Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 191

ce qui implique qu'il veille à ce que
seules les données strictement nécessaires au regard de chaque finalité
spécifique soient collectées. Le législateur européen estime que ce devoir de
protection des données personnelles
par la restriction de leur collecte devra
s'apprécier au regard de la quantité de données collectées, à l'étendue
de leur traitement, à leur durée de
conservation et à leur accessibilité.
En conséquence de ces nouvelles obligations, le responsable du traitement,
s'il ne veut pas être tenu pour seul
responsable d'une faille de sécurité
par ses utilisateurs, va devoir adapter
sa pratique contractuelle pour renforcer les clauses de responsabilité du fait
des produits défectueux des éventuels
contrats qui le lient avec ses fournisseurs (fabricants d'objets connectés, ou
de capteurs qu'il utilise pour réaliser
son traitement, éditeurs de logiciels...),
avec ses sous-traitants (analystes...) ou
avec ses partenaires.

Connaître son
cocontractant : un prérequis
nécessaire pour que le
responsable de traitement
puisse satisfaire à son
obligation de conformité
Le Règlement du 27 avril 2016 supprime
les obligations déclaratives des responsables de traitement qu'il remplace par
une obligation générale de conformité
au régime de protection des données
personnelles qu'il instaure. Le filtre
jusqu'alors constitué par l'Autorité de
contrôle disparaît et l'obligation de
vigilance des responsables de traitement doit être d'autant plus renforcée.
De plus, Le Règlement étend le champ
des obligations qui pèsent sur le responsable de traitement à ses sous-traitants.
Il crée également un régime de responsabilité conjointe pour les traitements
de données personnelles impliquant
plusieurs responsables qui déterminent
ensemble les moyens et les finalités du
traitement.
En conséquence, il convient pour le
responsable du traitement d'anticiper
d'éventuelles failles de ses cocontractants dont il pourrait être tenu responsable en étudiant scrupuleusement

l'environnement dans lequel sera
amenée à se dérouler sa future relation
contractuelle.
A cette fin, le Règlement préconise un
certain nombre d'outils aux responsables
de traitement qui relèvent soit de la recommandation (1), soit de l'obligation (2).

1. Les facultés offertes aux
responsables de traitement
afin de justifier des diligences
accomplies pour garantir à leurs
utilisateurs un niveau optimal
de protection
Le législateur européen recommande
et encourage la mise en place de
mécanismes de certification en matière
de protection des données personnelles
de type labels ou marques collectives.
Si une telle certification ne dispense pas
le responsable de traitement soumis
aux dispositions du Règlement de son
obligation de conformité, il est toutefois extrêmement probable qu'elle se
révèle utile en pratique. En effet, nous
supposons que les contrôles opérés par
les Autorités de contrôle, bien qu'aléatoires, seront davantage susceptibles
de porter sur des responsables de traitement non certifiés.
L'élaboration de codes de conduite est
également préconisée par le législateur
européen. De tels codes de conduite
permettent aux responsables de traitement de justifier de leur respect des
exigences posées par le Règlement tout
en prenant en considération les spécificités de leur secteur d'activité et/ ou de
la taille de leur entreprise. Ces codes
de conduite sont soumis à l'Autorité de
contrôle compétente pour approbation,
puis enregistrement et publication.
Malgré l'application d'un tel code, le
responsable de traitement, tout comme
lorsqu'il justifie d'une certification, n'est
pas déchargé de son obligation de
conformité.
Toutefois, participer à l'élaboration de
ces codes peut s'avérer particulièrement
bénéfique puisque ces codes de
conduite, une fois publiés par l'Autorité
de contrôle, permettent d'établir une
pratique stable et spécifique aux
besoins du type d'entreprises concerné.
L'adhésion à l'une de ces normes facultatives est également recommandée

EXPERTISES MAI 2017

pour des responsables de traitement
qui ne seraient pas soumis de facto
au Règlement car situés en dehors du
champ d'application territorial de celuici mais dont l'activité impliquerait des
transferts de données personnelles
depuis ou vers l'Union européenne.
Enfin, au-delà de ces engagements
qualité, il est nécessaire pour les
futures parties de se renseigner sur
leurs procédures internes respectives
en cas de failles de sécurité ou en cas
de demande, par un utilisateur, d'accès, de limitation ou de rectification de
ses données personnelles.
La contrainte que représente l'adhésion à de telles normes facultatives
semble à première vue relativement
forte. Toutefois, une telle démarche,
bien que contraignante, est judicieuse
en ce qu'elle permet aux responsables
de traitement de se prémunir au maximum d'éventuels manquements au
Règlement qui seront bientôt punissables par les Autorités de contrôle par
des amendes administratives allant
jusqu'à 20 millions d'euros ou 4% du
chiffre d'affaires mondial du responsable du traitement selon le montant le
plus élevé.

2. Les obligations
opérationnelles mises à la
charge de certains responsables
de traitement
En ce qui concerne les obligations
suivantes, le Règlement distingue
selon que les données traitées par le
responsable sont ou non des données
sensibles.
Ainsi, la tenue d'un registre des traitements est obligatoire lorsque le responsable traite des données sensibles alors
qu'elle ne concerne que les entreprises
de plus de 250 salariés ou les responsables dont l'activité de traitement
est non occasionnelle et comporte un
risque pour les droits et les libertés des
utilisateurs lorsque les données traitées ne sont pas qualifiées de données
sensibles.
De même, la nomination d'un Data
protection officer (DPO) et la réalisation d'études d'impact est obligatoire dès lors que le traitement porte

191



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424

Couverture
Editorial & Sommaire
FOCUS DONNÉES PERSONNELLES FAIS CE QUE JE DIS, PAS CE QUE JE FAIS
EN BREF L'INFORMATIONS RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW 2017, UN TOURNANT POUR L’OPEN DATA
DOCTRINE
DONNÉES PERSONNELLES - L’ASSURABILITÉ DES SANCTIONS ADMINISTRATIVES
DONNÉES PERSONNELLES - MESURES D’AUDIENCE : ANONYMISATION ET DROIT À L'INFORMATION
DONNÉES PERSONNELLES - LE RGPD ET LA NÉCESSAIRE ADAPTATION DES CONTRATS
UNION EUROPÉENNE - BREXIT : IMPACTS SUR LA PROTECTION DES DONNÉES PERSONNELLES ET LA SÉCURITÉ
DONNÉES PERSONNELLES - LES GUIDELINES DU G29 SUR LE DPO
DONNÉES PERSONNELLES - DROIT À L’OUBLI ET REGISTRE DES SOCIÉTÉS
CONTRAT INFORMATIQUE - REDÉFINITION DES COMPÉTENCES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - FOCUS DONNÉES PERSONNELLES FAIS CE QUE JE DIS, PAS CE QUE JE FAIS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - EN BREF L'INFORMATIONS RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 169
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - MAGAZINE L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 171
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 172
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 173
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 174
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - INTERVIEW 2017, UN TOURNANT POUR L’OPEN DATA
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 176
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 177
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 178
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 179
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - L’ASSURABILITÉ DES SANCTIONS ADMINISTRATIVES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 181
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 182
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 183
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 184
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - MESURES D’AUDIENCE : ANONYMISATION ET DROIT À L'INFORMATION
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 186
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 187
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 188
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 189
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - LE RGPD ET LA NÉCESSAIRE ADAPTATION DES CONTRATS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 191
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 192
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 193
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - UNION EUROPÉENNE - BREXIT : IMPACTS SUR LA PROTECTION DES DONNÉES PERSONNELLES ET LA SÉCURITÉ
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 195
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 196
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - LES GUIDELINES DU G29 SUR LE DPO
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 198
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 199
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - DROIT À L’OUBLI ET REGISTRE DES SOCIÉTÉS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 201
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - CONTRAT INFORMATIQUE - REDÉFINITION DES COMPÉTENCES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 203
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 204
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com