Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 198

Doctrine
de déterminer qu'un traitement est
mené « à grande échelle ».
En revanche, le G29 indique que les
critères suivants devront notamment être
pris en compte :
■ le nombre de personnes concernées ou la part d'une population
concernée,
■ le volume de données et/ou la
variété des catégories de données
traitées,
■ la durée ou la permanence des
activités de traitement,
■ l'étendue géographique des
opérations de traitement.
Les exemples suivants permettent d'illustrer ce critère de « grande échelle » :
■ traitement des données des
usagers de transports en commun
(par exemple suivi via les cartes de
transport) ;
■ traitement en temps réel des
données de géolocalisation des
clients d'une chaîne de fast-food
à des fins statistiques par un
sous-traitant spécialisé ;
■ traitement courant de données des
clients des compagnies d'assurance et des banques ;
■ traitement de données mis
en œuvre par un moteur de
recherches aux fins d'affichage de
publicité comportementale ;
■ traitement de données (contenu,
trafic localisation) mis en œuvre
par les fournisseurs de services de
téléphonie ou internet.

Notions de suivi régulier et
systématique
Cette notion vise incontestablement les
opérations de suivi et de profilage mises en
œuvre sur internet dans le cadre notamment de la publicité comportementale.
Le G29 précise que le champ de ce critère
ne se limite pas à la publicité ciblée mais
inclut également les traitements mis en
œuvre dans le cadre de l'exploitation
d'un réseau de télécommunication, de la
fourniture de services de communications
électroniques ainsi que les traitements de
profilage et de scoring mis en œuvre pour
des raisons d'évaluation du risque (par
exemple, les traitements de lutte anti-blanchiment, de credit-scoring, de prévention de la fraude, de calcul des primes
d'assurances), ou encore les traitements

198

de suivi de la position géographique
au moyen d'applications mobiles pour
les programmes de fidélité, publicités
comportementales, contrôle du bien-être
physique, données de fitness et de santé
(montres et bracelets connectés).

Une analyse préalable
indispensable
Chaque entreprise devra seule déterminer si elle est tenue ou non de désigner un
DPO sur la base de ces critères. La Cnil
n'exercera pas de contrôle a priori sur la
décision des organismes. En revanche,
chaque responsable de traitement et
sous-traitant devra être en mesure de
démontrer que sa décision de ne pas désigner de DPO résulte d'une analyse des
conditions des traitements de données au
regard des critères précisés par le G29.
A défaut de publication de critères plus
précis par les autorités nationales, les
organisations devront être en mesure
de démontrer que les traitements de
données qu'elles mettent en œuvre ne
correspondent à aucun des critères listés
ci-avant.
Le cas échéant, l'identité ainsi que les
coordonnées de la personne ou de l'organisation désignée en tant que DPO
devront être publiées -en conformité avec
les règles relatives à l'information des
personnes concernées (privacy policies,
locaux des entreprises, formulaires de
collecte de données...) et communiquées
à la Cnil.
Le défaut de nomination d'un DPO dans
les cas où cette nomination est obligatoire
peut s'élever à 10 millions d'euros ou 2%
du chiffre d'affaire annuel mondial, le
montant le plus élevé étant retenu.

Le DPO unique dans
les groupes d'entreprises
Le Règlement laisse la possibilité aux
groupes d'entreprises de désigner un DPO
unique et centralisé assurant ses missions
pour l'ensemble des entités composant
le groupe. Le G29 précise cependant
que ce DPO doit être en mesure d'exercer ses fonctions de manière équivalente
à l'égard de l'ensemble des entités du
groupe. Le DPO doit notamment être
aisément joignable à partir de chaque
lieu d'établissement du groupe. A cet
égard, le G29 précise que le DPO doit être

EXPERTISES MAI 2017

joignable non seulement par les personnels de l'organisme qui l'a désigné mais
également par les personnes concernées
et par les autorités de contrôle. Cela signifie que le DPO doit pouvoir comprendre et
s'exprimer dans l'ensemble des langues
des pays dans lesquels l'organisation est
établie. Le choix d'un DPO centralisé ainsi
que le choix d'affecter une ou plusieurs
personnes à cette tâche doivent tenir
compte de la structure de l'organisation
ainsi que de sa taille et de la diversité de
ses implantations géographiques.

Le choix d'un DPO
externalisé
Le Règlement permet aux responsables
de traitement et sous-traitants de désigner
un DPO externe à leur organisation sur
la base d'un contrat de services. Le DPO
externe peut être un individu ou une organisation. Les catégories d'organisation
pouvant être désignées en tant que DPO
externe ne sont précisées par le GDPR ni
par le G29. Ainsi, les avocats devraient
être en mesure d'exercer les fonctions de
DPO externe (de la même manière qu'ils
pouvaient être désignés correspondants
Informatique et Libertés). Les règles de la
profession devront toutefois être adaptées
aux exigences particulières de la fonction
de DPO. Le G29 précise que lorsque le
DPO désigné est une organisation, cette
dernière doit mettre en place une équipe
de personnes chargée de réaliser les
missions du DPO telles que définies par
le Règlement sous la responsabilité et la
supervision d'une personne désignée
en tant que point de contact unique du
responsable de traitement ou du sous-traitant. Si le DPO désigné est une organisation, le G29 précise que chaque membre
de l'équipe désignée doit répondre à
l'ensemble des exigences posées par
le Règlement. Le G29 précise qu'aucun
membre de l'organisme désigné comme
DPO ne doit se trouver en situation de
conflit d'intérêt. En outre, chaque membre
de l'organisation doit bénéficier de la
protection accordée au DPO à savoir :
■ protection contre toute rupture
abusive du contrat de services
fondée sur les conditions d'exercice
de sa mission par le DPO ;
■ protection contre toute procédure
de licenciement abusif des personnels de l'organisation désignée
comme DPO en raison de leurs
missions.



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424

Couverture
Editorial & Sommaire
FOCUS DONNÉES PERSONNELLES FAIS CE QUE JE DIS, PAS CE QUE JE FAIS
EN BREF L'INFORMATIONS RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW 2017, UN TOURNANT POUR L’OPEN DATA
DOCTRINE
DONNÉES PERSONNELLES - L’ASSURABILITÉ DES SANCTIONS ADMINISTRATIVES
DONNÉES PERSONNELLES - MESURES D’AUDIENCE : ANONYMISATION ET DROIT À L'INFORMATION
DONNÉES PERSONNELLES - LE RGPD ET LA NÉCESSAIRE ADAPTATION DES CONTRATS
UNION EUROPÉENNE - BREXIT : IMPACTS SUR LA PROTECTION DES DONNÉES PERSONNELLES ET LA SÉCURITÉ
DONNÉES PERSONNELLES - LES GUIDELINES DU G29 SUR LE DPO
DONNÉES PERSONNELLES - DROIT À L’OUBLI ET REGISTRE DES SOCIÉTÉS
CONTRAT INFORMATIQUE - REDÉFINITION DES COMPÉTENCES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - FOCUS DONNÉES PERSONNELLES FAIS CE QUE JE DIS, PAS CE QUE JE FAIS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - EN BREF L'INFORMATIONS RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 169
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - MAGAZINE L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 171
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 172
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 173
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 174
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - INTERVIEW 2017, UN TOURNANT POUR L’OPEN DATA
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 176
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 177
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 178
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 179
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - L’ASSURABILITÉ DES SANCTIONS ADMINISTRATIVES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 181
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 182
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 183
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 184
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - MESURES D’AUDIENCE : ANONYMISATION ET DROIT À L'INFORMATION
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 186
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 187
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 188
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 189
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - LE RGPD ET LA NÉCESSAIRE ADAPTATION DES CONTRATS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 191
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 192
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 193
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - UNION EUROPÉENNE - BREXIT : IMPACTS SUR LA PROTECTION DES DONNÉES PERSONNELLES ET LA SÉCURITÉ
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 195
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 196
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - LES GUIDELINES DU G29 SUR LE DPO
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 198
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 199
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - DROIT À L’OUBLI ET REGISTRE DES SOCIÉTÉS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 201
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - CONTRAT INFORMATIQUE - REDÉFINITION DES COMPÉTENCES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 203
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 204
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com