Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 271

et au respect des mesures de sécurité
à effectuer. Il convient dès lors de
prévoir dans le contrat de prestations
de services liant le responsable du
traitement à son sous-traitant une
clause stipulant que le sous-traitant
met en œuvre les mesures techniques
et d'organisation appropriées pour
protéger les données à caractère
personnel. Mais in fine, le responsable
du traitement verra sa responsabilité
engagée dans l'hypothèse où le
traitement de données à caractère
personnel ne respecte pas la
réglementation applicable.
A compter du 25 mai 2018 et de l'application du RGPD, les contrats devront
prévoir le partage de responsabilité
entre le responsable du traitement et le
sous-traitant, ce dernier pouvant donc
voir sa responsabilité engagée plus
largement. Des clauses contractuelles
types pour la rédaction des clauses de
responsabilité en matière de données
à caractère personnel dans les contrats
de prestations de services doivent être
élaborées par la Commission européenne et pourront servir de modèle/
standard lors de l'élaboration et
négociation de contrats.

Un développement accru de
l'obligation de sécurité des
données
Le sous-traitant sera, tout comme le
responsable du traitement, soumis
à une obligation de sécurité des
données, prévue à l'article 32 du
RGPD, considérablement renforcée par
rapport à ce que prévoit actuellement
la loi 78-17 du 6 janvier 1978 modifiée
en 2004. Les mesures adoptées par
les deux acteurs se devront d'être
adaptées à la nature des données et
aux risques encourus. Cette obligation
aura un rôle clé dans les contrats liant
les deux acteurs, et toute violation
pourra
entraîner
des
sanctions
administratives, voire pénales.
L'article précité énonce les mesures
pouvant être déployées pour assurer
cette sécurité :

1. la pseudonymisation et le
chiffrement des données à
caractère personnel ;

2. des moyens permettant de garantir
la confidentialité, l'intégrité,
la disponibilité et la résilience
constantes des systèmes et des
services de traitement ;
3. des moyens permettant de rétablir
la disponibilité des données à
caractère personnel et l'accès à
celles-ci dans des délais appropriés
en cas d'incident physique ou
technique ;
4. une procédure visant à tester, à
analyser et à évaluer régulièrement
l'efficacité des mesures techniques
et organisationnelles pour assurer
la sécurité du traitement ».
Ces dispositions doivent inciter les
entreprises à être plus attentives à leur
politique de sécurité, et à la modifier
si besoin afin de toujours offrir une
sécurité optimale.
L'article 33 du RGPD met, par ailleurs, à
la charge du responsable du traitement
une obligation de notification à l'autorité
de contrôle nationalement compétente,
en l'espèce la Cnil pour la France, de
toute violation de données à caractère
personnel. Et ce dans : « Les meilleurs
délais et, si possible, 72 heures au plus
tard après avoir pris connaissance, à
moins que la violation en question ne
soit pas susceptible d'engendrer un
risque pour les droits et libertés des
personnes physiques ».
Le responsable devra, par ailleurs,
notifier les failles de sécurité ayant
eu des conséquences directement
à la personne concernée par cette
violation, si celles-ci font courir un
risque d'atteinte à sa vie privée. Il est
utile de préciser que l'obligation de
notification des failles de sécurité est
une responsabilité qui pèse sur le
responsable du traitement.
Le sous-traitant qui subira une violation
des données à caractère personnel qu'il
traite pour le compte du responsable
du traitement sera tenu à l'égard de
ce dernier d'un devoir d'information
qui l'obligera à lui indiquer dans les
meilleurs délais après en avoir pris
connaissance la faille qu'il a subie
afin que le responsable du traitement
puisse prendre les mesures précitées
dans le délai indiqué en direction de

EXPERTISES JUILLET/AOÛT 2017

l'autorité de contrôle et/ou des individus
concernés.
Dans l'hypothèse où la notification à
l'autorité de contrôle par le responsable
du traitement n'a pas lieu dans les 72
heures, elle devra être accompagnée
des motifs du retard.
S'agissant du contenu de la notification
des failles de sécurité à l'autorité
compétente, ladite notification devra
contenir :
■ une description de la nature de la
violation de données à caractère
personnel y compris, si possible,
les catégories et le nombre
approximatif de personnes
concernées par la violation
et les catégories et le nombre
approximatif d'enregistrements
de données à caractère personnel
concernés ;
■ la communication du nom et
des coordonnées du délégué
à la protection des données
ou d'un autre point de contact
auprès duquel des informations
supplémentaires peuvent être
obtenues ;
■ une description des conséquences
probables de la violation de
données à caractère personnel ;
■ une description des mesures
prises ou que le responsable du
traitement propose de prendre
pour remédier à la violation de
données à caractère personnel,
y compris, le cas échéant, les
mesures pour en atténuer les
éventuelles conséquences
négatives.

L'obligation de désigner
un Data Protection Officer
(ci-après DPO) ou Délégué à la
protection des données (DPD)
L'article 37 du RGPD européen impose
au responsable et au sous-traitant de
désigner un Délégué à la protection
des données personnelles dans les 3
cas suivants :
1. le traitement est effectué par une
autorité publique ou un organisme
public, à l'exception des juridictions
agissant dans l'exercice de leur
fonction juridictionnelle ;

271



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426

Couverture
Editorial & Sommaire
FOCUS LE CHAMBOULE-TOUT POLITIQUE
MAGAZINE L'ACTUALITÉ DU DROIT ET DE LA JURISPRUDENCE
INTERVIEW TESTER LA TRANSPARENCE DES ALGORITHMES
DOCTRINE
BASES DE DONNÉES PUBLIQUES - DE « NOTREFAMILLE » A LA LOI LEMAIRE
CYBERATTAQUES - MACRONLEAKS ET DIFFUSION DE FAUSSES INFORMATIONS
DONNÉES PERSONNELLES - CONSEILS PRATIQUES POUR L’APPLICATION DU RGPD
DONNÉES PERSONNELLES - « COOKIES TIERS » : POUR UNE CLARIFICATION DES RESPONSABILITÉS ENTRE ÉDITEUR DE SITE ET TIERS
CLOUD COMPUTING - VERS DE NOUVEAUX HORIZONS DANS LE MONDE DES « NUAGES »
JURISPRUDENCE BASES DE DONNÉES PUBLIQUES - NOTREFAMILLE.COM / DEPT. DE LA VIENNE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - FOCUS LE CHAMBOULE-TOUT POLITIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - MAGAZINE L'ACTUALITÉ DU DROIT ET DE LA JURISPRUDENCE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 245
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 246
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 247
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 248
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 249
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 250
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 251
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - INTERVIEW TESTER LA TRANSPARENCE DES ALGORITHMES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 253
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 254
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 255
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 256
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 257
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - JURISPRUDENCE BASES DE DONNÉES PUBLIQUES - NOTREFAMILLE.COM / DEPT. DE LA VIENNE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 259
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 260
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 261
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - CYBERATTAQUES - MACRONLEAKS ET DIFFUSION DE FAUSSES INFORMATIONS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 263
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 264
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 265
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 266
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 267
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 268
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - DONNÉES PERSONNELLES - CONSEILS PRATIQUES POUR L’APPLICATION DU RGPD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 270
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 271
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 272
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 273
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - DONNÉES PERSONNELLES - « COOKIES TIERS » : POUR UNE CLARIFICATION DES RESPONSABILITÉS ENTRE ÉDITEUR DE SITE ET TIERS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 275
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - CLOUD COMPUTING - VERS DE NOUVEAUX HORIZONS DANS LE MONDE DES « NUAGES »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 277
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 278
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 279
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 280
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com