En vertu de la version révisée de la Directive « Vie privée et Communications électroniques » (ePrivacy), il a été demandé aux états membres de l’UE d’instaurer un cadre réglementaire pour la notification obligatoire des violations de sécurité avant le 25 Mai 2011. Elle introduit l’obligation pour les fournisseurs de services de communications électroniques accessibles au public de notifier toutes violations de données à caractère personnel traitées dans le cadre de leurs services. Bien que la plupart des États Membres n’aient pas encore procédé à la transposition de ce cadre d’action dans leurs lois nationales, il affectera l’ensemble des opérations des fournisseurs de communication (par exemple, les fournisseurs de services de télécommunications et d’accès à internet). Bref aperçu des éléments essentiels du cadre d’action y compris sur les principales implications pratiques pour ces fournisseurs.

Éléments essentiels du cadre d’action de l’UE relatif à la violation de données à caractère personnel.

Violation de données à caractère personnel

Le cadre d’action - établi par l’article 4 de la version révisée de la Directive « Vie privée et Communications électroniques « (ePrivacy) - fait partie d’un ensemble plus vaste de mesures organisationnelles et technologiques que les fournisseurs de communications doivent prendre afin d’assurer la sécurité et l'intégrité de leurs services. L’obligation de notification, déclenchée par une « violation de données à caractère personnel », représente un des éléments essentiels du cadre d’action. On entend par violation de données à caractère personnel « […] une violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés de données à caractère personnel transmises, stockées ou traitées d’une autre manière en relation avec la fourniture de services de communications électroniques accessibles au public dans la Communauté »

Qui doit être notifié?

Les fournisseurs se doivent de notifier toute violation de données à caractère personnel au régulateur national. En outre, il leur est imposé d’avertir les particuliers en cas de violation de données à caractère personnel, lorsque celle-ci est de nature à affecter négativement les données à caractère personnel ou la vie privée, et tant l’autorité concernée que le particulier doivent être avertis sans délais. Cependant si les données sont suffisamment protégées par les mesures de protection technologiques adéquates, le prestataire peut se voir exonéré de l’obligation d’avertir les particuliers. C’est au régulateur national qu’il incombe de déterminer si les mesures de protection technologiques sont adéquates et offre une protection suffisante aux données. Contenu de la notification :

1. une description de la nature de la violation de données à caractère personnel;
2. les informations relatives au point de contact afin d’obtenir de plus amples informations;
3. les mesures à prendre pour atténuer les conséquences négatives possibles.

Toutes les notifications faites au régulateur national doivent également décrire les conséquences de la violation de données, et les mesures prises par le fournisseur pour remédier à la violation.

Inventaire des violations de données à caractère personnel

Les fournisseurs se doivent également de tenir à jour un inventaire de toutes les violations de données à caractère personnel. Cet inventaire doit inclure le contexte relatif aux violations, leurs suites et les mesures prises par le fournisseur afin d’y remédier. Cette liste d’inventaire entend permettre au régulateur de vérifier si les fournisseurs répondent à leurs obligations.

Article extrait de la Hiscox Data Risks Newsletter n°1. Hester de Vries, Kennedy Van des Laan & David Korteweg, Kennedy Van der Laan