Avertissement
À partir du 1er décembre 2014, ce blogue ne sera plus mis à jour.
Cynthia Chassigneux

28 août 2013

Europe: procédure de notification en cas de violation de données à caractère personnel

Afin d'harmoniser les procédures relatives à la notification d'une violation de données à caractère personnel, la Commission européenne a adopté le 24 juin 2013 le Règlement n°611/2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques

Ce règlement est entré en vigueur du 25 août 2013.

Ainsi, un fournisseur de services de communications électroniques accessibles au public doit notifier "toutes les violations de données à caractère personnel à l'autorité nationale compétente" (Règlement 611/2013, art. 2 par. 1)
Cette notification doit être faite "au plus tard vingt-quatre heures après le constat de la violation, si possible" (Règlement 611/2013, art. 2 par. 2) et, elle doit comprendre les informations prescrites à l'Annexe 1 du Règlement. 
Si les informations prévues à cette annexe "ne sont pas toutes disponibles et si la violation de données à caractère personnel exige une enquête plus approfondie", le fournisseur doit dans un premier temps transmettre une notification initiale et par la suite fournir "une seconde notification à l'autorité nationale compétente le plus rapidement possible et au plus tard trois jours après la notification initiale" (Règlement 611/2013, art. 2 par. 3 al. 1). 



Les informations devant être contenues dans la notification en vertu de l'Annexe 1 sont les suivantes: 
Identification du fournisseur
- nom du fournisseur
- identité et coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues
- mention indiquant s'il s'agit d'une première ou d'une deuxième notification
Information initiales sur la violation de données à caractère personnel (à compléter dans des notifications ultérieures le cas échéant)
- date et heure de l'incident (si elles sont connues; une estimation peut être fournies si nécessaire) et du constat de l'incident
- circonstances de la violation de données à caractère personnel (par exemple, perte, vol, reproduction)
- nature et teneur des données à caractère personnel concernées
- mesures techniques et d'organisation appliquées (ou à appliquer) par le fournisseur aux données à caractère personnel concernées
- recours à d'autres fournisseurs ayant joué un rôle (le cas échéant)
Informations supplémentaires sur la violation de données à caractère personnel
- résumé de l'incident à l'origine de la violation de données à caractère personnel (y compris le lieu physique de la violation et le moyen de stockage concerné)
- nombre d'abonnés ou de particuliers concernés
- conséquences et préjudices potentiels pour les abonnés ou particuliers
- mesures techniques et d'organisation prises par le fournisseur pour atténuer les préjudices potentiels
Notification supplémentaire éventuelle aux abonnés et aux particuliers
- contenu de la notification
- moyens de communication utilisés
- nombre d'abonnés ou de particuliers informés
Questions transnationales éventuelles
- violation de données à caractère personnel concernant des abonnés ou des particuliers dans d'autres États membres
- notification à d'autres autorités nationales compétentes 
Pour faciliter les démarches, "l'autorité nationale compétente met à la disposition de tous les fournisseurs établis dans l'État membre concerné un moyen électronique sécurisé de notification des violations de données à caractère personnel ainsi que des informations sur les procédures pour y accéder et l'utiliser" (Règlement 611/2013, art. 2 par. 4).

Pour répondre à cette exigence, la Commission nationale de l'informatique et des libertés (CNIL) a mis en place une téléprocédure qui "permet à la fois aux entreprises concernées de notifier ces failles auprès de la CNIL, aisément et rapidement, et à la Commission de mener à bien la mission qui lui a été confiée par le Législateur. Elle devra en effet accompagner les fournisseurs de services de communication électroniques dans l'appréciation et la mise en oeuvre de mesures de protection efficaces" (Source: CNIL, Article du 25 août 2013)

Par ailleurs, le Règlement prévoit également que lorsque la violation vise des abonnés ou des particuliers d'autres États membres, les autorités nationales doivent coopérer (Règlement 611/2013, art. 2, par. 5). Il prévoit aussi les éléments qui doivent être transmis à l'abonné ou au particulier visé par la violation (Règlement 611/2013, art. 3).

Et, en vertu de l'article 6 du Règlement, en 2016, la Commission procèdera à un examen de ce dernier étant entendu que "dans les trois ans suivant l'entrée en vigueur du présent règlement, la Commission établit un rapport sur l'application du règlement, son efficacité et son impact sur les fournisseurs, les abonnés et les particuliers. Sur la base de ce rapport, la Commission procède au réexamen du présent règlement".

À suivre donc ...

Pour aller plus loin, voir notamment: 

Aucun commentaire:

Enregistrer un commentaire

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.