Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 259

Or, l'article 28 du Règlement prévoit de
manière bien plus détaillée les obligations qui doivent être mises à la charge
des sous-traitants. Il impose notamment au sous-traitant d'aider le responsable du traitement à se conformer aux
obligations découlant du Règlement
(notamment dans le cadre de l'exercice
de leur droit de rectification, de limitation ou d'effacement par les personnes
concernées ou en cas de violation de
données) en adoptant des mesures
appropriées. Le respect de cette obligation pourrait imposer aux sous-traitants
d'adapter leurs services aux caractéristiques des traitements mis en œuvre par
chaque responsable de traitement.
Les contrats devront également prévoir
que les sous-traitants devront, sur
demande et au choix des responsables
de traitements, effacer ou retourner les
données personnelles traitées à l'issue
de la prestation de services. Les éventuelles copies de ces données devront
également être supprimées sous réserve
des dispositions du droit des Etats imposant des obligations de conservation.
Les autorités de contrôle pourront adopter des clauses types permettant de
régir les relations entre responsable de
traitement et sous-traitant.

Relations entre sous-traitant
principal et sous-traitant
secondaire
Autre
innovation
découlant
du
Règlement, la sous-traitance secondaire
est également encadrée. Pour rappel,
ni la Directive, ni la loi Informatique
et Libertés n'encadrent le recours à la
sous-traitance secondaire lorsque le
sous-traitant principal et le sous-traitant
secondaire sont tous deux situés sur le
territoire de l'Union européenne.
Les mesures nécessaires à l'encadrement de la sous-traitance secondaire
ne sont prévues que dans le cadre des
transferts de données hors de l'Union
européenne sous l'empire des clauses
contractuelles types de la Commission
européenne.
Le Règlement prévoit désormais que
le sous-traitant principal ne peut avoir
recours à un sous-traitant secondaire
sans le consentement du responsable
de traitement. Le sous-traitant principal
doit en outre s'assurer que le sous-traitant secondaire a mis en place les
mesures techniques et organisationnelles de nature à garantir la conformité

du traitement au Règlement. De nouveau,
les mesures prises par le sous-traitant
secondaire devront être appropriées au
regard des caractéristiques spécifiques
du traitement en cause et donc en fonction du client. Contractuellement, cette
disposition implique que les contrats
entre sous-traitants et responsables de
traitements et entre sous-traitant principal
et sous-traitant secondaire contiennent
exactement les mêmes obligations
s'agissant notamment des mesures
techniques et organisationnelles mises
en place et de la sécurité des données.
En tout état de cause, le sous-traitant principal reste pleinement responsable de tout
manquement aux règles de protection
des données commis par le sous-traitant
secondaire à l'égard du responsable du
traitement.

QUELLES SERONT LES
ACTIONS QUE LES
ENTREPRISES DEVRONT
PRENDRE À L'ÉGARD DES
PERSONNES DONT LES
DONNÉES SONT TRAITÉES ?
Le Règlement renforce et élargi de
manière importante les droits des
personnes. Les responsables de traitement devront vraisemblablement
revoir l'ensemble de leur documentation (privacy policy notamment)
ainsi que les modalités d'information et de recueil du consentement
des personnes dont ils traitent les
données mais également la conception technique des traitements afin de
prendre en compte l'élargissement et
l'introduction de nouveaux droits des
personnes sur leurs données.

Politique de protection des
données
De nombreux éléments d'informations
déjà imposés par la Directive sont
repris tout en étant élargis. L'information
donnée devra permettre d'identifier
l'éventuel délégué à la protection des
données, l'éventuel représentant du
responsable du traitement, le fondement juridique du traitement ainsi que
les finalités ou les intérêts légitimes sur
lesquels se fonde le responsable.
Le responsable de traitement doit
également informer préalablement les
personnes de son intention de transférer
des données vers un destinataire d'un
pays tiers ainsi que le niveau de protection et, le cas échéant, les mesures

EXPERTISES JUILLET/AOÛT 2016

prises pour encadrer ce transfert
(clauses types, BCR et désormais codes
de bonne conduite ou mécanisme de
certification) et les moyens permettant
d'en obtenir une copie.
Certains éléments d'information sont
ajoutés :
■ la période de conservation des
données ou les critères permettant de la
déterminer (X années après votre dernière
utilisation du service par exemple) ;
■ information sur les droits d'effacement, de limitation, de portabilité ;
■ le droit d'introduire une réclamation
auprès d'une autorité de contrôle ;
■ le caractère obligatoire de la
collecte de données et le cas échéant,
le fondement juridique du traitement
(règlementaire ou contractuel) et les
conséquences éventuelles liées à la
non-fourniture des données ;
■ l'existence d'une prise de décision
automatisée et de profilage et la
logique gouvernant ces traitements ;
■ information sur le droit d'opposition
dont dispose la personne au traitement
de ses données de manière « claire et
séparée de toute autre information ».
Lorsque le responsable de traitement
souhaite utiliser ultérieurement les
données collectées à d'autres fins,
il est tenu de fournir de nouveau les
informations visées ci-dessus aux
personnes concernées.

Prises en compte des droits
des personnes
Le Règlement maintient les droits des
personnes consacrés par la Directive
tout en élargissant leur portée avec
pour fil directeur l'objectif que les
personnes disposent d'une plus
grande maîtrise de leurs données.

Droit à l'oubli
Ce droit est désigné par les termes
Droit à l'effacement dans le Règlement.
Ce nouveau droit implique que les
personnes
concernées
puissent
demander à ce que leurs données soient
effacées lorsque, par exemple, elles ne
sont plus nécessaires aux finalités pour
lesquelles elles ont été collectées ou que
la personne retire son consentement au
traitement de ses données.
L'exercice de ce droit pourrait être
particulièrement difficile à mettre en
place pour les responsables de traitement qui auraient rendu publiques
les données. Ces derniers seront tenus

259



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415

Couverture
Editorial & Sommaire
MAGAZINE
DONNÉES PERSONNELLES : UN ENJEU MAJEUR POUR MICROSOFT Par Sylvie ROZENFELD
L’ANNULATION DE BREVETS AMÉRICAINS À DEUX VITESSES Par William B. BIERCE
INTERVIEW DPO : UN MÉTIER D’AVENIR PAUL-OLIVIER GUIBERT Par Sylvie ROZENFELD
DOCTRINE
DONNÉES PERSONNELLES : CE QUI VA CHANGER CONCRÈTEMENT POUR LES ENTREPRISES
SIGNATURE ÉLECTRONIQUE : LA VALEUR JURIDIQUE NE DÉPEND PAS DE LA TECHNIQUE
COWORKING : UNE NOUVELLE APPROCHE DE LA RELATION DE TRAVAIL
MOTEUR DE RECHERCHE : LA PRIMAUTÉ DE LA LIBERTÉ D’EXPRESSION RÉAFFIRMÉE
JURISPRUDENCE
MM. STÉPHANE ET PASCAL X. / LES ECHOS
MAQUINAY / MAPAYE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - DONNÉES PERSONNELLES : UN ENJEU MAJEUR POUR MICROSOFT Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 240
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 241
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 242
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 243
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 244
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 245
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - L’ANNULATION DE BREVETS AMÉRICAINS À DEUX VITESSES Par William B. BIERCE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 247
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - INTERVIEW DPO : UN MÉTIER D’AVENIR PAUL-OLIVIER GUIBERT Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 249
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 250
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 251
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 252
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - DONNÉES PERSONNELLES : CE QUI VA CHANGER CONCRÈTEMENT POUR LES ENTREPRISES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 254
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 255
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 256
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 257
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 258
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 259
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 260
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 261
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - SIGNATURE ÉLECTRONIQUE : LA VALEUR JURIDIQUE NE DÉPEND PAS DE LA TECHNIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 263
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - COWORKING : UNE NOUVELLE APPROCHE DE LA RELATION DE TRAVAIL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 265
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 266
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - MOTEUR DE RECHERCHE : LA PRIMAUTÉ DE LA LIBERTÉ D’EXPRESSION RÉAFFIRMÉE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 268
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - MM. STÉPHANE ET PASCAL X. / LES ECHOS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 270
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - MAQUINAY / MAPAYE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2016 - n°415 - 272
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com