Cadre d’action de l’UE relatif à la violation de données à caractère personnel

Cadre d’action de l’UE relatif à la violation de données à caractère personnel

4 octobre 2011
By:
Astrid Marie Pirson
Directrice technique de la souscription
View bio
Astrid Marie Pirson

Astrid-Marie Pirson assure depuis décembre 2016 la Direction technique de la souscription – lignes Assurances professionnelles, Art & Clientèle privée - pour l’assureur spécialiste Hiscox France.

Diplômée de Sciences-Po Paris, d’un DEA de droit pénal et de l’Ecole du Barreau de Paris, elle a d’abord exercé pendant six ans la profession d’avocat, essentiellement au sein d’un cabinet d’avocats au Conseil d’Etat et à la Cour de cassation. Passionnée depuis toujours par l’informatique et les nouvelles technologies, elle a rejoint Hiscox en 2011, au sein de l’équipe de gestion de sinistres sur les secteurs Métiers de l’informatique, Médias & Cyber, avant de devenir responsable de marché de ces lignes en mars 2015.

En vertu de la version révisée de la Directive « Vie privée et Communications électroniques » (ePrivacy), il a été demandé aux états membres de l’UE d’instaurer un cadre réglementaire pour la notification obligatoire des violations de sécurité avant le 25 Mai 2011. Elle introduit l’obligation pour les fournisseurs de services de communications électroniques accessibles au public de notifier toutes violations de données à caractère personnel traitées dans le cadre de leurs services. Bien que la plupart des États Membres n’aient pas encore procédé à la transposition de ce cadre d’action dans leurs lois nationales, il affectera l’ensemble des opérations des fournisseurs de communication (par exemple, les fournisseurs de services de télécommunications et d’accès à internet). Bref aperçu des éléments essentiels du cadre d’action y compris sur les principales implications pratiques pour ces fournisseurs.

Éléments essentiels du cadre d’action de l’UE relatif à la violation de données à caractère personnel.

Violation de données à caractère personnel

Le cadre d’action - établi par l’article 4 de la version révisée de la Directive « Vie privée et Communications électroniques « (ePrivacy) - fait partie d’un ensemble plus vaste de mesures organisationnelles et technologiques que les fournisseurs de communications doivent prendre afin d’assurer la sécurité et l'intégrité de leurs services. L’obligation de notification, déclenchée par une « violation de données à caractère personnel », représente un des éléments essentiels du cadre d’action. On entend par violation de données à caractère personnel « […] une violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés de données à caractère personnel transmises, stockées ou traitées d’une autre manière en relation avec la fourniture de services de communications électroniques accessibles au public dans la Communauté »

Qui doit être notifié?

Les fournisseurs se doivent de notifier toute violation de données à caractère personnel au régulateur national. En outre, il leur est imposé d’avertir les particuliers en cas de violation de données à caractère personnel, lorsque celle-ci est de nature à affecter négativement les données à caractère personnel ou la vie privée, et tant l’autorité concernée que le particulier doivent être avertis sans délais. Cependant si les données sont suffisamment protégées par les mesures de protection technologiques adéquates, le prestataire peut se voir exonéré de l’obligation d’avertir les particuliers. C’est au régulateur national qu’il incombe de déterminer si les mesures de protection technologiques sont adéquates et offre une protection suffisante aux données. Contenu de la notification :

  1. une description de la nature de la violation de données à caractère personnel;
  2. les informations relatives au point de contact afin d’obtenir de plus amples informations;
  3. les mesures à prendre pour atténuer les conséquences négatives possibles.

Toutes les notifications faites au régulateur national doivent également décrire les conséquences de la violation de données, et les mesures prises par le fournisseur pour remédier à la violation.

Inventaire des violations de données à caractère personnel

Les fournisseurs se doivent également de tenir à jour un inventaire de toutes les violations de données à caractère personnel. Cet inventaire doit inclure le contexte relatif aux violations, leurs suites et les mesures prises par le fournisseur afin d’y remédier. Cette liste d’inventaire entend permettre au régulateur de vérifier si les fournisseurs répondent à leurs obligations.

Article extrait de la Hiscox Data Risks Newsletter n°1. Hester de Vries, Kennedy Van des Laan & David Korteweg, Kennedy Van der Laan

Vous êtes client Hiscox ou vous souhaitez le devenir ?

Contactez nous gratuitement 
0800 60 20 16
Lundi - Vendredi 08:30 -19:00

[email protected]

Nous vous rappelons gratuitement

Je souhaite être rappelé par un conseiller

Si vous êtes client Hiscox via un de nos courtiers/partenaires, contactez-le directement

Vous êtes courtier ou partenaire ?

Venez découvrir votre espace dédié >