Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 99

largement conceptuelles et ne faisant référence à aucune norme technique.
La cybersécurité doit donc désormais être
envisagée globalement à tous les niveaux
de l'entreprise et ce, d'autant plus, que les
sanctions envisagées par le Règlement
seront extrêmement lourdes : le quantum
des amendes administratives pourra aller
jusqu'à 20 millions d'euros ou 4 % du chiffre
d'affaires mondial. Une nouvelle philosophie de « compliance » et de responsabilité « accountability » doit être privilégiée et
envisagée dans la gouvernance de l'entreprise. A n'en pas douter, le responsable
informatique sera associé à la mise en place
de cette nouvelle culture d'entreprise.

Le Data Protecion Officer
Cette nouvelle culture d'entreprise devra
être portée par le Data Privacy Officer (DPO)
qui devra être obligatoirement désigné,
lorsque le traitement est effectué par une
autorité publique ou un organisme public,
dans les entreprises dont les « activités de
base » consistent à traiter des données à
caractère personnel de manière régulière
et à une grande échelle et dans celles dont
les « activités de base » consistent en un
traitement à grande échelle des données
dites « sensibles » visées à l'article 9 du
Règlement ou relatives à des condamnations (art. 37 du Règlement).
Les entreprises devront donc déterminer
si elles sont concernées par cette obligation, ce qui soulève déjà de nombreuses
questions d'interprétation du Règlement, à
l'instar de celles relatives au statut du DPO,
et ce malgré la publication par le G29 le
13 décembre 2016 des Guidelines on Data
Protection Officers qui éclaircissent certains
points.
Le DPO doit être en mesure d'exercer ses
fonctions et missions en toute indépendance, c'est-à-dire en l'absence de conflit
d'intérêts et sans qu'il « ne reçoive aucune
instruction [du responsable de traitement ou
du sous-traitant] en ce qui concerne l'exercice de ses missions » (art. 38 du règlement),
qu'il soit ou non employé du responsable du
traitement ou mutualisé au sein d'un groupe
d'entreprises (considérant 97, art. 37, 38 et 39
du Règlement).
Il doit être désigné sur la base de ses « qualités professionnelles » et en particulier, de ses
connaissances techniques, organisationnelles et juridiques en matière de protection
des données à caractère personnel (art. 37
du Règlement).

Le DPO devra être doté de capacités de
management afin de convaincre la direction notamment dans le cadre des conseils
qu'il devra dispenser dans la mise en
œuvre de projets impliquant le traitement de
données personnelles. Dans l'exercice de
ces missions, il sera soumis au secret professionnel ou à une obligation de confidentialité (art. 38 du Règlement). Il assurera ainsi
un rôle de contrôle et de sensibilisation des
dirigeants, proche de celui d'un directeur de
la conformité ou d'un directeur juridique.
Dans un tel contexte, les CIL pourront-ils
être désignés DPO ? La question n'est à
ce jour pas tranchée. Dans un communiqué de presse de l'AFCDP publié le
18 décembre 2015, l'AFCDP « demande
que soit aménagée une « clause du grandpère » qui permettrait [aux] CIL qui le
souhaitent et qui répondent aux nouvelles
exigences d'être confirmés dans leur fonction en tant que DPO ».
Quant aux missions exercées par le DPO,
l'article 39 du Règlement ne les liste pas
de manière exhaustive. Il devra spontanément informer et conseiller les dirigeants
de l'entreprise, les sous-traitants ainsi que
le personnel en charge du traitement sur
les obligations qui leur incombent et, sur
demande, sur l'analyse d'impact prévue
par l'article 35 du Règlement dont il devra
par ailleurs vérifier l'exécution.
Il sera également le contrôleur du respect des
dispositions de la législation applicable et
des règles internes à l'entreprise en matière
de protection des données personnelles, « y
compris en ce qui concerne la répartition
des responsabilités » (art. 39 du Règlement),
ce qui fait de lui un pilier de la nouvelle
philosophie de « compliance » portée par
le règlement. Il fera enfin office de point de
contact avec la Cnil et devra coopérer avec
cette dernière.
Au vu de ces missions, potentiellement très
vastes et assurément plus lourdes que celles
du CIL, il est permis de s'interroger sur la
responsabilité qui sera endossée par le DPO
une fois désigné dans l'entreprise. A ce titre,
les Guidelines on Data Protection Officers
publiées par le G29 le 13 décembre 2016
précisent que le DPO n'est pas personnellement responsable de la conformité
avec le Règlement puisque cette obligation
incombe aux responsables de traitement et/
ou au sous-traitant. En revanche, il ne peut
être exclu que certaines obligations (par
exemple l'obligation de secret professionnel) puissent devenir, au fil de la jurisprudence à venir, des sources de responsabilité

EXPERTISES MARS 2017

pour le DPO notamment en cas de violation délibérée. Sa responsabilité pourrait
encore être recherchée dans les infractions
pénales dont il se serait rendu personnellement coupable, s'agissant par exemple
d'une suppression frauduleuse de données
ou encore si, en tant que salarié, il commet
un « abus de fonction » (cf. infra).
***
Les obligations imposées par le règlement
au responsable de traitement ainsi qu'au
nouveau DPO constituent pour l'entreprise
un changement de paradigme auquel
doit être associé le responsable informatique. L'entreprise doit désormais anticiper
les risques. La conformité aux nouvelles
obligations issues du Règlement nécessite d'importants travaux en interne et de
nombreuses questions pratiques demeurent
certes encore sans réponse s'agissant des
actions techniques et organisationnelles
concrètes qui devront être mises en œuvre
en interne. Il n'en demeure pas moins qu'il
faut voir ce changement comme un moyen
de regagner la confiance des clients et
comme un investissement pour l'avenir
pour prévenir tant que possible les risques
auxquels l'entreprise pourra être confrontée. Ce sera également l'occasion pour les
responsables informatiques de sortir de leur
isolement au sein de l'entreprise.

LES OBLIGATIONS
DU PRESTATAIRE
INFORMATIQUE
EXTERNE EN MATIERE
DE CYBER-SECURITE
La problématique de la sécurité des systèmes
d'information de l'entreprise ne concerne
pas seulement les responsables informatiques de l'entreprise. Bien souvent, l'entreprise a recours à un prestataire informatique
avec lequel elle contracte pour externaliser
une partie de ses services informatiques ou
encore concrétiser la réalisation d'un projet
informatique. En l'absence de compétences
en interne, nombreuses sont les entreprises
qui peuvent avoir recours à des Sociétés de
services en ingénierie informatique (SSII)
désormais appelées Entreprises de services
du numérique (ESN). Or, ces prestataires
informatiques sont des cibles parfaites
pour les pirates informatiques qui peuvent
atteindre par cette « porte d'entrée » un plus
large éventail de victimes parmi les clients
de ces prestataires. L'attaque peut alors
être puissante et les dommages colossaux,
comme en témoigne récemment le déni de

99



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422

Couverture
Editorial & Sommaire
MAGAZINE CONTRAT - ACCÈS INDIRECT À SAP VIA DES APPS TIERCES : LES CLIENTS DOIVENT PAYER
INTERVIEW POUR UN DROIT EUROPÉEN DES ROBOTS
DOCTRINE
SÉCURITÉ - LES RESPONSABLES ET PRESTATAIRES INFORMATIQUES EN PREMIÈRE LIGNE
DONNÉES PERSONNELLES - LES RISQUES LIÉS AUX SMART CITIES
SÉCURITÉ - VULNÉRABILITÉ AUX CYBERATTAQUES DU GPS À USAGE CIVIL
SERVICE DE PAIEMENT - LA DIRECTIVE DSP2 : SÉCURITÉ DES DONNÉES ET PROTECTION DU CONSENTEMENT
DONNÉES PERSONNELLES - UN NOUVEAU CADRE POUR LES COOKIES
CONTRATS - LA CLAUSE LIMITATIVE D’INDEMNISATION DITE « DE RESPONSABILITÉ »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - MAGAZINE CONTRAT - ACCÈS INDIRECT À SAP VIA DES APPS TIERCES : LES CLIENTS DOIVENT PAYER
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 84
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 85
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 86
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 87
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 88
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 89
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 90
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - INTERVIEW POUR UN DROIT EUROPÉEN DES ROBOTS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 92
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 93
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 94
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 95
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SÉCURITÉ - LES RESPONSABLES ET PRESTATAIRES INFORMATIQUES EN PREMIÈRE LIGNE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 97
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 98
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 99
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 100
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 101
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 102
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - DONNÉES PERSONNELLES - LES RISQUES LIÉS AUX SMART CITIES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 104
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 105
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 106
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 107
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SÉCURITÉ - VULNÉRABILITÉ AUX CYBERATTAQUES DU GPS À USAGE CIVIL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 109
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 110
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 111
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 112
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SERVICE DE PAIEMENT - LA DIRECTIVE DSP2 : SÉCURITÉ DES DONNÉES ET PROTECTION DU CONSENTEMENT
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 114
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 115
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - DONNÉES PERSONNELLES - UN NOUVEAU CADRE POUR LES COOKIES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 117
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 118
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - CONTRATS - LA CLAUSE LIMITATIVE D’INDEMNISATION DITE « DE RESPONSABILITÉ »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 120
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
http://www.nxtbookMEDIA.com