Violations de données personnelles

violation

Face aux exigences européennes, la CNIL a mis en ligne une nouvelle téléprocédure pour notifier les violations de données personnelles

Le règlement européen n° 611/2013 relatif aux failles de sécurité (dit  » data breach « ) a été publié le 24 juin 2013. Il impose aux autorités européennes de protection des données de mettre à disposition des internautes un moyen électronique sécurisé dédié aux notifications de violations de données personnelles. Pour répondre à cette exigence, la Commission Nationale de l’Informatique et des Libertés (CNIL) a mis en ligne sur son site internet une nouvelle téléprocédure.

Depuis la réforme entamée des directives dites « Paquet télécom » en 2009, l’Union Européenne impose aux fournisseurs de services de communications électroniques l’obligation de notifier les violations de données personnelles aux autorités nationales compétentes et, dans certains cas, aux personnes concernées. Cette obligation a été transposée en droit français à l’article 34 bis de la loi « Informatique et Libertés ». Dès qu’il constate une violation de données personnelles (c’est-à-dire une destruction, une perte, une altération, une divulgation ou un accès non autorisé à des données), le fournisseur de service doit désormais en informer la CNIL sans délai. Il doit également informer les personnes dont les données ont fait l’objet de la violation, sauf s’il a mis en œuvre préalablement des mesures techniques qui rendent les données incompréhensibles à toute personne non autorisée à y avoir accès. Le défaut de notification à la CNIL et aux personnes concernées peut faire l’objet de sanctions pénales (5 ans d’emprisonnement et 300 000 € d’amende).

Actuellement, cette obligation de notification s’impose uniquement aux fournisseurs de services devant être déclarés auprès de l’ARCEP (fournisseurs d’accès à internet, de téléphonie fixe ou mobile, notamment), lorsque la violation intervient dans le cadre de leur activité de fourniture de services de communications électroniques. Ainsi, l’intrusion dans la base clients d’un fournisseur d’accès à Internet (FAI) est considérée comme une violation de données soumise à notification, mais pas le piratage du fichier des ressources humaines de ce même FAI.

Le règlement européen en date du 24 juin 2013 définit notamment le contenu, les délais et les modalités de ces notifications. Il impose aux autorités compétentes de mettre à disposition des fournisseurs de service de communications électroniques un moyen électronique sécurisé de notification. C’est dans ce contexte que la CNIL a mis en place une téléprocédure, accessible depuis son site internet. Cette procédure permet à la fois aux entreprises concernées de notifier ces failles auprès de la CNIL. A compter de la date d’entrée en vigueur du règlement européen, à savoir le 25 août 2013, les fournisseurs de services doivent recourir à cette nouvelle fonctionnalité pour remplir leur obligation de notification.

[Illustration: Photos Libres]

Design Downloaded from free wordpress themes | free website templates | Free Textures