"Il faut interroger les fournisseurs sur les modalités de leur mise en conformité au Règlement général sur la protection des données"
> Qu'est-ce que le RGPD va changer pour les entreprises travaillant avec des sous-traitants implantés hors UE?
Le niveau de protection européen est renforcé
Pas grand-chose sur le plan des principes, les données personnelles des Européens ne peuvent pas être traitées hors UE à moins de bénéficier d'une des exceptions qui figuraient déjà dans la Directive de 1995: soit le pays d'accueil propose un niveau de protection légale équivalent (les cartes seront rebattues puisque le niveau de protection européen est renforcé), soit l'entreprise source signe avec le sous-traitant récepteur des clauses contractuelles types (qui elles aussi vont manifestement évoluer pour prendre en compte les nouveaux droits créés au bénéfice des personnes physiques), soit le groupe d'entreprises adopte des "binding corporate rules"qui devront donner force aux nouveaux principes et concepts du RGDP. C'est donc dans le détail de ces modalités d'encadrement des flux transfrontaliers de données que les nouveautés du RGDP devront être actualisées.
> Les gestionnaires de flottes ont de plus en plus recours à la géolocalisation des véhicules. Quelles précautions devront-ils prendre avec les données ainsi collectées pour ne pas être en infraction avec le RGPD?
La géolocalisation n'est qu'un traitement comme un autre. La localisation d'un véhicule géolocalise également son conducteur, et sauf exceptions il s'agira donc là d'un traitement de données personnelles qui devra être encadré, protégé et faire l'objet de limites.
Les dispositifs de géolocalisation devront donc répondre aux impératifs classiques de sécurité et de proportionnalité, mais ils devront également être remaniés pour intégrer de manière structurelle la privacy by design et le security by default. Il en va en fait ainsi de tous les traitements numériques déployés dans nos sociétés interconnectées: géolocalisation, vidéosurveillance, internet des objets, profilage marketing, surveillance aux fins de sécurité publique, exploitation des datalakes, etc.
L'auteur
Me Sylvain Staub est avocat associé au sein de Staub & Associés. Créé en 2004, le cabinet intervient en conseil et contentieux, pour les grands acteurs du marché de l'informatique, les pure players internet et les agences de communication... mais aussi pour de très nombreuses entreprises utilisatrices de ces technologies, PME et grands comptes, dans le cadre de leurs projets SI et de leur transformation digitale.
Depuis 2004, Staub & Associés est résolument dédié au droit de l'immatériel: droit des technologies de l'information, données personnelles, média numériques, réseaux, créations incorporelles.
Les avocats de Staub & Associés, issus de grands cabinets ou de grandes entreprises, sont notamment aguerris aux problématiques du RGDP, du cloud computing, des incidences de l'IoT, des projets blockchain, du licencing et de l'e-reputation.
Plus de détails sur le règlement européen de protection des données dans notre article "Contrats fournisseurs: la protection des données personnelles renforcée par le RGPD"
NEWSLETTER | Abonnez-vous pour recevoir nos meilleurs articles