3 août 2018

Analyse d'impact, sous-traitant... contenu du décret du 1er août appliquant la loi Données personnelles du 20 juin 2018

Le premier décret n° 2018-687 du 1er août 2018 pris en application de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles qui modifie la loi Informatique et Libertés est paru ce matin au JO du 3 août.*

Pour en dresser une rapide présentation, outre les mesures concernant la CNIL qui sont à lire dans le billet "Objet et portée de l'ensemble du décret du 1er août 2018 portant application de la loi Données personnelles", le décret traite - en son article 25 ci-après - de l'analyse d'impact "lorsque un type de traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, ainsi que du "contenu du contrat ou de l'acte juridique liant le sous-traitant à l'égard du responsable du traitement et des règles applicables aux responsables conjoints du traitement".

1. En ce qui concerne l'analyse d'impact, celle-ci doit comporter :

- au moins une description générale des opérations de traitement envisagées, 
- une évaluation des risques pour les droits et libertés des personnes concernées, 
- les mesures envisagées pour faire face à ces risques, 
- les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect des dispositions du chapitre XIII de la même loi, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes touchées.

2. Quant au sous-traitant des données personnelles, ce dernier :

- veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- aide le responsable du traitement, par tout moyen approprié, à veiller au respect des dispositions de la section 3 du chapitre XIII de la même loi ;
- selon le choix du responsable du traitement et sous réserve d'un éventuel archivage dans l'intérêt public, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation des services de traitement des données, et détruit les copies existantes ;
- met à la disposition du responsable du traitement toutes les informations nécessaires pour apporter la preuve du respect de l'article 70-10 précité et du présent article ;
- respecte, pour recruter un autre sous-traitant, les conditions prévues au 2 de l'article 28 du règlement (UE) 2016/679 du 27 avril 2016 précité, au dernier alinéa de l'article 70-10 précité et au présent article.
Cet acte juridique revêt la forme écrite, y compris la forme électronique.

L'article 24 du décret traite quant à lui des transferts de données à caractère personnel vers les états n'appartenant pas a l'union européenne.

Pour avoir plus d'information sur l'ensemble du texte, un coup d'oeil à la notice du décret, parue en même temps que le texte, permet d'embrasser son objet et sa portée (V. Objet et portée de l'emsemble du décret du 1er août 2018 portant application de la loi Données personnelles, Lexgo).

* * * * * * *
Article 25 du décret
"Le titre VIII est ainsi rédigé :

« Titre VIII  « DISPOSITIONS APPLICABLES AUX TRAITEMENTS RELEVANT DU CHAPITRE XIII DE LA LOI DU 6 JANVIER 1978

« Chapitre Ier « Dispositions générales


« Art. 110. - Le présent titre s'applique, le cas échéant par dérogation aux autres dispositions du présent décret, aux traitements relevant du chapitre XIII de la loi du 6 janvier 1978 susvisée.« Les dispositions des articles 83 à 85 du présent décret sont applicables aux traitements de données à caractère personnel mentionnés à l'article 70-3 de la même loi.

« Art. 110-1. - Le fait qu'un type de traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques nécessitant la réalisation d'une analyse d'impact en application de l'article 70-4 de la loi du 6 janvier 1978 susvisée est, outre s'il porte sur des données mentionnées au I de l'article 8 de cette loi, déterminé par le recours aux nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement.« L'analyse d'impact contient au moins une description générale des opérations de traitement envisagées, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face à ces risques, les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect des dispositions du chapitre XIII de la même loi, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes touchées.« Lorsque la Commission nationale de l'informatique et des libertés est consultée préalablement à la mise en œuvre du traitement, le responsable du traitement ou le sous-traitant lui fournit l'analyse d'impact relative à la protection des données et, sur demande, toute autre information afin de lui permettre d'apprécier la conformité du traitement et, en particulier, les risques pour la protection des données à caractère personnel de la personne concernée et les garanties qui s'y rapportent.« Lorsque la Commission nationale de l'informatique et des libertés est d'avis que le traitement constituerait une violation des dispositions du chapitre XIII de la même loi, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, elle fournit, dans le délai prévu par l'article 28 de la loi du 6 janvier 1978 susvisée, un avis écrit au responsable du traitement, et le cas échéant au sous-traitant. Elle peut également conseiller le responsable du traitement et faire usage des pouvoirs visés au e du 2° du I de l'article 11 et aux I, 2° et 4° du II et 1° à 3° du III de l'article 45 de la même loi.

« Art. 110-2. - Le contrat ou l'autre acte juridique liant le sous-traitant à l'égard du responsable du traitement, mentionné à l'article 70-10 de la loi du 6 janvier 1978 susvisée, prévoit notamment que le sous-traitant :« 1° Veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;« 2° Aide le responsable du traitement, par tout moyen approprié, à veiller au respect des dispositions de la section 3 du chapitre XIII de la même loi ;« 3° Selon le choix du responsable du traitement et sous réserve d'un éventuel archivage dans l'intérêt public, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation des services de traitement des données, et détruit les copies existantes ;« 4° Met à la disposition du responsable du traitement toutes les informations nécessaires pour apporter la preuve du respect de l'article 70-10 précité et du présent article ;« 5° Respecte, pour recruter un autre sous-traitant, les conditions prévues au 2 de l'article 28 du règlement (UE) 2016/679 du 27 avril 2016 précité, au dernier alinéa de l'article 70-10 précité et au présent article.« Cet acte juridique revêt la forme écrite, y compris la forme électronique.

« Art. 110-3. - Le 1 de l'article 26 du règlement (UE) 2016/679 du 27 avril 2016 précité est applicable en ce qu'il concerne l'exercice des droits de la personne concernée prévus par la section 3 du chapitre XIII de la loi du 6 janvier 1978 susvisée et la communication des informations visées à l'article 70-18 de la même loi.« Toutefois, la désignation, parmi les responsables conjoints du traitement, du point de contact pour les personnes concernées est obligatoire. Cette désignation doit être mentionnée dans l'acte instaurant le traitement, ou lorsque ce traitement n'est pas mis en œuvre pour le compte de l'Etat, dans l'accord conclu entre les responsables conjoints du traitement.« Si le point de contact n'a pas été désigné ou si sa désignation n'a pas été rendue publique, la personne concernée peut exercer ses droits à l'égard de et contre chacun des responsables du traitement.


« Chapitre II« Droits de la personne concernée

« Art. 110-4. - Le responsable du traitement prend des mesures raisonnables pour fournir toute information visée à l'article 70-18 de la loi du 6 janvier 1978 susvisée. Il procède à toute communication à la personne concernée, prévue par les articles 70-16, 70-19 à 70-21 de la même loi, d'une façon concise, compréhensible et aisément accessible, en des termes clairs et simples.

« Art. 110-5. - Lorsque la personne concernée forme une demande, y compris par voie électronique, tendant à la mise en œuvre des droits prévus au II de l'article 70-18 et aux articles 70-19 et 70-20 de la loi du 6 janvier 1978 susvisée, elle justifie de son identité par tout moyen et précise l'adresse à laquelle doit parvenir la réponse. Elle peut exercer ses droits en utilisant des données d'identité numériques lorsque ces données sont nécessaires et estimées suffisantes par le responsable du traitement pour authentifier ses utilisateurs.« Lorsque le responsable du traitement a des doutes raisonnables quant à l'identité de la personne, il peut demander les informations supplémentaires apparaissant nécessaires, y compris, lorsque la situation l'exige, la photocopie d'un titre d'identité portant la signature du titulaire.« Ces demandes peuvent être présentées par une personne spécialement mandatée à cet effet par le demandeur, après justification de son mandat, de son identité et de l'identité du mandant.« Lorsque la demande présentée sur place ne peut être satisfaite immédiatement, il est délivré à son auteur un avis de réception, daté et signé.« Les dispositions des quatrième et cinquième alinéas de l'article 92 du présent décret sont applicables.« Le responsable du traitement répond par écrit à la demande présentée par l'intéressé dans le délai de deux mois suivant sa réception et dans les conditions prévues à l'article 95 du présent décret.« Si la demande est imprécise ou ne comporte pas tous les éléments permettant au responsable du traitement de procéder aux opérations qui lui sont demandées, celui-ci invite le demandeur à les lui fournir avant l'expiration du délai prévu à l'alinéa précédent. Le responsable du traitement y procède par lettre remise contre signature ou par voie électronique. La demande de compléments d'information suspend le délai prévu à l'alinéa précédent.« Lorsque le responsable du traitement ne s'est pas prononcé dans le délai de deux mois, la demande est réputée rejetée.

« Art. 110-6. - Sans préjudice des dispositions spécifiques applicables à certains traitements, les demandes formées en application de l'article 70-22 de la loi du 6 janvier 1978 susvisée sont régies par les dispositions des articles 86 à 88 du présent décret. Sous peine d'irrecevabilité de sa demande, la personne concernée doit justifier auprès de la Commission nationale de l'informatique et des libertés soit de la réponse écrite du responsable du traitement attestant de la restriction de ses droits intervenue en application des II ou III de l'article 70-21 de la même loi, soit de la demande qu'elle a adressée à ce dernier plus de deux mois auparavant en application de l'article 110-5 du présent décret.« Lorsque les informations contenues dans l'un des traitements visés au premier alinéa font l'objet d'une procédure judiciaire, celles-ci ne peuvent être communiquées que si ladite procédure est close.


« Chapitre III« De la coopération

« Art. 110-7. - Pour la mise en œuvre de l'article 49-2 de la loi du 6 janvier 1978 susvisée, les dispositions des 2, 3, 6 et 7 de l'article 61 du règlement (UE) 2016/679 du 27 avril 2016 précité sont applicables. »
 

Aucun commentaire:

Enregistrer un commentaire