Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 242

D

O

C

T

R

I

N

E

audits additionnels peuvent être
réalisés en cas de demande
d'une autorité de contrôle ou
incidents de sécurité majeurs,
dans les horaires normaux de
fonctionnement de l'entreprise,
sans que ceux-ci ne perturbent le
fonctionnement de l'entreprise,
réalisés par le responsable de
traitement ou un tiers auditeur,
qui ne serait le cas échéant pas
concurrent du sous-traitant, et
avec une information préalable
du sous-traitant dont le délai est à
prévoir contractuellement.
La spécificité de ces audits soulève
toutefois des questions propres
à la préservation de la confidentialité des données, le périmètre
précis de l'audit dit «données
personnelles», la compréhension
des enjeux «données personnelles» par les auditeurs, etc. Un tel
audit ne doit en effet pas être un
outil d'accès à tous les traitements
de données personnelles du
sous-traitant et doit se limiter aux
traitements mis en œuvre pour le
compte du responsable de traitement. Il peut ainsi être nécessaire
de préciser davantage dans le
contrat la clause d'audit «données
personnelles» sur un périmètre
précis afin d'éviter un accès
illimité aux données et une
atteinte à leur confidentialité.
Les audits sont en outre tout
particulièrement l'occasion pour
le responsable de traitement de
vérifier les mesures de sécurité
mises en place par le sous-traitant.

Sécurité
Sur le plan de la sécurité, des
mesures techniques et organisationnelles appropriées doivent être
déployées par le sous-traitant afin
de garantir un niveau de sécurité
adapté au risque. Le RGPD ne
prescrit cependant pas de liste de
mesures à déployer. Les mesures
de sécurité sont souvent convenues
entre les parties, par exemple
dans une annexe «sécurité». Cette
annexe indique généralement
que les mesures qu'elle contient sont
les mesures minimales à mettre

242

en œuvre et qu'en cas d'évolution
ou de mises à jour, le sous-traitant
est tenu d'appliquer les mesures de
sécurité les plus récentes.
L'annexe «sécurité» peut aussi
consister en une liste des mesures
rendues disponibles sur le site du
sous-traitant avec information
et validation du responsable de
traitement en cas de modification.
Une telle solution doit être utilisée
avec prudence, le détail des
mesures de sécurité ne devant
pas être rendu public afin d'éviter
de donner des informations sur
la sécurité pouvant faciliter toute
tentative de violation de données
personnelles.
La gestion des data breach, ou
violation de données personnelles,
est également un point particulièrement important en termes de
sécurité et tout particulièrement
s'agissant de l'information du
responsable de traitement par le
sous-traitant. L'article 28-3-f) du
RGPD indique uniquement que le
sous-traitant doit aider le responsable de traitement à remplir ses
obligations au titre des articles 33
et 34 du RGPD, à savoir informer le
responsable de traitement en cas
de violations de données personnelles pour qu'il le notifie à l'autorité
de contrôle compétente, et l'assister pour informer les personnes
concernées le cas échéant.
La question du délai de l'information en cas de data breach est
primordiale, l'article 33-2 du RGPD
énonçant que le sous-traitant doit
notifier au responsable du traitement toute violation de données
à caractère personnel «dans les
meilleurs délais» après en avoir
pris connaissance, sans davantage
préciser le délai. Si un délai est
négocié contractuellement entre
les parties, celui-ci doit être court
mais réaliste, et prendre en compte
les procédures internes effectivement déployées pour gérer un tel
évènement. En pratique, lorsqu'un
délai est contractuellement défini,
celui-ci est souvent de 24h ou
48h. Il implique que des mesures
EXPERTISES Juin 2020

et procédures soient en place au
sein de l'entreprise sous-traitante
et que les personnes à informer en
interne en cas de survenue d'un
tel évènement, les personnes en
charge de remonter l'information,
le délai d'information, la procédure
à suivre, etc. soient parfaitement
identifiés.
Le responsable de traitement doit
également identifier au sein de ses
équipes les personnes en charge
de réceptionner ces informations
et le format. A nouveau, la question
du destinataire de l'information
doit se poser  : Quel destinataire  ? Adresse e-mail générique
ou adresse e-mail propre à des
salariés dans l'entreprise  ? Mise
en place d'une ligne téléphonique
dédiée, par exemple sous forme
d'astreintes  ? Désignation d'une
équipe dédiée ?, etc.
Les
modalités
d'information
sont en outre importantes. Il
est souvent demandé aux soustraitants d'apporter les informations demandées par le RGPD pour
les notifications ainsi que par les
formulaires de notification, à savoir
a minima la nature de la violation
subie, le nombre de personnes
concernées, les conséquences
anticipées et les mesures prises
pour y remédier.
La clause du contrat relative à
l'information du responsable de
traitement par le sous-traitant doit
donc être détaillée et faire l'objet
d'une attention particulière.

Droits
des personnes concernées
Enfin, la clause relative à la gestion
des demandes d'exercice de leurs
droits par les personnes concernées
(article 28-3-e) du RGPD), tels que
leurs droits d'accès, de rectification,
d'effacement, etc., doit détailler les
missions du sous-traitant lorsqu'il
reçoit de telles demandes. Cette
situation peut se présenter lorsque
le sous-traitant est identifiable par
les personnes concernées, par
exemple dans le cas de société de
gestion externalisée de clientèle.



Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia

Couverture
Editorial & Sommaire
FOCUS - DE LA SMART CITY À LA SMART CITY-ZEN
EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW - LES RACINES DE NOTRE DÉPENDANCE TECHNOLOGIQUE
DOCTRINE
DONNÉES PERSONNELLES - STRATÉGIE DE CONTRÔLE 2020 DE LA CNIL : LE CAP VA-T-IL CHANGER ?
DONNÉES PERSONNELLES - DECONFINEMENT ET DONNEES DE SANTE : SORTEZ COUVERTS !
DONNÉES PERSONNELLES - ET SI ON SE TROMPAIT DE CIBLE ?
DONNÉES PERSONNELLES - LES RÈGLES DANS L’ENTREPRISE EN PÉRIODE DE CRISE SANITAIRE
CONTRATS ET RGPD - CONTRATS ENTRE RESPONSABLES DE TRAITEMENTS ET SOUS-TRAITANTS LES MARGES DE MANOEUVRE POSSIBLES
PROSPECTIVE - AUTOMATISATION DE L’ÉVALUATION DES PRÉJUDICES CORPORELS
CONTRATS INFORMATIQUES - PLANS DE CONTINUITÉ D’ACTIVITÉ ET REPRISE APRÈS DÉSASTRE
PROSPECTIVE - LES LEGATECH, DU CAPITOLE À LA ROCHE TARPÉIENNE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - Couverture
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - Editorial & Sommaire
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - FOCUS - DE LA SMART CITY À LA SMART CITY-ZEN
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 205
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 206
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 208
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 209
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 210
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - INTERVIEW - LES RACINES DE NOTRE DÉPENDANCE TECHNOLOGIQUE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 212
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 213
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 214
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 215
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - STRATÉGIE DE CONTRÔLE 2020 DE LA CNIL : LE CAP VA-T-IL CHANGER ?
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 217
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 218
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 219
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 220
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - DECONFINEMENT ET DONNEES DE SANTE : SORTEZ COUVERTS !
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 222
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 223
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 224
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 225
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 226
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 227
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 228
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - ET SI ON SE TROMPAIT DE CIBLE ?
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 230
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - LES RÈGLES DANS L’ENTREPRISE EN PÉRIODE DE CRISE SANITAIRE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 232
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 233
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 234
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 235
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 236
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 237
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 238
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - CONTRATS ET RGPD - CONTRATS ENTRE RESPONSABLES DE TRAITEMENTS ET SOUS-TRAITANTS LES MARGES DE MANOEUVRE POSSIBLES
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 240
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 241
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 242
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 243
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - PROSPECTIVE - AUTOMATISATION DE L’ÉVALUATION DES PRÉJUDICES CORPORELS
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 245
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 246
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 247
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - CONTRATS INFORMATIQUES - PLANS DE CONTINUITÉ D’ACTIVITÉ ET REPRISE APRÈS DÉSASTRE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 249
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - PROSPECTIVE - LES LEGATECH, DU CAPITOLE À LA ROCHE TARPÉIENNE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 251
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 252
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com