Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 139

que par le responsable de traitement,
de sorte à assurer un niveau de sécurité adapté aux risques inhérents au traitement des données. Cela peut inclure
l'anonymisation, le pseudonomisation,
le cryptage desdites données, de sorte
à garantir leur confidentialité et la
capacité de rétablir la disponibilité des
données et de pouvoir y avoir accès
dans l'hypothèse d'un incident.
Ces dispositions impliquent probablement que les FCC devront mettre en
œuvre une étude d'impact personnalisée pour leurs clients. De fait, il est
concevable que ces études d'impact
soient à même de révéler aux FCC la
nécessité de mettre en place des protections personnalisées pour chaque type
de scénario de traitements effectués
- ce qui risque de ne pas être évident
pour les FCC proposant des environnements multi-utilisateurs homogénéisés.
L'adéquation et l'efficacité des solutions
doit être en plus régulièrement testée.
En tant que responsabilité incombant
tant au responsable du traitement
qu'au sous-traitant, ces mesures feront
probablement partie de nouveaux
services offerts par les FCC, et devront
à ce titre être couverts par des accords
sur les niveaux de service, plus communément dénommées « Service Level
Agreement » ou « SLA ».

RESPONSABILISATION
ET TRANSPARENCE
Les responsables de traitements doivent
mettre en œuvre toutes les mesures
techniques
et
organisationnelles
nécessaires au respect de la protection
des données personnelles, à la fois dès
la conception du produit ou du service
(« privacy by design ») et par défaut
(« privacy by default »). Concrètement,
ils devront veiller à limiter la quantité
de données traitée dès le départ, c'est le
principe dit de « minimisation »6.
Les projets initiaux du RGDP imposaient également ces obligations liées
au privacy by design et au privacy
by default aux sous-traitants. Ces
dispositions n'ont in fine pas fait leur
chemin jusqu'à la rédaction finale du
Règlement. Cela étant, les principes de
responsabilisation et de transparence

du RGDP introduisent une nouvelle
obligation pour les sous-traitants de
maintenir un traçage et un suivi des
traitements effectués.
La tenue d'un registre interne décrivant en détail les diverses activités de
traitement réalisés par les sous-traitants et le type de données faisant
l'objet de traitement doit être maintenu
par toute entité employant plus de 250
salariés (et dans certaines hypothèses,
par des sociétés de moins de 250 salariés7). Les FCC devront s'assurer qu'ils
conservent une trace de leurs activités
de traitements de données, et que cette
information soit rendue disponible à la
demande des autorités indépendantes
de surveillance.
Aussi, aux termes de l'article 30 du
RGDP, chaque sous-traitant (et le cas
échéant ses représentants) doit conserver l'historique des activités de traitements des données opérées sur instruction du responsable du traitement, et
notamment l'historique :
■ des éléments relatifs au responsable du traitement, au sous-traitant, et à tout délégué à la protection (bien mieux connu sous
l'acronyme « DPO » ou « Data
Protection Officer ») ;
■ les catégories des activités de
traitements effectués ;
■ les informations relatives au
transfert des données à caractère
personnel au-delà des frontières
de l'Union européenne ;
■ une description générale des
mesures de sécurité mises en
place pour les besoins des
données traitées.
Un aspect significatif de la conformité au RGDP consiste dans la capacité à pouvoir démontrer la conformité
effective.
Pour parvenir à démontrer cette conformité au RGDP, des outils clés sont mis à
la disposition des sociétés :
■ l'adhésion à des codes de
conduite : les sociétés d'une
même industrie ou réalisant des
traitements similaires risquent
probablement de rencontrer des
difficultés similaires en termes de
conformité au GDPR. Les codes de
conduite fournissent à ces sociétés

EXPERTISES AVRIL 2017

des recommandations qui peuvent
s'avérer utiles en termes de normes
industrielles et standards de
marché ;
■ le DPO : le délégué à la protection des données est la personne
formellement investie de la tâche
de s'assurer qu'une société a
connaissance et se conforme à ses
obligations en termes de protection
des données à caractère personnel ;
■ les études d'impact sur la vie
privée (« EIVP ») : faisant apparaître les caractéristiques du traitement, les risques et les mesures
adoptées avant la mise en place
du traitement. L'objectif de l'EIVP
est de permettre aux sociétés
d'adresser et d'atténuer ces risques
avant même que le traitement ne
débute.
Autre point non dénué d'intérêt, il
convient de garder à l'esprit que le
RGDP ne s'applique pas uniquement
au traitement des données à caractère
personnel par un responsable de traitement ou un sous-traitant établi dans
l'Union. Le RGDP s'applique également
au traitement de données à caractère personnel de sujets vivant dans
l'Union, et dont les données sont traitées par un responsable de traitement
ou un sous-traitant qui n'est pas établi
dans l'Union européenne.
Ainsi par exemple, l'obligation de
nommer un DPO a vocation à s'appliquer, indépendamment de la localisation de l'établissement au sein de
l'Union européenne.

LA SOUS-TRAITANCE
Si les FCC ne doivent lire qu'un seul
article du RGDP, il s'agit bien de l'article
28, aux termes duquel les FCC peuvent
désigner des sous-traitants uniquement
avec le consentement du responsable
du traitement, et dans l'hypothèse où
un tel consentement est donné, lesdits
sous-traitants se doivent d'être soumis
à des conditions substantiellement
similaires à celles stipulées dans le
contrat conclu entre le responsable du
traitement et le sous-traitant, et dans
tous les cas conformément à l'article 28
(1)-(2) du RGDP.

139



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423

Couverture
Editorial & Sommaire
MAGAZINE RÉGULATION - GOOGLE, LE LOBBY LE PLUS INFLUENT DE L’UE
INTERVIEW JURISTE : UN MÉTIER EN MUTATION
DOCTRINE
DONNÉES PERSONNELLES : IMPACTS DU RGDP SUR LE NUAGE INFORMATIQUE
CYBERATTAQUES : DE LA RUSE À LA MANIPULATION, QUAND "LA PART DE L'HOMME" RESTE LE MAILLON FAIBLE
CONTRATS : MANIFESTE CONTRE LES MODÈLES DE « CONTRATS AGILES »
DONNÉES PERSONNELLES : LA CNIL ET LE CONTRÔLE DU JUGE ADMINISTRATIF
PLATEFORMES EN LIGNE : LES OBLIGATIONS DE LA LOI RÉPUBLIQUE NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - MAGAZINE RÉGULATION - GOOGLE, LE LOBBY LE PLUS INFLUENT DE L’UE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 124
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 125
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 126
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 127
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 128
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 129
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 130
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - INTERVIEW JURISTE : UN MÉTIER EN MUTATION
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 132
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 133
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 134
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 135
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 136
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - DONNÉES PERSONNELLES : IMPACTS DU RGDP SUR LE NUAGE INFORMATIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 138
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 139
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 140
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - CYBERATTAQUES : DE LA RUSE À LA MANIPULATION, QUAND "LA PART DE L'HOMME" RESTE LE MAILLON FAIBLE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 142
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 143
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 144
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 145
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 146
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 147
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 148
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 149
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - CONTRATS : MANIFESTE CONTRE LES MODÈLES DE « CONTRATS AGILES »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 151
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 152
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - DONNÉES PERSONNELLES : LA CNIL ET LE CONTRÔLE DU JUGE ADMINISTRATIF
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 154
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 155
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - PLATEFORMES EN LIGNE : LES OBLIGATIONS DE LA LOI RÉPUBLIQUE NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 157
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 158
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 159
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 160
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com