webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

Règlement européen sur la protection des données personnelles : tous les contrats de sous-traitance doivent être modifiés avant le 25 mai 2018

Guide du sous-traitant (Edition Sept. 2017 – CNIL)

La CNIL a édité un guide pratique à destination des sous-traitants en septembre dernier afin de les accompagner dans la mise en œuvre des nouvelles obligations imposées par le règlement européen en matière de protection des données personnelles (le « Règlement »).

Ce qu’il faut retenir : La CNIL a édité un guide pratique à destination des sous-traitants en septembre dernier afin de les accompagner dans la mise en œuvre des nouvelles obligations imposées par le règlement européen en matière de protection des données personnelles (le « Règlement »). L’occasion pour la Commission de rappeler la nécessité de revoir l’ensemble des contrats conclus entre responsables et sous-traitants avant l’entrée en vigueur du Règlement.

Pour approfondir :

1) Qui est « Sous-traitant » ?

Est qualifié de sous-traitant – au sens du Règlement – toute personne physique ou morale, autorité publique, service ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement qui détermine les finalités et les moyens d’un traitement.

Ainsi, dès lors qu’une partie réalise une quelconque opération de traitement portant sur des données à caractère personnel telle que la saisie de ces données, leur hébergement, classement ou encore leur communication pour le compte et sur instruction de son donneur d’ordre, elle sera qualifiée de sous-traitant.

2) Quelles sont les nouvelles obligations ?

A l’aune de la loi Informatique et Libertés, les obligations des sous-traitants restent limitées dans la mesure où l’ensemble des obligations de la loi ne s’impose qu’aux responsables de traitement.

Ces derniers ont notamment l’obligation de conclure un contrat avec leurs sous-traitants afin de les obliger à assurer la sécurité et la confidentialité des données et prévoir leur intervention dans le strict périmètre des instructions qu’ils reçoivent. Toutefois, ils ne sont jamais déchargés de leurs obligations et restent responsables des manquements à l’obligation de sécurité même en cas de défaillance de leur sous-traitant.

Le Règlement, qui entrera en vigueur le 25 mai 2018, consacre désormais la responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles et particulièrement la responsabilité directe et spécifique des sous-traitants.

Ainsi, les sous-traitants ont désormais l’obligation :

  • de présenter « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (article 28 du règlement européen) ;
  • d’assister et de conseiller le responsable de traitement pour répondre à ses obligations prévues par le Règlement, notamment en matière de poursuite d’analyses d’impact, de notification de violation ou encore de réalisation d’audits ;
  • d’assister, d’alerter et de conseiller le responsable de traitement si une instruction constitue une violation des règles en matière de protection des données.

3) Que faut-il donc faire ?

Dans son nouveau guide, la CNIL conseille avant tout de vérifier si la désignation d’un délégué à la protection des données est requise.

En effet, celui-ci étant chargé de piloter la conformité au Règlement, sa désignation permettra de définir les différents chantiers de mise en conformité à mettre en œuvre.

Dans un second temps, responsables de traitement et sous-traitants doivent analyser et réviser leurs contrats.

S’il n’existait jusqu’alors aucun formalisme, les contrats entre responsables et sous-traitants doivent désormais définir l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement.

En outre, ces contrats doivent nécessairement contenir des mentions obligatoires relatives aux caractéristiques du traitement et aux obligations du sous-traitant.

En conséquence, au jour de l’entrée en vigueur du Règlement, tous les contrats de sous-traitance en cours d’exécution vont devoir comprendre l’ensemble de ces mentions obligatoires et prévoir une nouvelle répartition des rôles et des responsabilités entre les acteurs du traitement.

Tout manquement à ce formalisme est passible de sanctions pécuniaires à l’encontre des responsables de traitement et des sous-traitants, pouvant atteindre 10 000 000 euros ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

Il est donc vivement recommandé à tous les acteurs d’un traitement d’anticiper ces nouvelles obligations en intégrant dès à présent, par voie d’avenant, les clauses obligatoires en prévoyant qu’elles ne seront opposables qu’à compter du 25 mai 2018.

A rapprocher : Articles 28 et 83 du Règlement (UE) 2016/679 Du Parlement Européen et du Conseil du 27 avril 2016

VOIR AUSSI

Quand les hackers visent les experts en cybersécurité

Threat Analysis Group, 25 janvier 2021

- Vu : 1541

L’importance de mettre en place des procédures de gestion de crise en cas de cyberattaque est parfois sous-estimée par les entreprises. Pourtant, une telle précaution est primordiale vu le nombre de cyberattaques qui touchent même ces derniers temps les professionnels de la cybersécurité. C’est en effet ce qu’il ressort du rapport de l’équipe de travail de cybersécurité de Google, le Threat Analysis Group, qui explique qu’un groupe de hackers nord-coréens cible depuis plusieurs mois des chercheurs en cybersécurité. Plusieurs attaques ont d’ailleurs réussi et des recherches sur les vulnérabilités de ces spécialistes sont maintenant entre les mains de ces hackers. La cybersécurité est donc plus que jamais un enjeu à ne pas négliger.

> Lire la suite

La reconnaissance faciale : un enjeu de société pour le citoyen européen

Commission Européenne, 19 février 2020, Livre blanc consacrée à l’intelligence artificielle

- Vu : 1701

La CNIL s’est emparée du sujet considérant le 15 novembre 2019 que la reconnaissance faciale est de plus en plus présente dans le débat public aux niveaux national, européen et mondial. Cette technologie soulève des questions inédites touchant à des choix de société. La Commission Européenne l’a bien compris en publiant son livre blanc consacré à l’intelligence artificielle le 19 février 2020 dans lequel elle considère que cette technologie représente un usage à risque pour nos droits fondamentaux et qu’il est désormais temps de statuer sur une réglementation protectrice de la vie privée du citoyen dans le prolongement du RGPD.

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 8764
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 7796
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
Action en contrefaçon de droit d’auteur et preuve de la qualité d’auteur
16 novembre 2018 - Vu : 6261
La recevabilité de l’action en contrefaçon de droit d’auteur est subordonnée à la preuve de la qualité d’auteur ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 5764
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©