Le législateur européen a imposé aux fournisseurs de services de communications électroniques l'obligation de notifier les violations de données personnelles aux autorités nationales compétentes et, dans certains cas, aux personnes concernées. Cette obligation a été transposée en droit français à l'article 34 bis de la loi "Informatique et Libertés" (loi n° 78-17 du 6 janvier 1978
N° Lexbase : L8794AGS). Dès qu'il constate une violation de données personnelles, le fournisseur de service doit désormais en informer la CNIL sans délai. Il doit également informer les personnes dont les données ont fait l'objet de la violation, sauf s'il a mis en oeuvre préalablement des mesures techniques qui rendent les données incompréhensibles à toute personne non autorisée à y avoir accès. Le défaut de notification à la CNIL et aux personnes concernées peut faire l'objet de sanctions pénales (5 ans d'emprisonnement et 300 000 euros d'amende). Actuellement, cette obligation de notification s'impose uniquement aux fournisseurs de services devant être déclarés auprès de l'ARCEP (fournisseurs d'accès à internet, de téléphonie fixe ou mobile, notamment), lorsque la violation intervient dans le cadre de leur activité de fourniture de services de communications électroniques. Ainsi, l'intrusion dans la base clients d'un fournisseur d'accès à internet (FAI) est considérée comme une violation de données soumise à notification, mais pas le piratage du fichier des ressources humaines de ce même FAI. Le 24 juin 2013, la Commission européenne a publié le Règlement européen dit "
data breach" (Règlement (UE) n° 611/2013du 24 juin 2013
N° Lexbase : L2794IXR), qui harmonise les procédures de notification des violations aux autorités de protection des données personnelles et aux personnes concernées. Il définit notamment le contenu, les délais et les modalités de ces notifications. Plus particulièrement, le Règlement impose aux autorités compétentes de mettre à disposition des fournisseurs de service de communications électroniques un moyen électronique sécurisé de notification. C'est dans ce contexte que la CNIL a mis en place une téléprocédure, accessible depuis son site internet. Cette procédure permet à la fois aux entreprises concernées de notifier ces failles auprès de la CNIL, aisément et rapidement, et à la Commission de mener à bien la mission qui lui a été confiée par le législateur. Elle devra en effet accompagner les fournisseurs de services de communications électroniques dans l'appréciation et la mise en oeuvre de mesures de protection efficaces. Depuis la date d'entrée en vigueur du Règlement européen, à savoir le 25 août 2013, les fournisseurs de services doivent recourir à cette nouvelle fonctionnalité pour remplir leur obligation de notification (source :
article de la CNIL du 23 août 2013).
© Reproduction interdite, sauf autorisation écrite préalable