Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 349

différentes entités ayant reçu communication de ces informations afin de
leur permettre de prendre en compte la
demande de la personne. A noter que
cette obligation de notification existe
également en cas de rectification ou de
limitation du traitement (article 19). L'outil
devra donc être capable de produire
périodiquement des flux correspondants
à chaque situation.
Enfin, en cas de collecte indirecte de
données (par exemple auprès d'un
partenaire), le responsable de traitement devra être en mesure d'informer
les personnes concernées de « la source
d'où proviennent les données ». La
traçabilité de l'origine des données sera
donc particulièrement importance afin
de respecter cette obligation et celle que
nous avons évoquées précédemment.
Or, cette source peut s'avérer complexe
à tracer notamment en cas de collecte de
données de navigation.
En dernier lieu, il convient de se pencher
sur la question du consentement. Pour
qu'un traitement de données personnelles soit licite, celui-ci doit reposer sur
un fondement tel que défini à l'article 7
du règlement : il peut s'agir de l'exécution d'un contrat auquel la personne est
partie, de mesures précontractuelles,
du respect d'une obligation légale à
laquelle le responsable de traitement est
soumis, de la sauvegarde de la vie de
la personne concernée, etc. Le consentement peut également être l'un de ces
fondements. Ce fondement n'est pas
nouveau, mais le GDPR lui accorde une
place particulière. Il doit, en effet, s'agir
d'un acte positif par lequel la personne
concernée manifeste « de façon libre,
spécifique, éclairée et univoque son
accord au traitement ». Ce consentement ne peut donc plus être tacite ou
dilué dans l'acceptation de conditions
générales inhérentes à un contrat de
vente par exemple. En outre, lorsqu'un
traitement a plusieurs finalités et qu'elles
nécessitent toutes un recueil du consentement de la personne concernée, le
consentement devra être donné pour
chacune d'entre elles. La preuve de ce
consentement incombe au responsable
de traitement. Dès lors, le logiciel devra
tracer la collecte de ce ou ces consentements : la date de leur obtention, la
ou les finalités pour lesquelles il a été
recueilli, le support sur lequel le recueil
a été opéré (par exemple à l'aide d'une
gestion électronique de documents, s'il
s'agit d'un support papier), etc. Dans la

mesure où la personne concernée peut
le retirer à tout moment, il conviendra de
conserver une trace de ce retrait selon
les mêmes modalités.
L'éditeur devra donc collaborer avec son
client afin de mettre en place des dispositifs ad hoc, permettant à ce responsable
de traitement ou sous-traitant de respecter l'ensemble de ses obligations. A noter,
en outre, que dans l'hypothèse où le
fournisseur de l'application proposerait
de l'héberger et d'y accéder en mode
SaaS (Software as a service), il serait
non seulement éditeur mais également
sous-traitant au sens du GDPR et devra
assumer les responsabilités découlant
de cette qualification.
Même si l'éditeur au travers de l'application qu'il conçoit ou qu'il met à disposition de son client contribue de manière
évidente à la conformité du traitement
aux exigences du GDPR, il n'en demeure
pas moins que celle-ci ne saurait
dépendre exclusivement de l'application
elle-même. L'environnement technique
(serveurs, etc.) dans lequel elle est installée et les mesures organisationnelles
prises pour son utilisation (politique
d'authentification, etc.) seront également
des facteurs déterminants afin de garantir le respect de ces dispositions. Or, cet
environnement est bien souvent défini
et maîtrisé par le client, responsable de
traitement.
Cette dualité fait surgir une nouvelle
problématique relative au régime de
responsabilité de l'éditeur. En effet,
même si les éditeurs ne sont pas inclus
dans le périmètre d'application du
GDPR, une tendance pourrait consister
à mettre contractuellement à leur charge
certaines obligations en lien avec l'application du GDPR. Dès lors, en cas de
manquement, le client pourrait rompre
le contrat ou même envisager une action
en responsabilité à l'encontre de l'éditeur, notamment dans l'hypothèse où
cette non-conformité entrainerait une
sanction au titre du règlement.

plus difficile pour un client disposant
d'un service informatique dédié de faire
valoir son incompétence en la matière.
Par ailleurs, l'éditeur doit proposer un
logiciel conforme aux besoins du client,
exprimés dans les différents documents
contractuels et un bien présentant les
caractéristiques propres à satisfaire
l'usage auquel il est destiné.
Ainsi, un logiciel qui ne comporte pas de
dispositif de sauvegarde des données
est considéré comme non conforme et ce
même dans l'hypothèse où le prestataire
en informe le client4.
Au vu des considérations précédentes,
l'éditeur devra-t-il désormais proposer
un logiciel conforme au GDPR ? Devrat-il au titre de son obligation de conseil
alerter son client dans l'hypothèse où
ce dernier exprimerait des besoins non
conformes à cette réglementation ? Cette
obligation sera-t-elle modulée en fonction des compétences juridiques du
client ? Ainsi, un client disposant d'un
Data Protection Officer, tenu d'assurer
la conformité de l'organisme aux règles
du GDPR, pourra-t-il prétendre qu'il
ignorait que le logiciel ne lui permettait pas de mettre en œuvre un traitement conforme ? Qu'en sera-t-il si ce
traitement était soumis à analyse d'impact ? Questions qui à n'en pas douter
risquent d'être soulevées devant les
juridictions.

UNE NOUVELLE SOURCE
DE CONTENTIEUX ?

(2)

L'éditeur est déjà débiteur d'une obligation d'information qui peut prendre
la forme d'une obligation de renseignement et de conseil(3). Cette obligation est modulée par la jurisprudence
notamment au vue des compétences
techniques du client, sur qui pèse un
devoir de collaboration. Ainsi, il sera

EXPERTISES OCTOBRE 2016

Aurélie BANCK
Juriste
Data Protection Office BNP Paribas
Personal Finance
Notes
(1) Règlement n°2016-679 du Parlement européen et du Conseil du 27 avril 2016 relatif
à la protection des personnes physiques à
l'égard du traitement des données à caractère personnel et à la libre circulation de
ces données et abrogeant la directive 95/46/
CE (règlement général sur la protection des
données - GDPR).
Projet de rapport sur la proposition de
règlement du Parlement européen et du
Conseil relatif à la protection des personnes
physiques à l'égard du traitement des
données à caractère personnel et à la libre
circulation de ces données de Jan Philipp
Albrecht en date du 17.12.2012 : http://www.
europarl.europa.eu/meetdocs/2009_2014/
documents/libe/pr/922/922387/922387fr.pdf

(3) Cour d'appel de Paris, 16 octobre 2015, le
Saint Alexis/Apicius.com ».
(4)

Chambre commerciale de la Cour de
cassation 11 décembre 2007, numéro de
pourvoi 04-20.782

349


http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/922/922387/922387fr.pdf

Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417

Couverture
Editorial & Sommaire
MAGAZINE RÉSEAUX SOCIAUX : ENTRE MODÉRATION ET CENSURE
INTERVIEW PRÉVENIR LES DÉRIVES DES PROJETS INFORMATIQUES
DOCTRINE
CYBERCRIMINALITÉ : RÉSEAUX ET «BOTS» SOCIAUX, DU MEILLEUR ATTENDU AU PIRE À CRAINDRE
SECRET D’AFFAIRES : TOUT EST QUESTION DE MESURE !
CYBERSÉCURITÉ : LA DIRECTIVE SRI, VERS UN CADRE HARMONISÉ ?
DONNÉES PERSONNELLES : L’IMPACT DU GDPR SUR LES ÉDITEURS DE LOGICIEL
DROIT SOCIAL : LE SMS DANS LE CONTENTIEUX PRUD’HOMAL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - MAGAZINE RÉSEAUX SOCIAUX : ENTRE MODÉRATION ET CENSURE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 316
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 317
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 318
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 319
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 320
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 321
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 322
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 323
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 324
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 325
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - INTERVIEW PRÉVENIR LES DÉRIVES DES PROJETS INFORMATIQUES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 327
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 328
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 329
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - CYBERCRIMINALITÉ : RÉSEAUX ET «BOTS» SOCIAUX, DU MEILLEUR ATTENDU AU PIRE À CRAINDRE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 331
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 332
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 333
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 334
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 335
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - SECRET D’AFFAIRES : TOUT EST QUESTION DE MESURE !
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 337
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 338
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 339
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 340
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 341
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 342
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 343
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 344
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - CYBERSÉCURITÉ : LA DIRECTIVE SRI, VERS UN CADRE HARMONISÉ ?
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 346
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - DONNÉES PERSONNELLES : L’IMPACT DU GDPR SUR LES ÉDITEURS DE LOGICIEL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 348
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 349
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - DROIT SOCIAL : LE SMS DANS LE CONTENTIEUX PRUD’HOMAL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 351
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 352
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com