Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 138

doctrine
De son côté, la Cnil s'était penchée sur
la question en 2012, et avait publié un
ensemble de sept pratiques à suivre en
matière de nuage informatique.
Avant tout engagement commercial, les
sociétés souhaitant recourir à une prestation d'externalisation ont ainsi été
invitées à mener une réflexion spécifique afin :
■ d'identifier clairement les données
et les traitements qui passeront
dans le cloud ;
■ de définir ses propres exigences de
sécurité technique et juridique ;
■ de conduire une analyse de
risques afin d'identifier les
mesures de sécurité essentielles
pour l'entreprise ;
■ d'identifier le type de cloud pertinent pour le traitement envisagé ;
■ de choisir un prestataire présentant des garanties suffisantes ;
■ de revoir la politique de sécurité
interne ;
■ de surveiller les évolutions dans le
temps4.
A la marge, certains domaines régulés tels que la banque et l'assurance
ont également pris la mesure de l'importance des risques liés au nuage
informatique5.
Car concrètement, jusqu'à présent,
les FCC exigeaient de leurs clients de
reconnaître et de garantir qu'ils agissaient conformément à la législation en
vigueur sur la protection des données
à caractère personnel, et qu'ils avaient
obtenus les accords nécessaires des
personnes concernées pour traiter leurs données, en leur qualité de
responsable de traitement.
Ce scénario, quoi que relativement
absurde au regard de la Directive,
rencontrait pourtant un succès certain
dans la pratique, et imposait ainsi la
charge de la non-conformité sur le seul
client, en sa qualité de responsable de
traitement.
Le RGDP fait évoluer ce point en étendant le champ d'application de la
protection des données personnelles. Le
considérant 81 du RGDP reconnaît ainsi
le rôle des sous-traitants dans la protection des données à caractère personnel. Les sous-traitants ne peuvent plus

138

arguer de l'inapplicabilité des règles à
leur égard puisque le responsable de
traitement doit utiliser uniquement des
sous-traitants fournissant des garanties
suffisantes, en particulier en termes de
connaissances spécialisées, de fiabilité
et de ressources, pour la mise en œuvre
de mesures techniques et organisationnelles qui satisferont aux exigences
du présent règlement, y compris en
matière de sécurité du traitement.
L'adhésion du sous-traitant à un code
de conduite approuvé ou encore l'utilisation d'un mécanisme de certification peuvent être utilisés comme
autant d'indices tendant à démontrer la
conformité aux obligations incombant
aux responsables de traitement.
Le traitement de données à caractère
personnel par le sous-traitant se doit
d'être soumis à un contrat ou à un autre
acte juridique soumis soit au RGDP,
soit à la législation nationale d'un Etat
membre, et visant à lier le responsable de traitement au sous-traitant. Ce
contrat se doit d'établir l'objet du traitement, sa durée, sa nature et les raisons
pour lesquelles le traitement est effectué, le type de données personnelles
en jeu et les catégories des sujets dont
les données sont traitées. L'ensemble
contractuel se doit de prendre en
compte les obligations et responsabilités du sous-traitant dans le contexte du
traitement à établir et des risques aux
droits et aux libertés des personnes
concernées.
Le responsable du traitement et le
sous-traitant peuvent choisir d'établir
un contrat individuel ou reprendre
simplement les clauses standards
établies par la Commission européenne ou celles établies par les autorités de surveillance nationales, et
adoptées par la Commission. Une fois
le traitement des données à caractère
personnel opéré, le sous-traitant doit
- au choix du responsable du traitement - rendre ou effacer les données à
caractère personnel - à moins qu'une
obligation existe sous un droit national
applicable de conserver ces données.
En effet, l'article 28 du RGDP dispose
que le sous-traitant se doit de mettre en
place des mesures de sécurité et organisationnelles pour protéger les données

EXPERTISES AVRIL 2017

à caractère personnel contre tout incident ou destruction illégale, perte,
altération, divulgation non autorisée
ou accès. En fonction de la nature du
traitement, cela peut induire le cryptage des données à caractère personnel, l'examen continu des mesures de
sécurité, des systèmes de redondance
et de secours et des tests de sécurité
réguliers.
L'adhérence à un code de conduite est
un outil visant à étayer la conformité du
sous-traitant aux obligations ci-dessus.
Voilà qui démontre bien que le sous-traitant est directement responsable vis-àvis de ceux dont il traite les données.
En plus, le sous-traitant est également
soumis au régime des sanctions mis
en place par le RGDP, un régime qui a
déjà fait couler bien de l'encre.
De toutes évidences, sous l'ère du
RGDP, il ne sera plus possible pour
les FCC de se positionner en simples
sous-traitants, et de se soustraire ainsi
aux règles de protection des données à
caractère personnel. Le RGDP requiert
des sous-traitants - y compris des FCC,
de développer et de mettre en place un
certain nombre de procédures internes
et de pratiques pour la protection des
données personnelles.

LA NÉCESSAIRE MISE
EN PLACE DE MESURES
TECHNIQUES ET
ORGANISATIONNELLES
Quand le traitement est effectué sur
instruction d'un responsable de traitement, ce dernier se doit d'utiliser
uniquement des sous-traitants présentant des garanties suffisantes pour
mettre en place de mesures techniques
et organisationnelles suffisantes pour
que le traitement soit conforme aux
prérequis du RGDP, et s'assurer que les
droits des personnes concernées sont
respectés. Voilà qui pose la barre haute
aux FCC, créant une obligation incombant au client de tester et d'examiner le
respect des FCC au GDPR.
A cela s'ajoute le fait que l'état de l'art
et les coûts de mise en place, ainsi que
la nature, l'étendue, le contexte et l'objectif du traitement, doivent être pris en
compte aussi bien par le sous-traitant



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423

Couverture
Editorial & Sommaire
MAGAZINE RÉGULATION - GOOGLE, LE LOBBY LE PLUS INFLUENT DE L’UE
INTERVIEW JURISTE : UN MÉTIER EN MUTATION
DOCTRINE
DONNÉES PERSONNELLES : IMPACTS DU RGDP SUR LE NUAGE INFORMATIQUE
CYBERATTAQUES : DE LA RUSE À LA MANIPULATION, QUAND "LA PART DE L'HOMME" RESTE LE MAILLON FAIBLE
CONTRATS : MANIFESTE CONTRE LES MODÈLES DE « CONTRATS AGILES »
DONNÉES PERSONNELLES : LA CNIL ET LE CONTRÔLE DU JUGE ADMINISTRATIF
PLATEFORMES EN LIGNE : LES OBLIGATIONS DE LA LOI RÉPUBLIQUE NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - MAGAZINE RÉGULATION - GOOGLE, LE LOBBY LE PLUS INFLUENT DE L’UE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 124
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 125
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 126
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 127
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 128
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 129
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 130
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - INTERVIEW JURISTE : UN MÉTIER EN MUTATION
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 132
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 133
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 134
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 135
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 136
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - DONNÉES PERSONNELLES : IMPACTS DU RGDP SUR LE NUAGE INFORMATIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 138
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 139
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 140
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - CYBERATTAQUES : DE LA RUSE À LA MANIPULATION, QUAND "LA PART DE L'HOMME" RESTE LE MAILLON FAIBLE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 142
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 143
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 144
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 145
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 146
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 147
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 148
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 149
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - CONTRATS : MANIFESTE CONTRE LES MODÈLES DE « CONTRATS AGILES »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 151
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 152
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - DONNÉES PERSONNELLES : LA CNIL ET LE CONTRÔLE DU JUGE ADMINISTRATIF
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 154
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 155
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - PLATEFORMES EN LIGNE : LES OBLIGATIONS DE LA LOI RÉPUBLIQUE NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 157
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 158
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 159
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 160
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com