Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 270

Doctrine
à l'égard des personnes
physiques dont le domicile
social se situe en dehors
européenne eu égard aux
qu'ils effectuent.

morales et
ou le siège
de l'Union
traitements

La question de savoir où se situe la
cible du traitement peut donc donner
lieu à application du RGPD à l'égard
d'un responsable du traitement situé
hors de l'Union européenne.

Le principe de responsabilisation (accountability) du
responsable du traitement et
du sous-traitant des données à
caractère personnel
Afin de responsabiliser le responsable
du traitement et le sous-traitant par
rapport aux données qu'ils traitent,
parfois, en quantité importante, le
législateur européen a instauré
le principe d'accountability ou de
responsabilisation.
Le RGPD a donc choisi de supprimer
le système déclaratif actuel par un
système en vertu duquel le responsable
du traitement sera dispensé de
déclarer auprès de l'autorité de
contrôle nationalement compétente
(Cnil en France) le traitement envisagé,
avant sa mise en œuvre. Nonobstant
ce qui précède, un régime restreint
d'autorisation et de consultation
perdurera lorsque le traitement
constituera un risque élevé d'atteinte à
la vie privée.
A compter du 25 mai 2018, tant le
responsable du traitement que le
sous-traitant (lequel n'a, en l'état de la
législation actuelle, aucune obligation
déclarative auprès de l'autorité compétente) devront tenir un registre, similaire à celui tenu par le Correspondant
Informatique et libertés prévu par la
législation en vigueur dans lequel
sera répertorié notamment le nom et
l'adresse du responsable du traitement,
la finalité du traitement, le service
chargé de sa mise en œuvre, les catégories de données traitées, les catégories de personnes concernées par le
traitement, les destinataires habilités à
recevoir communication des données,
la durée de conservation des données
traitées, etc.

270

En conséquence, la suppression des
formalités administratives inhérente
à l'accountability aura pour corollaire
une plus grande responsabilisation
des acteurs. Les responsables du
traitement et les sous-traitants seront
tenus de mettre en place des mesures
de sécurité appropriées aux données
qu'ils collectent et aux traitements
qu'ils effectuent et, surtout, d'être en
mesure de démontrer qu'ils ont mis
en place lesdites mesures de sécurité
en adéquation avec les exigences du
RGPD ainsi que leur efficacité.
A titre d'exemple, l'article 35 du RGPD
prévoit une obligation dans certains
cas de figure de mener une analyse
d'impact afin d'évaluer le risque et
façonner un cadre aussi protecteur
que possible. Ces analyses d'impact
s'imposeront surtout pour les traitements
faisant courir un risque d'atteinte à la
vie privée des utilisateurs1. L'objectif de
ces analyses d'impact sera d'évaluer,
en particulier, l'origine, la nature, la
portée, le contexte, la particularité et la
gravité du risque lié audit traitement de
données à caractère personnel.
Le principe de responsabilisation
adopté par le RGPD implique que
les responsables prennent donc
toutes les « mesures techniques et
organisationnelles appropriées » afin de
respecter les dispositions européennes
(article 24 § 1).
Il pourrait, en effet, leur être reproché de
ne pas avoir mis en place les mesures
adéquates.
C'est ce même principe qui implique
que le responsable du traitement
comme le sous-traitant soient tenus, dès
la conception des produits et services,
de mettre en œuvre un socle protecteur
des données à caractère personnel
(notion dite de « privacy by design »).
De la même façon, ils devront s'assurer
que sans l'intervention préalable des
personnes physiques concernées, les
données à caractère personnel ne
peuvent être rendues accessibles à
un nombre indéterminé de personnes
physiques et, que soient collectées et
traitées uniquement des données à
caractère personnel pertinentes au
regard de la finalité du traitement

EXPERTISES JUILLET/AOÛT 2017

considéré (notion dite de « privacy by
default » -article 25 § 2).
De manière générale, il conviendra
pour l'entreprise de faire un arbitrage
afin de déterminer si le traitement
qu'elle décide d'effectuer devra être
soumis à une analyse d'impact. Il sera
donc opportun pour lesdites entreprises
de procéder à un audit préalable afin
de vérifier si elles sont susceptibles, en
raison de leur activité ou du traitement
de données à caractère personnel
qu'elles envisagent, de faire courir un
risque d'atteinte à la vie privée des
utilisateurs.

La responsabilité entre le
responsable du traitement
le sous-traitant encadrée
contractuellement
Il convient de distinguer ce que le RGPD,
reprenant les stipulations prévues dans
la législation européenne en vigueur,
entend d'un responsable du traitement,
d'une part, et d'un sous-traitant, d'autre
part.
L'article 4 du RGPD est consacré
aux définitions qui visent à faciliter
une meilleure compréhension des
dispositions y figurant. Est notamment
considéré comme le responsable du
traitement : « la personne physique ou
morale qui détermine les finalités et les
moyens de toute opération appliquée à
des données à caractère personnel. Il
s'agit de la personne pour le compte de
laquelle est réalisée le traitement ».
Le sous-traitant est quant à lui défini
comme étant : « la personne physique
ou morale, l'autorité publique, le service
ou un autre organisme qui traite des
données à caractère personnel pour le
compte du responsable du traitement ».
Ce dernier est donc un exécutant
extérieur qui intervient dans le cadre
de la mise en œuvre du traitement
effectué par le responsable précité. Le
sous-traitant agit donc sous l'autorité
du responsable du traitement et sur
instruction de ce dernier.
En l'état actuel du droit, il incombe au
responsable du traitement qui passe
par un sous-traitant de s'assurer que
ce dernier apporte des garanties
suffisantes quant à la mise en œuvre



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426

Couverture
Editorial & Sommaire
FOCUS LE CHAMBOULE-TOUT POLITIQUE
MAGAZINE L'ACTUALITÉ DU DROIT ET DE LA JURISPRUDENCE
INTERVIEW TESTER LA TRANSPARENCE DES ALGORITHMES
DOCTRINE
BASES DE DONNÉES PUBLIQUES - DE « NOTREFAMILLE » A LA LOI LEMAIRE
CYBERATTAQUES - MACRONLEAKS ET DIFFUSION DE FAUSSES INFORMATIONS
DONNÉES PERSONNELLES - CONSEILS PRATIQUES POUR L’APPLICATION DU RGPD
DONNÉES PERSONNELLES - « COOKIES TIERS » : POUR UNE CLARIFICATION DES RESPONSABILITÉS ENTRE ÉDITEUR DE SITE ET TIERS
CLOUD COMPUTING - VERS DE NOUVEAUX HORIZONS DANS LE MONDE DES « NUAGES »
JURISPRUDENCE BASES DE DONNÉES PUBLIQUES - NOTREFAMILLE.COM / DEPT. DE LA VIENNE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - FOCUS LE CHAMBOULE-TOUT POLITIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - MAGAZINE L'ACTUALITÉ DU DROIT ET DE LA JURISPRUDENCE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 245
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 246
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 247
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 248
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 249
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 250
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 251
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - INTERVIEW TESTER LA TRANSPARENCE DES ALGORITHMES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 253
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 254
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 255
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 256
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 257
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - JURISPRUDENCE BASES DE DONNÉES PUBLIQUES - NOTREFAMILLE.COM / DEPT. DE LA VIENNE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 259
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 260
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 261
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - CYBERATTAQUES - MACRONLEAKS ET DIFFUSION DE FAUSSES INFORMATIONS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 263
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 264
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 265
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 266
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 267
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 268
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - DONNÉES PERSONNELLES - CONSEILS PRATIQUES POUR L’APPLICATION DU RGPD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 270
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 271
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 272
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 273
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - DONNÉES PERSONNELLES - « COOKIES TIERS » : POUR UNE CLARIFICATION DES RESPONSABILITÉS ENTRE ÉDITEUR DE SITE ET TIERS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 275
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - CLOUD COMPUTING - VERS DE NOUVEAUX HORIZONS DANS LE MONDE DES « NUAGES »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 277
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 278
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 279
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 280
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com