Le Journal officiel de l’Union européenne a publié le 26 juin 2013 un règlement qui apporte des précisions sur la procédure que doivent suivre les opérateurs de services de télécommunications et d’internet en cas de vol de données à caractère personnel de leurs clients (Règl. n° 611/2013, 24 juin 2013).
Rappelons que la directive « Vie privée et communications électroniques » (Dir. n° 2009/136), prévoit qu’en cas de violation de données à caractère personnel, le fournisseur doit avertir de ce vol l’autorité nationale compétente (en France la CNIL) et, dans certaines circonstances, l’abonné ou le particulier concerné.
Le règlement fixe le délai « au plus tard vingt-quatre heures après le constat de la violation, si possible » dont dispose le fournisseur pour notifier à la CNIL cette violation. Il est également prévu que dans certaines conditions, cette information peut être transmise plus tardivement.
Le constat d’une violation de données à caractère personnel est considéré comme établi dès lors que le fournisseur dispose d’assez d’éléments indiquant qu’il s’est produit un incident de sécurité ayant compromis des données à caractère personnel pour justifier une notification conformément au présent règlement.
Le fournisseur fournit les informations suivantes à l’autorité nationale compétente.
Contenu de la notification à l’autorité nationale compétente
Partie 1
Identification du fournisseur
1. Nom du fournisseur
2. Identité et coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues
3 . Mention indiquant s’il s’agit d’une première ou d’une deuxième notification
Informations initiales sur la violation de données à caractère personnel (à compléter dans des notifications ultérieures le cas échéant)
4. Date et heure de l’incident (si elles sont connues; une estimation peut être fournie si nécessaire) et du constat de l’incident
5. Circonstances de la violation de données à caractère personnel (par exemple, perte, vol, reproduction)
6. Nature et teneur des données à caractère personnel concernées
7. Mesures techniques et d’organisation appliquées (ou à appliquer) par le fournisseur aux données à caractère personnel concernées
8. Recours à d’autres fournisseurs ayant joué un rôle (le cas échéant)***
Partie 2
Informations supplémentaires sur la violation de données à caractère personnel
9. Résumé de l’incident à l’origine de la violation de données à caractère personnel (y compris le lieu physique de la violation et le moyen de stockage concerné)
10 . Nombre d’abonnés ou de particuliers concernés
11 . Conséquences et préjudices potentiels pour les abonnés ou particuliers
12 Mesures techniques et d’organisation prises par le fournisseur pour atténuer les préjudices potentiels
Notification supplémentaire éventuelle aux abonnés ou aux particuliers
13 .Contenu de la notification
14. Moyens de communication utilisés
15. Nombre d’abonnés ou de particuliers informés
Questions transnationales éventuelles
16. Violation de données à caractère personnel concernant des abonnés ou des particuliers dans d’autres États membres
17. Notification à d’autres autorités nationales compétentesFR 26.6.2013 Journal officiel de l’Union européenne L 173/7
Par ailleurs, la directive n° 2009/136, énonce que « lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d’un abonné ou d’un particulier », le fournisseur doit avertir l’abonné ou le particulier concerné de la violation.
Le fournisseur fournit les informations suivantes à l’abonné ou au particulier
Contenu de la notification à l’abonné ou au particulier
1. Nom du fournisseur
2. Identité et coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues
3. Résumé de l’incident à l’origine de la violation de données à caractère personnel
4. Date estimée de l’incident
5. Nature et teneur des données à caractère personnel concernées, conformément à l’article 3, paragraphe 2
6. Conséquences vraisemblables de la violation de données à caractère personnel pour l’abonné ou le particulier concerné, conformément à l’article 3, paragraphe 2
7. Circonstances de la violation de données à caractère personnel, conformément à l’article 3, paragraphe 2
8. Mesures prises par le fournisseur pour remédier à la violation de données à caractère personnelMesures recommandées par le fournisseur pour atténuer les préjudices
FR 26.6.2013 Journal officiel de l’Union européenne L 173/8
Le règlement décrit les éléments devant notamment être pris en compte : la nature et la teneur des données, les conséquences vraisemblables de la violation pour la personne et les circonstances de la violation.
Soulignons que selon le règlement, cette notification à l’abonné ou au particulier doit être effectuée « sans retard injustifié après constat de la violation de données à caractère personnel ». Toutefois, cette notification peut être retardée dans certaines circonstances (risque que la notification nuise à l’efficacité de l’enquête sur la violation).
Le règlement prévoit également une dérogation à cette notification, si le fournisseur prouve qu’ « il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation de sécurité ». « De telles mesures de protection technologiques rendent les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès », est-il précisé.
Le règlement ne prévoit pas de mesures de protection technologiques spécifiques justifiant de déroger à l’obligation de notifier les violations de données à caractère personnel aux abonnés ou aux particuliers car, avec le temps, de telles mesures peuvent évoluer en fonction des progrès techniques. La Commission devrait toutefois être en mesure de publier une liste indicative de ces mesures de protection technologiques spécifiques, selon les pratiques actuelles.
Le fait de recourir au cryptage ou au hachage ne devrait pas être considéré comme suffisant en soi pour que les fournisseurs puissent prétendre, plus largement, avoir rempli l’obligation générale de sécurité énoncée à l’article 17 de la directive 95/46/CE. À ce titre, les fournisseurs devraient mettre en oeuvre les mesures techniques et d’organisation appropriées pour prévenir, détecter et empêcher les violations de données à caractère personnel. Les fournisseurs devraient examiner tout risque pouvant subsister après la réalisation de contrôles afin de comprendre où les violations de données à caractère personnel sont susceptibles de se produire..
Soulignons que ce texte, entrera en vigueur le 25 août 2013, il sera alors obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Pour en savoir plus :
– Règlement (UE) n° 611/2013 de la Commission du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques –
– Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques
Sources:
JOUE, 2013, L 173, 26 juin – eur-lex.europa.eu/JOIndex.do?ihmlang=fr
