Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 195

en matière de cybersécurité qui s'appliquera aux fournisseurs de service
numérique et aux Opérateurs de
services essentiels (OSE) en prenant
en compte les exigences de la directive « NIS« .
Rappelons qu'au sens de la directive précitée, le fournisseur de service
numérique est laconiquement défini
comme « Une personne morale qui fournit un service numérique »8. Pour savoir
ce que la directive entend par « service
numérique », il faut se reporter à une
autre directive, la directive 2015/1535
du 9 septembre 20159. Cette dernière
prévoit une procédure d'information
dans le domaine des réglementations
techniques et des règles relatives aux
services de la société de l'information.
Il s'agit de « tout service presté normalement contre rémunération, à distance,
par voie électronique et à la demande
individuelle d'un destinataire de
services ». La directive NIS vise en
particulier trois fournisseurs de service
numérique : les places de marchés
en ligne, les moteurs de recherche en
ligne et les « services d'informatique
en nuage ». Ces catégories de fournisseurs sont particulièrement larges. De
plus, contrairement aux Opérateurs
de services essentiels, les fournisseurs
de service numérique n'ont pas à être
identifiés par les Etats membres : un
très grand nombre d'acteurs va donc
être concerné par ces nouvelles obligations, parmi lesquels les opérateurs
proposant des prestations SaaS, IaaS,
ou encore PaaS.
Concernant le Royaume-Uni, il ne suffit
pas de savoir que la directive NIS sera
transposée pour résoudre toutes les
questions posées par le Brexit en la
matière.
La directive NIS prévoit l'institution
d'un système de coopération européen autour du signalement des incidents de sécurité dont sont victimes les
opérateurs visés par la directive. La
façon dont le Royaume-Uni sera pris
en compte dans ce système postérieurement à son départ de l'Union reste
floue. Une agence britannique, donc
extra-européenne, pourrait-elle rester
dans ce réseau de coopération ? Quelles
relations aura-t-elle avec les autres

agences comme l'Agence nationale
de sécurité des systèmes d'information
(Anssi) ?
On le voit, pour des questions budgétaires, politiques, ou encore institutionnelles, le Royaume-Uni pourrait
potentiellement se retrouver exclu, à
sa sortie de l'Union, d'un tel réseau de
coopération.

PROTECTION DES DONNÉES,
RGPD ET BREXIT : QUELLE
ARTICULATION ?
Comme la France, le Royaume-Uni
a transposé en droit interne la directive 95/46/CE relative à la protection
des personnes physiques à l'égard du
traitement des données à caractère
personnel et à la libre circulation des
données sur la protection des données
personnelles. Cette loi de transposition,
le « Data Protection Act 1998 »10, est
actuellement en vigueur.
Cependant, la directive va être abrogée
par le Règlement général sur la protection des données lequel sera applicable
le 25 mai 2018. A cette date, le RoyaumeUni sera encore membre de l'Union
européenne. Aussi, le Règlement général sur la protection des données s'appliquera au Royaume-Uni. Seule la
durée de son application est incertaine.
L'autorité de protection britannique,
l'Information Commissioner's Office ou
ICO, se prépare à l'entrée en vigueur du
règlement. Le gouvernement a en outre
évoqué cette application dans le rapport
de décembre 2016 précité. Le flou règne
cependant sur la situation postérieure
au départ du Royaume-Uni de l'Union
européenne. On sait d'ores et déjà que,
comme pour tout acteur économique
extra-européen, le Règlement général
sur la protection des données s'appliquera aux entreprises britanniques
qui traitent des données de personnes
situées sur le territoire de l'Union. Pour
les opérateurs britanniques ne traitant
que de données de citoyens britanniques ou extra-européens, aucune
annonce n'a été faite.
La position des responsables de traitement britanniques et des responsables de traitement européens ayant
des datacenters ou des établissements

EXPERTISES MAI 2017

au Royaume-Uni est à l'heure actuelle
incertaine. Les responsables de traitements doivent, pour effectuer des transferts de données hors de l'Union européenne justifier d'un fondement légal,
ce qui pose un obstacle à ces transferts.
Il est possible que le Royaume-Uni
s'organise pour faire succéder au
Règlement général sur la protection
des données une loi interne reprenant
le texte du règlement européen. A ce
titre, le « Data Protection Act, 1998«
pourrait être modifié. Cela permettrait
au Royaume-Uni de prétendre plus
facilement à une décision d'adéquation de la Commission européenne
telle que prévue à l'article 45 du règlement précité. Une telle décision reconnaît à un pays un niveau de protection
des données à caractère personnel
« essentiellement équivalent » aux
exigences européennes, et permet aux
responsables de traitement de transférer les données à caractère personnel
en dehors du territoire de l'UE. Entre
temps, les opérateurs devront s'appuyer sur d'autres solutions telles que
notamment les clauses contractuelles
types ou à l'extrême ne plus transférer
de données au Royaume-Uni.
La question du maintien de la participation du Royaume-Uni au Privacy
Shield se pose également. Le Privacy
Shield est un accord passé entre la
Commission européenne et les EtatsUnis visant à permettre le transfert de
données personnelles de citoyens européens vers les Etats-Unis. Un accord
similaire existe entre les Etats-Unis et
la Suisse. Or, le texte de l'accord fait
mention des Etats membres de l'UE.
Quand le Royaume-Uni sortira de l'UE,
ses citoyens ne bénéficieront plus des
garanties issues du Privacy Shield,
sauf si un accord similaire est signé
entre le Royaume-Uni et les Etats-Unis.
Enfin, il est possible de s'interroger
sur la place de l'autorité britannique
de protection des données (ICO11). Les
autorités de protection des données
réunies au sein du Groupe de l'Article
29 sont en train de réaliser un travail
d'interprétation du Règlement général sur la protection des données. Des
lignes directrices sont par ailleurs
publiées12, d'autres devraient l'être

195



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424

Couverture
Editorial & Sommaire
FOCUS DONNÉES PERSONNELLES FAIS CE QUE JE DIS, PAS CE QUE JE FAIS
EN BREF L'INFORMATIONS RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW 2017, UN TOURNANT POUR L’OPEN DATA
DOCTRINE
DONNÉES PERSONNELLES - L’ASSURABILITÉ DES SANCTIONS ADMINISTRATIVES
DONNÉES PERSONNELLES - MESURES D’AUDIENCE : ANONYMISATION ET DROIT À L'INFORMATION
DONNÉES PERSONNELLES - LE RGPD ET LA NÉCESSAIRE ADAPTATION DES CONTRATS
UNION EUROPÉENNE - BREXIT : IMPACTS SUR LA PROTECTION DES DONNÉES PERSONNELLES ET LA SÉCURITÉ
DONNÉES PERSONNELLES - LES GUIDELINES DU G29 SUR LE DPO
DONNÉES PERSONNELLES - DROIT À L’OUBLI ET REGISTRE DES SOCIÉTÉS
CONTRAT INFORMATIQUE - REDÉFINITION DES COMPÉTENCES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - FOCUS DONNÉES PERSONNELLES FAIS CE QUE JE DIS, PAS CE QUE JE FAIS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - EN BREF L'INFORMATIONS RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 169
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - MAGAZINE L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 171
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 172
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 173
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 174
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - INTERVIEW 2017, UN TOURNANT POUR L’OPEN DATA
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 176
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 177
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 178
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 179
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - L’ASSURABILITÉ DES SANCTIONS ADMINISTRATIVES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 181
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 182
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 183
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 184
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - MESURES D’AUDIENCE : ANONYMISATION ET DROIT À L'INFORMATION
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 186
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 187
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 188
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 189
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - LE RGPD ET LA NÉCESSAIRE ADAPTATION DES CONTRATS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 191
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 192
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 193
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - UNION EUROPÉENNE - BREXIT : IMPACTS SUR LA PROTECTION DES DONNÉES PERSONNELLES ET LA SÉCURITÉ
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 195
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 196
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - LES GUIDELINES DU G29 SUR LE DPO
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 198
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 199
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - DROIT À L’OUBLI ET REGISTRE DES SOCIÉTÉS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 201
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - CONTRAT INFORMATIQUE - REDÉFINITION DES COMPÉTENCES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 203
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 204
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com