Le Quotidien du 11 septembre 2013 : Internet

[Brèves] Notifications de violation de données personnelles : une nouvelle téléprocédure

Réf. : Article de la CNIL du 23 août 2013

Lecture: 2 min

N8457BTE

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Brèves] Notifications de violation de données personnelles : une nouvelle téléprocédure. Lire en ligne : https://www.lexbase.fr/article-juridique/9390810-breves-notifications-de-violation-de-donnees-personnelles-une-nouvelle-teleprocedure
Copier

le 12 Septembre 2013

Le législateur européen a imposé aux fournisseurs de services de communications électroniques l'obligation de notifier les violations de données personnelles aux autorités nationales compétentes et, dans certains cas, aux personnes concernées. Cette obligation a été transposée en droit français à l'article 34 bis de la loi "Informatique et Libertés" (loi n° 78-17 du 6 janvier 1978 N° Lexbase : L8794AGS). Dès qu'il constate une violation de données personnelles, le fournisseur de service doit désormais en informer la CNIL sans délai. Il doit également informer les personnes dont les données ont fait l'objet de la violation, sauf s'il a mis en oeuvre préalablement des mesures techniques qui rendent les données incompréhensibles à toute personne non autorisée à y avoir accès. Le défaut de notification à la CNIL et aux personnes concernées peut faire l'objet de sanctions pénales (5 ans d'emprisonnement et 300 000 euros d'amende). Actuellement, cette obligation de notification s'impose uniquement aux fournisseurs de services devant être déclarés auprès de l'ARCEP (fournisseurs d'accès à internet, de téléphonie fixe ou mobile, notamment), lorsque la violation intervient dans le cadre de leur activité de fourniture de services de communications électroniques. Ainsi, l'intrusion dans la base clients d'un fournisseur d'accès à internet (FAI) est considérée comme une violation de données soumise à notification, mais pas le piratage du fichier des ressources humaines de ce même FAI. Le 24 juin 2013, la Commission européenne a publié le Règlement européen dit "data breach" (Règlement (UE) n° 611/2013du 24 juin 2013 N° Lexbase : L2794IXR), qui harmonise les procédures de notification des violations aux autorités de protection des données personnelles et aux personnes concernées. Il définit notamment le contenu, les délais et les modalités de ces notifications. Plus particulièrement, le Règlement impose aux autorités compétentes de mettre à disposition des fournisseurs de service de communications électroniques un moyen électronique sécurisé de notification. C'est dans ce contexte que la CNIL a mis en place une téléprocédure, accessible depuis son site internet. Cette procédure permet à la fois aux entreprises concernées de notifier ces failles auprès de la CNIL, aisément et rapidement, et à la Commission de mener à bien la mission qui lui a été confiée par le législateur. Elle devra en effet accompagner les fournisseurs de services de communications électroniques dans l'appréciation et la mise en oeuvre de mesures de protection efficaces. Depuis la date d'entrée en vigueur du Règlement européen, à savoir le 25 août 2013, les fournisseurs de services doivent recourir à cette nouvelle fonctionnalité pour remplir leur obligation de notification (source : article de la CNIL du 23 août 2013).

© Reproduction interdite, sauf autorisation écrite préalable

newsid:438457

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note


Cookies juridiques

Considérant en premier lieu que le site requiert le consentement de l'utilisateur pour l'usage des cookies; Considérant en second lieu qu'une navigation sans cookies, c'est comme naviguer sans boussole; Considérant enfin que lesdits cookies n'ont d'autre utilité que l'optimisation de votre expérience en ligne; Par ces motifs, la Cour vous invite à les autoriser pour votre propre confort en ligne.

En savoir plus