Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 98

doctrine
d'information, les délégations de pouvoirs se
justifient pleinement mais elles doivent, pour
être efficaces, respecter des conditions de
validité rigoureuses, notamment à l'égard
du salarié délégataire. Ainsi, ce dernier doit
être pourvu « de la compétence, de l'autorité et des moyens nécessaires » à l'exercice de la mission déléguée (Cass. Crim.,
11 mars 1993 n°91-80598). Cela signifie que
le salarié délégataire doit être réellement en
mesure d'exercer sa mission en termes de
formation, de pouvoir de commandement et
disposer des moyens matériels et financiers
nécessaires. Dès lors, on peut voir ici clairement se dessiner les lignes de défense d'un
responsable informatique.
Dans le cadre des divers dysfonctionnements des systèmes d'information que
l'employeur cherche à imputer aux responsables informatiques, les litiges se terminent
le plus souvent devant les juridictions
prud'homales, faute d'avoir une véritable
intention délictuelle pour retenir le cas
échéant une infraction pénale. Le conseil de
prud'hommes aura alors à juger du caractère réel et sérieux de la mesure de licenciement dirigée contre le salarié et résultant
par exemple :
■ d'une panne informatique ayant affecté la messagerie Outlook d'une entreprise, entraînant notamment la perte
préjudiciable de certains documents
et ce, en raison d'un système d'enregistrement circulaire inadapté auquel
le directeur informatique n'avait pas
apporté les corrections nécessaires
(CA Paris, 24 mai 2013, n°11/07716) ;
■ de nombreuses failles de sécurité d'un
système informatique révélées au
cours d'un audit et justifiant un licenciement du responsable informatique
pour insuffisance professionnelle (CA
Besançon, 17 avril 2012, n°11/01121) ;
■ du non-respect de la vie privée des
salariés et de violations de règles
internes par le responsable informatique d'une entreprise qui avait notamment un accès illimité aux messageries
des salariés, à leurs ordinateurs et
justifiant un licenciement pour faute
grave (CA Versailles, 4 février 2015,
n°12/02764),
■ du fait pour un responsable informatique de n'avoir pas loyalement tout
mis en œuvre pour donner toutes ses
chances au logiciel choisi par la direction mais d'avoir, au contraire, par
son attitude emportée et ouvertement

98

hostile à ce logiciel, contribué à ce que
sa mise en place se passe mal, préjudiciant ainsi à la réussite du projet (CA
Paris 11 octobre 2005 n° 05-3878, 18e ch.
D, Compin c/ Sté Blackmer).

DES OBLIGATIONS
RENFORCEES S'AGISSANT
DU TRAITEMENT DES
DONNEES A CARACTERE
PERSONNEL
Le règlement général sur la protection
des données est source de nombreuses
nouvelles obligations pour le responsable
informatique, interlocuteur privilégié au
sein de l'entreprise du responsable de traitement des données. Il sera par ailleurs
porteur d'une nouvelle culture d'entreprise,
notamment au travers des missions accordées au Data Protection Officer.

Les nouvelles obligations
imposées au responsable
de traitement et par voie de
conséquence au responsable
informatique
L'article 34 de la loi Informatique et libertés
n°78-17 du 6 janvier 1978 (ci-après la « Loi
IL ») impose à tout responsable de traitement de données à caractère personnel
de prendre « toutes précautions utiles, au
regard de la nature des données et des
risques présentés par le traitement, pour
préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées,
endommagées, ou que des tiers non autorisés y aient accès ».
Le règlement européen n°2016/679 du
27 avril 2016 relatif à la protection des
personnes physiques à l'égard du traitement des données à caractère personnel et
à la libre circulation des données (dit règlement général sur la protection des données,
ci-après le « Règlement »), applicable à
compter du 25 mai 2018, poursuit la même
finalité de sécurité des données personnelles
mais renforce considérablement les obligations pesant sur les entreprises à ce titre.
Alors que le régime en vigueur repose
essentiellement sur la notion de « formalités
préalables » auprès des autorités nationales
en charge des données personnelles, le
Règlement entend responsabiliser les entreprises en leur imposant notamment d'être
en capacité de démontrer leur conformité au
Règlement en documentant l'ensemble des
actions de l'entreprise (principe d'accountability - art. 24 du Règlement).

EXPERTISES MARS 2017

C'est dans ce cadre que tous les opérateurs
économiques devront adopter l'ensemble
des « mesures techniques et organisationnelles », désormais énumérées à l'article
32 du règlement, qui « pourraient consister,
entre autres, à réduire à un minimum le
traitement des données à caractère personnel, à pseudonymiser [ces données] dès que
possible, à garantir la transparence en ce
qui concerne les fonctions et le traitement
[de ces données], à permettre à la personne
concernée de contrôler le traitement des
données, à permettre au responsable de
traitement de mettre en place des dispositifs
de sécurité ou de les améliorer » (considérant 78).
Ils devront par ailleurs s'obliger à notifier
toutes violations de données personnelles à
la Cnil (art. 33 du règlement) « dans les meilleurs délais et, si possible, 72 heures au plus
tard après en avoir pris connaissance ». Si
une violation est susceptible d'engendrer
un « risque élevé pour les droits et libertés », le responsable de traitement devra
également communiquer la violation à la
personne concernée et ce, « dans les meilleurs délais » dans les conditions de l'article
34 du règlement. Cette nouvelle exigence
imposée par le règlement incitera probablement l'entreprise à prendre les mesures les
plus efficaces en amont afin d'éviter d'avoir
à notifier une faille.
Parmi les nouvelles obligations imposées
par le Règlement, les responsables de traitement devront également s'astreindre à
une obligation de protection et de sécurité
des données personnelles dès la « conception » et « par défaut » (principes de « Privacy
by design » et « Security by default » - art. 25
du Règlement). Cette exigence de sécurité
et de protection des données personnelles
dès la conception et par défaut implique
concrètement que le responsable informatique assure la sécurité des données dès
la conception d'un projet informatique et
que « par défaut, seules les données qui
sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées ».
Les responsables informatiques sont les
premiers concernés par ces obligations
de « Privacy by design » et de « Security
by default », mais la mise en œuvre de ces
nouvelles obligations, à la frontière d'obligations juridiques, informatiques et organisationnelles va nécessiter une coopération
étroite de tous les responsables de l'entreprise. De nombreuses questions pratiques
n'ont pas encore trouvé de réponse,
ces obligations demeurant, à ce jour,



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422

Couverture
Editorial & Sommaire
MAGAZINE CONTRAT - ACCÈS INDIRECT À SAP VIA DES APPS TIERCES : LES CLIENTS DOIVENT PAYER
INTERVIEW POUR UN DROIT EUROPÉEN DES ROBOTS
DOCTRINE
SÉCURITÉ - LES RESPONSABLES ET PRESTATAIRES INFORMATIQUES EN PREMIÈRE LIGNE
DONNÉES PERSONNELLES - LES RISQUES LIÉS AUX SMART CITIES
SÉCURITÉ - VULNÉRABILITÉ AUX CYBERATTAQUES DU GPS À USAGE CIVIL
SERVICE DE PAIEMENT - LA DIRECTIVE DSP2 : SÉCURITÉ DES DONNÉES ET PROTECTION DU CONSENTEMENT
DONNÉES PERSONNELLES - UN NOUVEAU CADRE POUR LES COOKIES
CONTRATS - LA CLAUSE LIMITATIVE D’INDEMNISATION DITE « DE RESPONSABILITÉ »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - MAGAZINE CONTRAT - ACCÈS INDIRECT À SAP VIA DES APPS TIERCES : LES CLIENTS DOIVENT PAYER
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 84
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 85
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 86
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 87
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 88
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 89
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 90
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - INTERVIEW POUR UN DROIT EUROPÉEN DES ROBOTS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 92
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 93
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 94
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 95
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SÉCURITÉ - LES RESPONSABLES ET PRESTATAIRES INFORMATIQUES EN PREMIÈRE LIGNE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 97
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 98
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 99
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 100
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 101
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 102
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - DONNÉES PERSONNELLES - LES RISQUES LIÉS AUX SMART CITIES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 104
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 105
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 106
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 107
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SÉCURITÉ - VULNÉRABILITÉ AUX CYBERATTAQUES DU GPS À USAGE CIVIL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 109
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 110
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 111
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 112
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SERVICE DE PAIEMENT - LA DIRECTIVE DSP2 : SÉCURITÉ DES DONNÉES ET PROTECTION DU CONSENTEMENT
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 114
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 115
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - DONNÉES PERSONNELLES - UN NOUVEAU CADRE POUR LES COOKIES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 117
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 118
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - CONTRATS - LA CLAUSE LIMITATIVE D’INDEMNISATION DITE « DE RESPONSABILITÉ »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 120
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com