4585763335_7f28bb758f

notifications par Johan Larsson

Le 24 juin 2013 a été adoptée par la Commission Européenne une nouvelle réglementation relative aux mesures attendues dans le cadre des notifications de failles de sécurité impactant des données personnelles, en application de la directive 2002/58/CE sur la vie privée et communications électroniques. Cette réglementation obligera les opérateurs de télécommunications (Télécoms) et fournisseurs d’accès internet (FAI)  à notifier à l’autorité nationale compétente, toute faille de sécurité, dans les 24 heures suivant sa découverte.

Ce délai peut être étendu à 72 heures dans le cas où les sociétés précitées ne seraient pas parvenues à fournir des informations plus détaillées sur la faille de sécurité survenue. Un bref descriptif devra toutefois être notifié quoiqu’il arrive dans les 24 heures. Les télécoms et FAI, si elles ne sont pas soumises à des délais précis, sont actuellement déjà tenues d’une obligation de notification des failles de sécurité, prévue par la Directive européenne 2009/136/EC sur la vie privée.

La réglementation imposera également aux opérateurs et FAI de fournir le détail des données affectées ainsi que les premières mesures et feuilles de route mises en place par l’organisme pour faire cesser le défaut de sécurité. Un format standard de notification, commun à tous les membres de l’UE est également prévu.

En France, cette obligation est prévue par l’article 38 de  l’Ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques qui transpose en droit français la directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009 et propose un nouvel article 34 bis à la loi Informatique et Libertés du 6 janvier 1978 est ainsi rédigé:

« I. – Le présent article s’applique au traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification.
Pour l’application du présent article, on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques.

II. – En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l’informatique et des libertés.

Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique, le fournisseur avertit également, sans délai, l’intéressé.

La notification d’une violation des données à caractère personnel à l’intéressé n’est toutefois pas nécessaire si la Commission nationale de l’informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation.

A défaut, la Commission nationale de l’informatique et des libertés peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d’informer également les intéressés.

III. – Chaque fournisseur de services de communications électroniques tient à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises pour y remédier et le conserve à la disposition de la commission ».

L’harmonisation des procédures de notification a fait l’objet d’une consultation auprès de la Commission Européenne, avec le soutien des autorités nationales et fournisseurs de service,  de l’European Network and Information Security Agency (ENISA), du groupe de l’article 29 ainsi que de l’European Data Protection Supervisor.

Des avis partagés

Le Docteur Jochen Lehmann, Associé au cabinet juridique GÖRG Partnerschaft von Rechtsanwälten, a salué l’initiative de la Commission en expliquant que plus une directive légale était précise, plus il était simple de s’y conformer. Par ailleurs, le Docteur Lehmann rappelle que des délais si courts vont nécessiter une organisation conséquente pour des organismes qui étaient avant tenu de signaler ces failles dans les « meilleurs délais », ceux-ci pouvant aisément dépasser les 24 ou 72 heures aujourd’hui attendues.

Bridget Treacy, Associée à Hunton & Williams, attire cependant l’attention sur le fait que peuvent survenir quelques incohérences du fait que projet de Règlement de la Commission Européenne en matière de protection des données personnelles ne prévoit qu’un délai de 24 heures là où cette nouvelle Réglementation prévoit une extension de ce délai à 72 heures, conformément aux propositions de la Commission LIBE et de la Présidence Irlandaise du Conseil.

Le Vice-Président de la Commission Européenn, Neelie Kroes, a exprimé la nécessité pour les consommateurs d’être tenus informés de la possible altération de leurs données personnelles afin qu’ils puissent prendre toute mesures pour se prémunir contre tout préjudice qui pourrait en résulter. Ces nouvelles mesures, simples et pratiques, permettront d’offrir ces garanties.

Quelques tempéraments à cette réglementation

A ce jour, certains pays membres de l’UE, comme l’Irlande, la Belgique, l’Espagne ou la France, ainsi que vu dans le II) de l’article 34 bis précité, exonère les organismes de notifications de telles failles dans le cadre où les données visées auraient en amont fait l’objet de mesures techniques de sécurité (ex : cryptage).  La Commission Européenne et l’ENISA publieront prochainement une liste des procédés techniques permettant de sécuriser les données en vue d’en empêcher l’appréhension par tout tiers non autorisé et ainsi de pouvoir bénéficier de l’exonération précitée.

Les opérateurs n’utilisant pas les procédés de sécurisation approuvés par la Commission s’exposent au risqué de ne pas être en mesure de prouver que toutes les mesures nécessaires ont été prises pour empêcher toute communication des données à des tiers non autorisés. Cela pourrait ainsi conduire ces organismes à délaisser leurs anciennes mesures de sécurité au profit de celles approuvées.

Cette réglementation pourrait entrer en application le 25 août 2013, soit deux mois après sa publication au Journal officiel de l’UE.

 

 

Comments are closed.