Commission européenne: lancement d'une consultation sur les règles de pratiques de notification des violations de données à caractère personnel

En vertu de la directive dite "vie privée et communications électroniques" (modifiée par la D2009/136/CE), en cas de violation de données à caractère personnel, les fournisseurs d'un service de communications électroniques accessible au public doivent avertir leur autorité nationale et les personnes concernées.

Dans le but d'harmoniser les pratiques au sein de l'Union européenne, la Commission lance une consultation sur les règles pratiques de notification des violations de données à caractère personnel. Cette consultation "porte sur les éléments suivants:

- circonstances: description de la manière dont les organisations respectent, ou comptent respecter, la nouvelle obligation découlant de la réglementation relative aux télécommunications; description des types de violations qui entraîneraient l'obligation de notification à l'abonné ou au particulier, et exemples de mesures de protection susceptibles de rendre les données incompréhensibles;

- procédures: délai de notification, modes de notification et procédure applicables à un cas particulier;

- formats: contenu de la notification aux autorités nationales et aux particuliers, formats standard actuels et faisabilité d'un format européen standard."

(Source: EUROPA, Stratégie numérique - Communiqué de presse) 

En effet, comme l'indique la vice-présidente de la Commission européeenne:

"l'obligation de notifier toute violation de données est un élément important de la nouvelle réglementation européenne relative aux télécommunications. Une certaine cohérence doit cependant prévaloir au sein de l'Union pour éviter aux entreprises de se perdre dans un labyrinthe de régimes nationaux. Je souhaite instaurer des conditions équitables pour tous, fournir des garanties aux consommateurs et offrir aux entreprises des solutions concrètes."

(Source: EUROPA, Stratégie numérique - Communiqué de presse)

La consultation se termine le 9 septembre 2011, à suivre donc.

Pour plus de détails, voir notamment:

• EUROPA, "Stratégie numérique: la Commission lance une consultation sur les règles pratiques de notification des violation de données à caractère personnel", Communiqué de presse, IP/11/887, 14 juillet 2011.

--------

(16-07-2011) Cette problématique relative aux failles de sécurité est présente dans les rapports annuels de l'Information Commissioner's Office de Royaume-Uni et le Privacy Commissioner's Office de la Nouvelle-Zélande. 

• INFORMATION COMMISSIONER'S OFFICE, "Businesses must open their doors to audits, says ICO", News Release, July 6, 2011.
• "UK ICO's Annual Report Shows Private Sector Companies Reported Most Security Breaches in 2010/11", Privacy and Information Security Law Blog, July 7, 2011.
• PRIVACY COMMISSIONER'S OFFICE, "Data Protection Commissioner launches his Annual Report for 2010 including special investigation on insurance data", Media Release, May 30, 2011.