Dernière actualité : Report on the review of AVMSD adopted by the Culture Committee [Lire la suite]
ARTICLE
Notification des failles de sécurité : harmonisation des procédures dans l’UE

Le règlement (UE) n°611/2013 de la Commission européenne du 24 juin 2013 relatif aux failles de sécurité (dit « data breach ») est entré en vigueur le 25 août 2013. Par ce règlement, la Commission a adopté des mesures techniques d’application concernant les circonstances, le format et les procédures relatives aux exigences en matière d’information et de notification visées à l’article 4 de la directive 2002/58/CE, aux termes duquel les fournisseurs de services de communications électroniques accessibles au public, ci-après fournisseurs, sont tenus de notifier les violations de données à caractère personnel aux autorités nationales compétentes et, dans certains cas, aux abonnés et aux particuliers concernés.

Les violations de données à caractère personnel sont définies à l’article 2, point i), de la directive 2002/58/CE comme des violations de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés de données à caractère personnel.

Le constat d’une violation de données à caractère personnel est considéré comme établi dès lors que le fournisseur dispose d’assez d’éléments indiquant qu’il s’est produit un incident de sécurité ayant compromis des données à caractère personnel pour justifier une notification. Le fournisseur notifie toutes les violations de données à caractère personnel à l’autorité nationale compétente au plus tard vingt-quatre heures après le constat de la violation, si possible en transmettant les informations relatives à l’identification du fournisseur, à la violation de données à caractère personnel mentionnée à l’annexe I du règlement. Dans le cas où toutes les informations requises ne seraient pas toutes disponibles, une procédure de plusieurs notifications est prévue. Si la violation de données à caractère personnel porte atteinte à des abonnés ou des particuliers d’États membres autres que celui de l’autorité nationale compétente à laquelle la violation a été notifiée, ladite autorité informe les autres autorités nationales concernées.

Le fournisseur notifie également la violation de données à caractère personnel à l’abonné ou au particulier, lorsque cette violation est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’un particulier. L’article 3 précise les éléments à prendre en compte pour déterminer une telle violation (la nature et la teneur des données concernées, les conséquences vraisemblables de cette violation, les circonstances de la violation). Sa notification est effectuée sans retard injustifié après son constat, par des moyens de communication qui garantissent une réception rapide de l’information et qui sont sécurisés conformément aux règles de l’art. Elle doit contenir les informations visées à l’annexe II et être rédigée dans une langue claire et aisément compréhensible.

Dans certains cas exceptionnels, s’il y a un risque que la notification à l’abonné ou au particulier nuise à l’efficacité de l’enquête sur la violation de données à caractère personnel, le fournisseur est autorisé par l’autorité nationale compétente, à retarder la notification jusqu’au moment où elle juge possible de la notifier.

Si malgré les efforts raisonnables déployés, après le constant de la violation des données à caractère personnel, le fournisseur n’est pas en mesure d’identifier toutes les personnes susceptibles d’être lésées par la violation de données à caractère personnel, il peut, dans le même délai, informer ces personnes par des avis dans de grands médias nationaux ou régionaux dans les États membres concernés. Ces avis contiennent les informations visées à l’annexe II, si nécessaire sous une forme condensée.

Par ailleurs, la notification d’une violation de données à caractère personnel à l’abonné ou au particulier concerné n’est pas nécessaire si le fournisseur a mis en œuvre des mesures de protection technologiques appropriées rendant les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès.

Dans le cas où un fournisseur fait appel à un autre fournisseur qui n’est pas directement lié par contrat avec les abonnés, le premier est tenu d’informer immédiatement le second en cas de violation de données à caractère personnel.

Ce règlement impose aux autorités compétentes de mettre à disposition des fournisseurs de service de communications électroniques un moyen électronique sécurisé de notification. La CNIL a mis en place une téléprocédure, accessible depuis son site internet. Cette procédure devra accompagner les fournisseurs de services de communications électroniques dans l\'appréciation et la mise en œuvre de mesures de protection efficaces. Depuis le 25 août 2013, les fournisseurs de services doivent recourir à cette nouvelle fonctionnalité pour remplir leur obligation de notification.

*RÈGLEMENT (UE) N o 611/2013 DE LA COMMISSION du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques, JO L n°173, du 26/06/2013, p.2 et suivantes

Mentions légales | Réalisation site : Opium Bleu