Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 348
l'ensemble des actions opérées sur les
données personnelles (collecte, modification, suppression).
La solution contribue également à la
sécurisation des données dont elle
assure le traitement. Elle devra donc
répondre aux exigences définies dans la
politique de sécurité des systèmes d'information du responsable de traitement
ou du sous-traitant et ne pas comporter
de faiblesses susceptibles d'abaisser ce
niveau général de sécurité. En outre, les
tests applicatifs, les opérations de maintenance ou d'installation devront être
réalisés dans des environnements sécurisés et dans la mesure du possible sur
la base de données factices ou anonymisées de manière irréversible.
LES PRINCIPES DE PRIVACY
BY DESIGN AND BY DEFAULT
Jan Albrecht, rapporteur au Parlement
européen, avait proposé un amendement visant à introduire à l'article 5 relatif
aux principes applicables en matière de
traitement de données, un nouvel alinéa
précisant que les « éditeurs, les responsables du traitement des données et les
sous-traitants prennent les mesures techniques et opérationnelles nécessaires
pour garantir le respect desdits principes lors de la conception, de la mise en
place et de l'exploitation des systèmes
de traitement automatisé des données
ou des fichiers de données » (amendement 98). Le rapporteur insistait sur le fait
que les éditeurs de systèmes de traitement automatisé des données devraient
tenir compte des principes de protection
des données dès la conception (principe du Privacy by design) même s'ils
ne procèdent pas eux-mêmes au traitement de données. Cette rédaction n'a
cependant pas été retenue, le législateur
préférant se limiter, comme nous l'avons
vu précédemment, à l'introduction au
considérant 78 d'une disposition visant
à inciter les producteurs d'application à
intégrer ces principes.
L'impact du Privacy by design sur les
éditeurs n'est toutefois pas à négliger au
vue de l'importance de ce principe dans
le cadre du GDPR. Le logiciel devra être
conçu en intégrant au plus tôt les mesures
permettant de respecter les principes de
protection des données. L'application du
principe de minimisation des données
qui prévoit que les données collectées
doivent être strictement nécessaires à
la finalité poursuivie par le responsable
348
de traitement en est l'un des exemples.
Même si c'est au responsable de traitement de définir les données pertinentes
qui doivent être collectées pour une finalité donnée, l'existence d'un champ visant
à recueillir une information dans une
application peut inciter des opérateurs
à collecter cette information alors même
qu'elle ne serait pas pertinente au vue
de la finalité du traitement. En outre, lorsqu'un responsable de traitement achète
un progiciel, il ne procédera pas nécessairement à des développements qui
peuvent s'avérer couteux pour supprimer
un champ ou le masquer, l'objectif de ce
type d'acquisition étant de disposer d'un
outil prêt à l'emploi. Or, l'existence même
d'un tel champ peut remettre en cause la
conformité du traitement. L'éditeur contribuera donc à l'application de ce principe
en ne proposant (en standard) qu'une
liste de champs considérés comme pertinents par rapport à la finalité projetée de
l'application. Ainsi, si le traitement vise à
gérer un programme de fidélité, l'éditeur
ne proposera pas de champs prévoyant
la collecte du numéro de sécurité sociale
ou d'un numéro de carte bancaire. De la
même manière, opter pour des champs
de saisis contraignants (en termes de
format) permet de réduire le risque de
collecte de données excessives et/ou
inappropriées dans des zones de textes
libres. La mise en place de moteur de
détection automatique de mots qualifiés
d'interdits peut également contribuer à
réduire ce risque. Le travail de définition
des champs pertinents devra évidemment être affiné en collaboration avec le
responsable de traitement.
Il conviendra, en outre, de mettre en
place, par défaut, les principes les
plus protecteurs pour la vie privée des
personnes concernés, par exemple en
empêchant l'envoi de courriels de prospection commerciale tant que le consentement de la personne concernée n'a pas
été enregistré ou dans le cadre d'une
application mobile comportant une fonctionnalité de push d'offres commerciales
en fonction de la localisation géographique de la personne, en désactivant
par défaut la fonction de géolocalisation.
L'EFFECTIVITÉ DES
DROITS DES PERSONNES
Le GDPR renforce les droits des
personnes dont les données font l'objet d'un traitement. En plus d'un droit
d'accès, de rectification et d'opposition,
EXPERTISES OCTOBRE 2016
les personnes concernées disposeront
désormais d'un droit à la portabilité des
données, à la limitation du traitement
et d'un droit à l'effacement des données
(dit « droit à l'oubli »). L'information
est également renforcée notamment
en cas de collecte auprès d'un autre
responsable de traitement (dite collecte
indirecte).
Le droit à la portabilité permet aux
personnes de demander à un responsable de traitement la communication
des données personnelles « qu'elles [lui]
ont fournies» dans « un format structuré, couramment utilisé et lisible par la
machine » (article 20). Elles peuvent les
recevoir directement ou demander à
ce qu'elles soient transmises à un autre
responsable de traitement. Même si le
périmètre des données concernées n'est
pas encore très clair et pourrait donner
lieu à des approches sectorielles, il
apparaît que les outils utilisés pour traiter ces données devront offrir des possibilités d'extraction afin de les mettre
à disposition du client dans un format
courant. Une telle opération peut s'avérer complexe notamment lorsque les
données sont éparpillées entre plusieurs
bases.
Le règlement prévoit également un droit
à la limitation du traitement. La personne
peut demander, dans certaines circonstances notamment lorsqu'elle conteste
l'exactitude des données la concernant
ou a exercé son droit d'opposition, que le
traitement de ses données soit restreint.
Cette restriction peut être temporaire (le
temps par exemple pour le responsable
de traitement de vérifier l'exactitude
des informations) ou définitive. Selon le
considérant 67, elle peut être réalisée via
un déplacement temporaire des données
vers un autre système de traitement, un
verrouillage des données les rendant
inaccessibles, etc. L'éditeur devra donc
prendre en compte cette contrainte en
prévoyant des mécanismes de traitements distincts pour les données des
personnes exerçant ce droit.
L'introduction d'un droit à l'oubli en vertu
duquel les personnes peuvent solliciter
la suppression de leurs données rejoint
les considérations précédentes relatives
à l'application de durées de conservation. Une contrainte supplémentaire
vient toutefois s'ajouter en cas d'exercice
de ce droit. Le responsable de traitement devra en effet en informer les tiers.
L'application devra donc être en mesure
de générer des flux à destination des
�
Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417
Couverture
Editorial & Sommaire
MAGAZINE RÉSEAUX SOCIAUX : ENTRE MODÉRATION ET CENSURE
INTERVIEW PRÉVENIR LES DÉRIVES DES PROJETS INFORMATIQUES
DOCTRINE
CYBERCRIMINALITÉ : RÉSEAUX ET «BOTS» SOCIAUX, DU MEILLEUR ATTENDU AU PIRE À CRAINDRE
SECRET D’AFFAIRES : TOUT EST QUESTION DE MESURE !
CYBERSÉCURITÉ : LA DIRECTIVE SRI, VERS UN CADRE HARMONISÉ ?
DONNÉES PERSONNELLES : L’IMPACT DU GDPR SUR LES ÉDITEURS DE LOGICIEL
DROIT SOCIAL : LE SMS DANS LE CONTENTIEUX PRUD’HOMAL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - MAGAZINE RÉSEAUX SOCIAUX : ENTRE MODÉRATION ET CENSURE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 316
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 317
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 318
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 319
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 320
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 321
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 322
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 323
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 324
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 325
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - INTERVIEW PRÉVENIR LES DÉRIVES DES PROJETS INFORMATIQUES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 327
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 328
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 329
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - CYBERCRIMINALITÉ : RÉSEAUX ET «BOTS» SOCIAUX, DU MEILLEUR ATTENDU AU PIRE À CRAINDRE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 331
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 332
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 333
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 334
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 335
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - SECRET D’AFFAIRES : TOUT EST QUESTION DE MESURE !
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 337
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 338
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 339
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 340
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 341
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 342
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 343
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 344
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - CYBERSÉCURITÉ : LA DIRECTIVE SRI, VERS UN CADRE HARMONISÉ ?
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 346
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - DONNÉES PERSONNELLES : L’IMPACT DU GDPR SUR LES ÉDITEURS DE LOGICIEL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 348
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 349
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - DROIT SOCIAL : LE SMS DANS LE CONTENTIEUX PRUD’HOMAL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 351
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 352
https://www.nxtbook.fr/newpress/celog/celog-expertises-2210_483
https://www.nxtbook.fr/newpress/celog/celog-expertises-2209_482
https://www.nxtbook.fr/newpress/celog/celog-expertises-2207_481
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com