Accueil
Le quotidien du droit en ligne
-A+A
Article

Panorama rapide de l’actualité « Technologies de l’information » des semaines des 21 et 28 octobre 2024

Sélection de l’actualité  « Technologies de l’information » marquante des semaines des 21 et 28 octobre.

Données personnelles

La conservation des données de connexion à nouveau prolongée

  • Par un décret paru le 7 octobre 2024, le Premier ministre a ordonné aux opérateurs de communications électroniques, aux fournisseurs d’un service d’accès à Internet et aux fournisseurs de services d’hébergement, la conservation de certaines données de trafic et de localisation pour une durée d’un an, « aux fins de la sauvegarde de la sécurité nationale »
    S’agissant des opérateurs de communications électroniques, cette injonction concerne :
    - Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
    - Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
    - Les données techniques permettant d’identifier le ou les destinataires de la communication ;
    - Pour les opérations effectuées à l’aide de téléphones mobiles, les données permettant d’identifier la localisation de la communication.
    Concernant les fournisseurs d’un service d’accès à Internet, cette injonction s’applique :
    - Aux dates et heures de début et de fin de la connexion
    - Aux caractéristiques de la ligne de l’abonné ;
    Enfin, s’agissant des fournisseurs de services d’hébergement, cette injonction concerne :
    - L’identifiant attribué par le système d’information au contenu, objet de l’opération ;
    - La nature de l’opération ;
    - Les date et heure de l’opération.
    Ce décret s’inscrit dans la continuité de trois précédents décrets (n° 2021-1363, n° 2022-1327 et n° 2023-933) ayant ordonné la conservation de certaines catégories de données de connexion pour une durée d’un an. (Décr. n° 2024-901 du 7 oct. 2024, portant injonction, au regard de la menace grave et actuelle contre la sécurité nationale, de conservation pour une durée d’un an de certaines catégories de données de connexion)

Le responsable de traitement est responsable de ses sous-traitants : éclairage du Comité européen de la protection

  • Le 7 octobre 2024, le Comité européen de la protection des données (CEPD) a adopté un avis sur le recours à des sous-traitants à la demande de l’autorité de contrôle danoise. Une telle intervention du CEPD permet d’aboutir à une interprétation harmonisée du règlement général sur la protection des données (RGPD).
    Cet avis aborde huit questions relatives à l’application de l’article 28 du RGPD sur le sous-traitant. Ces questions sont relatives à l’interprétation de certaines obligations auxquelles sont soumis les responsables du traitement, c’est-à-dire les personnes physiques ou morales déterminant les finalités et les moyens d’un traitement, lorsqu’ils font appel à plusieurs sous-traitants et sous-traitants ultérieurs. Elles se rapportent également à des précisions sur la formulation des contrats de sous-traitance.
    D’une part, conformément à l’article 28, § 1er, du RGPD, le responsable de traitement doit veiller à disposer des informations nécessaires sur ses sous-traitants. Il est également tenu d’engager des sous-traitants qui présentent des « garanties de sécurité suffisantes » pour mettre en œuvre des mesures « appropriées » afin que le traitement réponde effectivement aux exigences du RGPD et assure la protection des droits des personnes concernées. Cette obligation doit être remplie indépendamment du niveau de risque estimé de l’opération.
    D’autre part, s’agissant de la formulation des contrats entre le responsable du traitement et le sous-traitant, ce dernier est tenu de traiter les données à caractère personnel uniquement sur instruction documentée du responsable du traitement, sauf si la loi de l’Union européenne ou d’un autre État membre n’en décide autrement. Dans ce cas, il faudra le préciser dans le contrat par la mention « sauf si la législation de l’Union ou d’un État membre à laquelle le sous-traitant est soumis l’exige ». Toutefois, lorsque des données à caractère personnel sont transférées en dehors de l’Espace Économique Européen (EEE), cette mention ne garantit pas automatiquement une conformité avec le RGPD. Il faudra alors établir une distinction entre les lois des pays...

Il vous reste 75% à lire.

Vous êtes abonné(e) ou disposez de codes d'accès :