils effectuent. Ces nouvelles obligations imposées aux sous-traitants pourraient entraîner une hausse importante
des coûts de ces services.

Responsabilités à l'égard des
personnes
Les personnes concernées pourront faire
valoir leurs droits en justice à l'encontre

EXPERTISES JUILLET/AOÛT 2016

des sous-traitants si elles ont subi
un dommage en raison d'une violation du
Règlement par un sous-traitant (article 79).
Parallèlement, le sous-traitant sera tenu
d'informer le responsable du traitement
s'il considère que l'une de ses instructions
constitue une violation du Règlement.

QUELS SERONT LES
IMPACTS DU RÈGLEMENT
SUR LES RELATIONS
CONTRACTUELLES
DES ENTREPRISES ?
La mise en conformité des pratiques aux
dispositions du Règlement va nécessiter
que les contrats sur lesquels reposent
des traitements de données personnelles soient modifiés. L'ensemble des
dispositions du Règlement étant obligatoires dès le 25 mai 2018 et le Règlement
ne comprenant aucune disposition
transitoire, les clauses relatives aux
données personnelles contenues dans
les contrats conclus antérieurement à
cette date devront vraisemblablement
être amendées.

Relations contractuelles
responsables de traitement /
sous-traitants
Du fait de la quasi irresponsabilité dont
bénéficient les sous-traitants sous l'empire
de la Directive, la plupart des contrats de
prestations de services impliquant le traitement de données par un sous-traitant
ne prévoit pas ou très peu d'obligations
à la charge des sous-traitants à l'exception des obligations de sécurité et de
confidentialité des données. L'article 17
de la Directive imposait que les relations
entre le responsable de traitement et le
sous-traitants soient régies pas un contrat
ou tout acte juridique qui lie les parties.
Ce contrat doit notamment prévoir que
le sous-traitant n'agit que sur instructions
du responsable de traitement ainsi que le
fait que le sous-traitant met en place des
mesures de sécurité suffisantes.
L'article 35 de la loi Informatique et
libertés ne contient pas plus de précisions que la Directive à cet égard.
En application de ces dispositions, la
plupart des contrats de prestations de
services liant des entreprises confiant
le traitement de données personnelles à
des sous-traitants prévoient uniquement
que les sous-traitants sont tenus d'obligations de sécurité.



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415

Couverture
Editorial & Sommaire
MAGAZINE
DONNÉES PERSONNELLES : UN ENJEU MAJEUR POUR MICROSOFT Par Sylvie ROZENFELD
L’ANNULATION DE BREVETS AMÉRICAINS À DEUX VITESSES Par William B. BIERCE
INTERVIEW DPO : UN MÉTIER D’AVENIR PAUL-OLIVIER GUIBERT Par Sylvie ROZENFELD
DOCTRINE
DONNÉES PERSONNELLES : CE QUI VA CHANGER CONCRÈTEMENT POUR LES ENTREPRISES
SIGNATURE ÉLECTRONIQUE : LA VALEUR JURIDIQUE NE DÉPEND PAS DE LA TECHNIQUE
COWORKING : UNE NOUVELLE APPROCHE DE LA RELATION DE TRAVAIL
MOTEUR DE RECHERCHE : LA PRIMAUTÉ DE LA LIBERTÉ D’EXPRESSION RÉAFFIRMÉE
JURISPRUDENCE
MM. STÉPHANE ET PASCAL X. / LES ECHOS
MAQUINAY / MAPAYE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - DONNÉES PERSONNELLES : UN ENJEU MAJEUR POUR MICROSOFT Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 240
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 241
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 242
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 243
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 244
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 245
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - L’ANNULATION DE BREVETS AMÉRICAINS À DEUX VITESSES Par William B. BIERCE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 247
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - INTERVIEW DPO : UN MÉTIER D’AVENIR PAUL-OLIVIER GUIBERT Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 249
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 250
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 251
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 252
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - DONNÉES PERSONNELLES : CE QUI VA CHANGER CONCRÈTEMENT POUR LES ENTREPRISES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 254
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 255
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 256
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 257
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 258
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 259
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 260
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 261
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - SIGNATURE ÉLECTRONIQUE : LA VALEUR JURIDIQUE NE DÉPEND PAS DE LA TECHNIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 263
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - COWORKING : UNE NOUVELLE APPROCHE DE LA RELATION DE TRAVAIL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 265
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 266
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - MOTEUR DE RECHERCHE : LA PRIMAUTÉ DE LA LIBERTÉ D’EXPRESSION RÉAFFIRMÉE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 268
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - MM. STÉPHANE ET PASCAL X. / LES ECHOS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 270
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - MAQUINAY / MAPAYE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 272
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com