webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation en vidéo Notre approche Nos départements Nos avocats Nos publications Nos distinctions Nous contacter Agenda / évènements Nos événements Autres événements Photothèque / Vidéothèque Ouvrages de référence Lexique Newsletters Rechercher Nos sites internet Distribution Concurrence consommation Immobilier IT / IP Corporate Restructuring International Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre des réseaux
L'actualité juridique et économique des réseaux de distribution par Simon Associés
simon associés simon associés
Accueil >IT / IP
 

Règlement européen sur la protection des données personnelles : tous les contrats de sous-traitance doivent être modifiés avant le 25 mai 2018

Guide du sous-traitant (Edition Sept. 2017 – CNIL)

La CNIL a édité un guide pratique à destination des sous-traitants en septembre dernier afin de les accompagner dans la mise en œuvre des nouvelles obligations imposées par le règlement européen en matière de protection des données personnelles (le « Règlement »).



Ce qu’il faut retenir : La CNIL a édité un guide pratique à destination des sous-traitants en septembre dernier afin de les accompagner dans la mise en œuvre des nouvelles obligations imposées par le règlement européen en matière de protection des données personnelles (le « Règlement »). L’occasion pour la Commission de rappeler la nécessité de revoir l’ensemble des contrats conclus entre responsables et sous-traitants avant l’entrée en vigueur du Règlement.

Pour approfondir :

1) Qui est « Sous-traitant » ?

Est qualifié de sous-traitant – au sens du Règlement – toute personne physique ou morale, autorité publique, service ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement qui détermine les finalités et les moyens d’un traitement.

Ainsi, dès lors qu’une partie réalise une quelconque opération de traitement portant sur des données à caractère personnel telle que la saisie de ces données, leur hébergement, classement ou encore leur communication pour le compte et sur instruction de son donneur d’ordre, elle sera qualifiée de sous-traitant.

2) Quelles sont les nouvelles obligations ?

A l’aune de la loi Informatique et Libertés, les obligations des sous-traitants restent limitées dans la mesure où l’ensemble des obligations de la loi ne s’impose qu’aux responsables de traitement.

Ces derniers ont notamment l’obligation de conclure un contrat avec leurs sous-traitants afin de les obliger à assurer la sécurité et la confidentialité des données et prévoir leur intervention dans le strict périmètre des instructions qu’ils reçoivent. Toutefois, ils ne sont jamais déchargés de leurs obligations et restent responsables des manquements à l’obligation de sécurité même en cas de défaillance de leur sous-traitant.

Le Règlement, qui entrera en vigueur le 25 mai 2018, consacre désormais la responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles et particulièrement la responsabilité directe et spécifique des sous-traitants.

Ainsi, les sous-traitants ont désormais l’obligation :

  • de présenter « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (article 28 du règlement européen) ;
  • d’assister et de conseiller le responsable de traitement pour répondre à ses obligations prévues par le Règlement, notamment en matière de poursuite d’analyses d’impact, de notification de violation ou encore de réalisation d’audits ;
  • d’assister, d’alerter et de conseiller le responsable de traitement si une instruction constitue une violation des règles en matière de protection des données.

3) Que faut-il donc faire ?

Dans son nouveau guide, la CNIL conseille avant tout de vérifier si la désignation d’un délégué à la protection des données est requise.

En effet, celui-ci étant chargé de piloter la conformité au Règlement, sa désignation permettra de définir les différents chantiers de mise en conformité à mettre en œuvre.

Dans un second temps, responsables de traitement et sous-traitants doivent analyser et réviser leurs contrats.

S’il n’existait jusqu’alors aucun formalisme, les contrats entre responsables et sous-traitants doivent désormais définir l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement.

En outre, ces contrats doivent nécessairement contenir des mentions obligatoires relatives aux caractéristiques du traitement et aux obligations du sous-traitant.

En conséquence, au jour de l’entrée en vigueur du Règlement, tous les contrats de sous-traitance en cours d’exécution vont devoir comprendre l’ensemble de ces mentions obligatoires et prévoir une nouvelle répartition des rôles et des responsabilités entre les acteurs du traitement.

Tout manquement à ce formalisme est passible de sanctions pécuniaires à l’encontre des responsables de traitement et des sous-traitants, pouvant atteindre 10 000 000 euros ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

Il est donc vivement recommandé à tous les acteurs d’un traitement d’anticiper ces nouvelles obligations en intégrant dès à présent, par voie d’avenant, les clauses obligatoires en prévoyant qu’elles ne seront opposables qu’à compter du 25 mai 2018.

A rapprocher : Articles 28 et 83 du Règlement (UE) 2016/679 Du Parlement Européen et du Conseil du 27 avril 2016

VOIR AUSSI

Paiement en ligne frauduleux : obligations pesant sur l’utilisateur

Cass. com., 25 octobre 2017, n°16-11.644

- Vu : 2560

La Cour de cassation renforce l’obligation de prudence pesant sur l’internaute ayant donné les informations relatives à sa carte bancaire, à l’exception du code confidentiel, à une personne malveillante, se présentant comme son opérateur de téléphonie mobile.

> Lire la suite

L’œuvre collective, le salarié et l’absence de liberté de création

Cass. soc, 22 septembre 2015, pourvoi n°13-18.803

- Vu : 5082

L’absence de liberté de création s’oppose à la reconnaissance de droits d’auteur à une personne physique au profit de la qualification d’œuvre collective au bénéfice de la personne morale à l’initiative de la création qui en supervise la réalisation et en assure la diffusion.

> Lire la suite


Les plus vus...
Le nouvel article 1231-5 du code civil relatif à la clause pénale
14 mai 2016 - Vu : 105838
Parmi les nombreuses dispositions qu'elle contient, la réforme du droit des contrats introduit un nouvel article 1231-5 au ...
> Lire la suite
Rappels concernant l’obligation périodique de statuer sur une augmentation de capital réservée aux salariés
15 janvier 2013 - Vu : 87879
La collectivité des associés d’une société par actions doit, lorsque le rapport de gestion présenté à l’AGO annuelle indique ...
> Lire la suite
L'efficacité des pactes d'actionnaires
1 décembre 2008 - Vu : 43685
Stabilité du capital et de l’actionnariat, contrôle de l’entreprise ou des modalités de son transmission, tels sont les ...
> Lire la suite
Clauses de durée et poursuite des relations commerciales dans les contrats de distribution
1 décembre 2012 - Vu : 43298
La poursuite des relations commerciales dans les contrats de franchise, et plus généralement dans les contrats de distribution, ...
> Lire la suite
Copyright ©2016 La lettre des Réseaux | Création et réalisation Webcd©