En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 03/07/2017
    Cloud Week 2017

    La Cloud Week 2017 se déroule du 3 au 7 juillet 2017 dans différents lieux…

    en détail En détail...
  • 26/06/2017
    OW2con’17

    OW2 anime une communauté open source mondiale dédiée à l'essor de logiciels libres et un…

    en détail En détail...
Celge_leaderboard

5 questions sur le Règlement Européen de Protection des Données Personnelles

qualiac_hautecouture_300x250

Le règlement européen 2016 / 679 du 27 avril 2016 sur la protection des données personnelles sera applicable à partir du 25 mai 2018 dans tous les pays de l’Union européenne. Pour les entreprises, le compte à rebours a commencé. Il convient d’être en mesure de faire face au nouveau cadre juridique européen avant sa date d’application. Qu’est-ce que cela implique pour les entreprises ? Marc-Antoine Ledieu, Avocat à la Cour, spécialiste du droit des nouvelles technologies et des contrats, ainsi que Frans Imbert-Vier, PDG d’Ubcom, Agence d’audit & de conseil en Cyber-Sécurité et Gouvernance des organisations répondent à 5 questions.

 

Quelles sont les règles d’application territoriale ?

Ce nouveau règlement européen sera d’application directe dans les 28 pays membres de l’UE. Il n’y aura pas de loi nationale de transposition. Ce Règlement s’appliquera à l’identique en « écrasant » les différentes législations nationales existantes en la matière.

Concrètement, que prévoit ce Règlement ?

-Si les personnes dont les données personnelles sont collectées résident sur le territoire de l’UE (quelle que soit la localisation de celui qui collecte) : le Règlement 2016/679 s’appliquera obligatoirement à cette collecte et à tout traitement ultérieur des données ainsi collectées.

-Si le prestataire qui collecte ou traite des données personnelles est situé sur le territoire de l’UE : le Règlement 2016/679 s’appliquera également obligatoirement, même pour des données collectées hors UE. Cela devrait permettre à des non-résidents de l’UE d’obtenir une protection là ou leur propre pays de résidence n’en propose pas forcément.

Quels sont les droits et obligations des entreprises qui collectent et traitent des données personnelles sur le territoire de l’UE ?

L’idée de fond de cette règlementation est d’imposer une transparence lors de la collecte et de tout autre « traitement » des données personnelles. Chaque “maitre de fichiers” sera dans l’obligation de tenir un registre des traitements opérés et de prendre des mesures « effectives » de sécurisation technique des traitements. Un régime nouveau d’information obligatoire sera mis en place pour contrer toute violation des traitements. Le régime des sanctions est substantiellement “boosté” pour envisager des amendes pouvant aller jusqu’à 4% du chiffre d’affaires mondial des récalcitrants.

Existe-t-il un régime particulier applicable aux « sous-traitants » ?

Les prestataires de service en mode SaaS et les hébergeurs seront tous “sous-traitants” au sens de la nouvelle réglementation européenne. Et c’est à leur niveau que se situent les plus grands changements avec l’arrivée de cette législation. Lorsqu’une entreprise qui collecte des données personnelles fera appel à un prestataire de service en mode SaaS, elle devra veiller à ce que son « sous-traitant » respecte ses directives ainsi que les obligations spécifiques qui s’imposeront aussi à ses sous-traitants. Sous la directive 95/46 (dont l’abrogation est fixée au 25 mai 2018) il suffisait que le prestataire (sous-traitant) s’engage par contrat à ne traiter les données du “maitre du fichier” que sur instructions écrites de ce dernier. Le prestataire sous-traitant devait simplement sécuriser techniquement les traitements auxquels il procédait. A l’avenir, les choses vont devoir être formalisées pour plus de transparence dans les relations entre le “maitre du fichier” et son prestataire SaaS. L’hypothèse de la sous-sous–traitance, extrêmement courante aujourd’hui dans l’industrie du logiciel en mode SaaS, est également directement impactée par cette règlementation. Car on ne trouve aujourd’hui plus guère de service SaaS sans un contrat d’hébergement avec un tiers au contrat SaaS. Ce tiers, c’est l’hébergeur qui est sous-traitant d’un service au profit des prestataires SaaS. Et Bruxelles n’a pas oublié ces professionnels dont le rôle est déterminant dans le traitement et le stockage des données personnelles.

Quels sont les droits des “personnes concernées” (celles dont les données sont collectées et traitées) ?

Les personnes physiques dont les données sont collectées doivent d’abord pouvoir s’assurer qu’elles ont donné leur consentement à la collecte et au traitement ultérieur de leurs données. Le Règlement 2016/679 définit sans ambiguïté la notion de consentement : « toute manifestation de volonté, libre, spécifique, informée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif explicite, que des données [personnelles] la concernant fassent l’objet d’un traitement« . Déjà, à ce stade, il faut noter que le consentement ne pourra plus être présumé (principe de l’opt-out) mais bien exigé de manière positive et au préalable (principe de l’opt-in).

Le Règlement pose ensuite une série de critères que doivent respecter tous les traitements de données personnelles : les données doivent être traitées de manière « licite, loyale et transparente » pour la personne concernée. Ce critère de transparence est la grande nouveauté de ce texte. Ce texte précise en plus que les données personnelles ne peuvent être collectées et traitées « pour des finalités déterminées, explicites et légitimes, et ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités« .

Pour ce qui est des droits accordés aux personnes dont les données personnelles sont traitées, le nouveau Règlement confirme l’existence du droit d’accès, du droit à la rectification et du droit à s’opposer à un traitement. Sont nouveaux le droit à l’effacement (droit à l’oubli), le droit à la limitation du traitement et le droit à la portabilité des données.

Enfin, le Règlement consacre de nouvelles dispositions sur le « profilage » des personnes dont les données sont traitées et encadre à ce titre de manière originale les « décisions individuelles automatisées » comprenant un « profilage« .

Y a-t- il un durcissement des obligations de sécurité ?

Tout à fait ! Et c’est une des grandes nouveautés du Règlement 2016/679. En parallèle de l’obligation de tenue d’un « registre des activités de traitement » de données personnelles, les professionnels qui collectent des données personnelles ont une obligation de sécurisation des traitements auxquels ils procèdent.

A ce titre, chaque responsable du traitement et chaque sous-traitant doit mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Ces mesures techniques peuvent prendre plusieurs formes :

-la pseudonymisation et le chiffrement des données ;

-des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services de traitement ;

-des moyens permettant de rétablir la disponibilité des données en cas d’incident physique ou technique ;

-une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles destinées à assurer la sécurité du traitement.

Le renforcement des obligations de sécurité passe également par la transparence de la communication sur les atteintes aux données. C’est pourquoi le Règlement impose aux responsables de traitement une obligation d’information des autorités de contrôle en cas d’atteinte à la sécurité du traitement, qui entraîne une destruction, une perte, une altération, une divulgation ou un accès non autorisé aux données.

Cette obligation d’information en cas d’atteinte aux conditions normales de stockage et d’accès aux données s’impose à l’identique à tout sous-traitant (on pense aux prestataires de service en mode SaaS ou aux hébergeurs) qui a l’obligation d’informer le responsable du traitement de toute atteinte à la sécurité, à charge pour le responsable d’en informer à son tour son autorité de contrôle.

 

Notez cet article

Laisser un commentaire

La première étude sur le contrat électronique

-Un contrat électronique coûte 5,45€, soit 50% du coût d'un contrat papier! -Les 6 raisons pour lesquelles les entreprises passent au contrat électronique -Le e-contrat améliore également la validité juridique par rapport au contrat papier

Lire le livre blanc

Sondage

Attaques cyber: les DSI prennent-elles trop de temps pour mettre en place les mises à jour Windows ?

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Juridique - Droit à la déconnexion : la charte informatique comme outil de régulation ?

    Depuis le 1er janvier 2017, tout salarié bénéficie d’un droit à la déconnexion en application…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Data Owner, Data Manager, Chief Data Officer… mythe ou réalité ?

    L’importance croissante de la maîtrise de la donnée a valorisé les fonctions directement liées à…

    > En savoir plus...
Etudes/Enquêtes
  • Digitalisation de la fonction RH : au-delà de la paie et de la gestion des temps

    Qu’elle soit liée au cœur de métier des RH ou à l’entreprise dans son ensemble,…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
elo_processus pointe_skyscraper
Agenda
livres blancs
Les Livres
Blancs
  • L’ e-paiement, à l’heure de l’expérience client

    > Voir le livre
  • Déploiement de petites salles serveurs et de micro-datacenters

    > Voir le livre
elo_processus pointe_skyscraper