En août 2011, comme mentionné dans un précédent billet, l'ordonnance n°2011-1012 a introduit dans la loi "informatique et libertés", à l'article 34bis, une obligation de déclarer les violations de données à caractère personnel, soit "toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la fourniture au public de services de communications électroniques".
Le 30 mars 2012, le décret n°2012-436 est venue préciser la "procédure de notification des violations de données à caractère personnel à la Commission nationale de l'informatique et des libertés [CNIL]".
Ainsi, le fournisseur de services de communications électroniques accessibles au public devra indiquer à la CNIL: la nature et les conséquences de la violation, les mesures déjà prises ou préposées pour y remédier, les personnes pouvant transmettre des informations supplémentaires à ce sujet et, si possible, une estimations du nombre de personnes susceptibles d'être impactées par la violation en cause.
Le fournisseur peut également communiquer avec les personnes concernées pour leur indiquer la nature de la violation, les personnes pouvant transmettre des informations supplémentaires à ce sujet, mais surtout les mesures qu'elles peuvent prendre pour atténuer les conséquences négatives de cette violation. Il est à noter que pareille communication n'est pas nécessaire si la CNIL considère (dans un délai de deux mois) que les mesures prises par le fournisseur ont été efficacement appliquées aux données concernées par la violation.
Et, le 28 mai 2012, la CNIL a publié un article relatif à "la notification des violations de données à caractère personnel" faisant état des obligations de l'article 34bis et des exigences du décret du 30 mars. Ainsi il est rappelé ce qu'est une violation de données à caractère personnel, les personnes ayant l'obligation de notifier, quand et comment notifier à la CNIL pour qu'elle puisse constater que des mesures appropriées ont été prises, quand notifier aux personnes concerner et comment le faire.
- Décret n°2012-436 du 30 mars 2012 portant transposition du nouveau cadre réglementaire européen des communications électroniques, JORF n°0078 du 31 mars 2012, p. 5907
- COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS, "La notification des violations de données à caractère personnel", Article, 28 mai 2012.
-----
Sur le même thème, voir également
- OFFICE OF THE INFORMATION AND PRIVACY COMMISSIONER FOR BRITISH COLUMBIA, Privacy Breaches: Tools and Resources, March 2012.
- OFFICE OF THE AUSTRALIAN INFORMATION COMMISSIONER, Data breach notification - A guide to handling personal information security breaches, April 2012.
Aucun commentaire:
Enregistrer un commentaire
Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.