Le 19 juillet 2011, la Commission européenne a fait parvenir à plusieurs États, dont la France, une mise en demeure pour défaut de transposition de la réglementation en matière de télécommunications (billet). Les États avaient deux mois pour répondre et, la France l'a fait en publiant le 26 août 2011, l'Ordonnance 2011-1012 relative aux communications électroniques dans le Journal Officiel (JORF n° 0197).
Cette ordonnance modifie notamment le code de la consommation, le code pénal, le code des postes et des communications électroniques, la loi pour la confiance dans l'économie numérique et la loi relative à l'informatique, aux fichiers et aux libertés.
Concernant cette dernière loi, l'ordonnance vient préciser l'obligation d'information quant aux cookies. En effet, l'article 32(II) devra désormais se lire de la façon suivante:
Art. 32. II. Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :- de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;- des moyens dont il dispose pour s'y opposer.Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :- soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;- soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.(Source: Ordonnance 2011-1012)
Par ailleurs, l'ordonnance vient ajouter un article 34bis à cette loi. Désormais, toute violation quant à la sécurité des données à caractère personnel devra être déclarée à la CNIL. Ce nouvel article se lit comme suit:
Art. 34 bis. I. Le présent article s'applique au traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d'identification.Pour l'application du présent article, on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la fourniture au public de services de communications électroniques.II. En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l'informatique et des libertés.Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d'un abonné ou d'une autre personne physique, le fournisseur avertit également, sans délai, l'intéressé.La notification d'une violation des données à caractère personnel à l'intéressé n'est toutefois pas nécessaire si la Commission nationale de l'informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation.A défaut, la Commission nationale de l'informatique et des libertés peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d'informer également les intéressés.III. Chaque fournisseur de services de communications électroniques tient à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises pour y remédier et le conserve à la disposition de la commission.(Source: Ordonnance 2011-1012)
Pour plus de détails sur cette ordonnance, voir:
- Ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques, JORF n°0197 du 26 août 2011, p. 14473.
(19-09-2011) COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS, "Transposition du Paquet télécom : renforcement des droits des internautes et signalement des failles de sécurité à la CNIL", Article, 19 septembre 2011.
(21-09-2011) Arnaud DIMEGLIO, "L'ordonnance du 24 août renforce la protection des consommateurs", Droit et Nouvelles Technologies, 19 août 2011.
(02-11-2011) COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS, "Ce que le "Paquet Télécom" change pour les cookies", Article, 26 octobre 2011.
(21-09-2011) Arnaud DIMEGLIO, "L'ordonnance du 24 août renforce la protection des consommateurs", Droit et Nouvelles Technologies, 19 août 2011.
(02-11-2011) COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS, "Ce que le "Paquet Télécom" change pour les cookies", Article, 26 octobre 2011.