Depuis le 25 août 2013, les fournisseurs de services électroniques au public doivent signaler à la CNIL les violations de sécurité qui auraient porté atteinte à des données à caractère personnel, directement sur le site de la CNIL, grâce à une nouvelle télé-procédure. En effet, la CNIL a ainsi mis en place cette plateforme pour leur permettre d’effectuer rapidement ces démarches.
La mise en place de mesures de sécurité des données à caractère personnel est un enjeu important que ce soit pour la valorisation de ces données comme pour obtenir la confiance des personnes dont les données sont collectées.
Bien plus qu’un enjeu de compétitivité, cette obligation de sécurité est également une obligation légale et dès que vous mettez en œuvre un traitement de données à caractère personnel, vous êtes tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité de ces données.
Depuis l’ordonnance n°2011-1012 du 24 août 2011 relative aux communications électroniques créant un article 34bis dans la loi Informatique et libertés, cette obligation est renforcée pour les fournisseurs de services électroniques au public qui doivent :
- notifier la CNIL, sans délai, de toute violation de données à caractère personnel mises en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public ;
- lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique, le fournisseur avertit également, sans délai, l’intéressé.
- tenir à jour un inventaire des violations qui soit conforme aux exigences de la loi.
- Pour rappel, une « violation de la sécurité » est entendue ici comme « toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques. »
Cependant la procédure de notification n’était pas établie ainsi la Commission européenne a contraint les « CNIL » européennes à mettre en place un système de notification sécurisée par voie dématérialisée.
Dans ce contexte, pour la rentrée 2013, la CNIL a mis en place sur son site internet, une plateforme sur laquelle les fournisseurs de services électroniques au public pourront, via une nouvelle télé-procédure, procéder aux notifications de violations de données à caractère personnel.
Quelle est la conséquence de cette nouvelle obligation ?
Depuis le 25 août 2013, date d’entrée en vigueur du règlement européen du 24 juin 2013, les fournisseurs de services au public doivent recourir à cette nouvelle fonctionnalité pour remplir leur obligation de notification.
Sur qui pèse cette obligation ?
La loi fait peser cette obligation sur les fournisseurs de services de communications électroniques accessibles au public. On pense donc aux FAI (fournisseurs d’accès à internet).
Mais il ne faut pas oublier que cette obligation peut s’étendre aux entreprises qui mettent à disposition du public un accès wifi ou tout autre service de communications électroniques. On se rappellera en ce sens un arrêt du 4 février 2005 où la cour d’appel de Paris a considéré la BNP comme prestataire de services Internet car elle disposait d’adresses électroniques et gérait des « flux de navigation ».
Quel risque ?
Le non-respect des obligations nées de la loi Informatique et libertés, et a fortiori de cette nouvelle obligation inscrite à l’article 34bis, peut être frappé de sanctions par la CNIL (Article 45 loi Informatique et libertés).
Ces sanctions sont par exemple, le simple avertissement, la mise en demeure publiée ou encore des peines d’amendes pour un montant maximum de 5 % du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 300 000 €.
Pour rappel, de manière plus large et conformément à l’article 34 de la loi Informatique et libertés, tout responsable de traitement doit notamment empêcher que les données qu’il traite soient déformées, endommagées, ou que des tiers non autorisés y aient accès. A défaut, il risque une peine de cinq ans d’emprisonnement et de 300 000 € d’amende (Article 226-17 du Code pénal).
Nos recommandations :
- Auditer vos traitements pour s’assurer de leur conformité globale à la loi Informatique et libertés
- Optimiser votre temps en rédigeant une matrice conforme aux exigences de la Cnil afin de tenir une journalisation des incidents/violations et garder à jour la liste des violations de données
- Automatiser les envois à la Cnil pour éviter les retards
- Prévoir une procédure type pour la gestion des relations avec les personnes dont les données auraient pu être violées.