webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

Règlement européen sur la protection des données personnelles : tous les contrats de sous-traitance doivent être modifiés avant le 25 mai 2018

Guide du sous-traitant (Edition Sept. 2017 – CNIL)

La CNIL a édité un guide pratique à destination des sous-traitants en septembre dernier afin de les accompagner dans la mise en œuvre des nouvelles obligations imposées par le règlement européen en matière de protection des données personnelles (le « Règlement »).

Ce qu’il faut retenir : La CNIL a édité un guide pratique à destination des sous-traitants en septembre dernier afin de les accompagner dans la mise en œuvre des nouvelles obligations imposées par le règlement européen en matière de protection des données personnelles (le « Règlement »). L’occasion pour la Commission de rappeler la nécessité de revoir l’ensemble des contrats conclus entre responsables et sous-traitants avant l’entrée en vigueur du Règlement.

Pour approfondir :

1) Qui est « Sous-traitant » ?

Est qualifié de sous-traitant – au sens du Règlement – toute personne physique ou morale, autorité publique, service ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement qui détermine les finalités et les moyens d’un traitement.

Ainsi, dès lors qu’une partie réalise une quelconque opération de traitement portant sur des données à caractère personnel telle que la saisie de ces données, leur hébergement, classement ou encore leur communication pour le compte et sur instruction de son donneur d’ordre, elle sera qualifiée de sous-traitant.

2) Quelles sont les nouvelles obligations ?

A l’aune de la loi Informatique et Libertés, les obligations des sous-traitants restent limitées dans la mesure où l’ensemble des obligations de la loi ne s’impose qu’aux responsables de traitement.

Ces derniers ont notamment l’obligation de conclure un contrat avec leurs sous-traitants afin de les obliger à assurer la sécurité et la confidentialité des données et prévoir leur intervention dans le strict périmètre des instructions qu’ils reçoivent. Toutefois, ils ne sont jamais déchargés de leurs obligations et restent responsables des manquements à l’obligation de sécurité même en cas de défaillance de leur sous-traitant.

Le Règlement, qui entrera en vigueur le 25 mai 2018, consacre désormais la responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles et particulièrement la responsabilité directe et spécifique des sous-traitants.

Ainsi, les sous-traitants ont désormais l’obligation :

  • de présenter « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (article 28 du règlement européen) ;
  • d’assister et de conseiller le responsable de traitement pour répondre à ses obligations prévues par le Règlement, notamment en matière de poursuite d’analyses d’impact, de notification de violation ou encore de réalisation d’audits ;
  • d’assister, d’alerter et de conseiller le responsable de traitement si une instruction constitue une violation des règles en matière de protection des données.

3) Que faut-il donc faire ?

Dans son nouveau guide, la CNIL conseille avant tout de vérifier si la désignation d’un délégué à la protection des données est requise.

En effet, celui-ci étant chargé de piloter la conformité au Règlement, sa désignation permettra de définir les différents chantiers de mise en conformité à mettre en œuvre.

Dans un second temps, responsables de traitement et sous-traitants doivent analyser et réviser leurs contrats.

S’il n’existait jusqu’alors aucun formalisme, les contrats entre responsables et sous-traitants doivent désormais définir l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement.

En outre, ces contrats doivent nécessairement contenir des mentions obligatoires relatives aux caractéristiques du traitement et aux obligations du sous-traitant.

En conséquence, au jour de l’entrée en vigueur du Règlement, tous les contrats de sous-traitance en cours d’exécution vont devoir comprendre l’ensemble de ces mentions obligatoires et prévoir une nouvelle répartition des rôles et des responsabilités entre les acteurs du traitement.

Tout manquement à ce formalisme est passible de sanctions pécuniaires à l’encontre des responsables de traitement et des sous-traitants, pouvant atteindre 10 000 000 euros ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

Il est donc vivement recommandé à tous les acteurs d’un traitement d’anticiper ces nouvelles obligations en intégrant dès à présent, par voie d’avenant, les clauses obligatoires en prévoyant qu’elles ne seront opposables qu’à compter du 25 mai 2018.

A rapprocher : Articles 28 et 83 du Règlement (UE) 2016/679 Du Parlement Européen et du Conseil du 27 avril 2016

VOIR AUSSI

Transparence et vigilance en matière de cookies sur les sites internet

CE, 10ème - 9ème ch. réunies, 6 juin 2018, n°412589

- Vu : 297

L’éditeur d’un site internet qui utilise des cookies doit s’assurer d’informer de manière claire et transparente ses internautes des finalités des cookies déposés à l’occasion d’une visite sur son site et de définir et respecter une durée de conservation proportionnée à la finalité de ces cookies.

> Lire la suite

Le droit des sociétés plus fort que la protection des données personnelles ?

CJUE, 9 mars 2017, affaire n°C 398/15

- Vu : 217

L’accessibilité perpétuelle aux données relatives aux personnes physiques figurant sur le registre des sociétés susceptible, en tant que telle, de limiter la portée du droit à l’oubli, est justifiée par des intérêts collectifs et légitimes supérieurs aux intérêts individuels.

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 3092
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 2660
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 2595
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
Protéger ses marques efficacement - 15 mai 2018 - Nantes
16 avril 2018 - Vu : 1502
SIMON ASSOCIÉS organise un petit-déjeuner sur le thème de la protection des marques le 15 mai 2018 à ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©