Violation de données à caractère personnel: les implications pratiques
Publicité négative
Indépendamment des charges administratives introduites par les obligations de notification et le maintien d’un inventaire, le cadre d’action exposera davantage les fournisseurs à une publicité négative et/ou à des réclamations de dommages et intérêts de la part des particuliers affectés par une violation. Il est difficile de quantifier cette image négative, mais les faits récemment survenus aux Pays-Bas montrent que les incidents liés aux violations de données à caractère personnel trouvent un large écho dans les médias et sont attentivement observés par les organisations de défense des libertés civiles nationales.
L’exemple le plus récent est certainement la faille de sécurité qui a donné lieu à une appropriation illicite des données personnelles de milliers d’utilisateurs du Réseau Playstation de Sony, y compris des informations sur les cartes de crédit et qui s’est traduit, pour Sony, par une large et néfaste couverture médiatique. Il est fort possible que ce fait, ou des faits similaires, donneront lieu à une ou plusieurs poursuites. Le temps nous dira si l’introduction de l’obligation de notification donnera lieu à une augmentation, dans les États Membres, des cas de litiges relatifs à la vie privée.
Coordination de procédures et violations de données à caractère personnel transfrontalières Le Groupe de Travail « Article 29 » a récemment exprimé son opinion sur les conséquences négatives potentielles qui pourraient surgir pour les parties prenantes si les dispositions nationales du cadre d’action divergent trop les unes des autres, et en cas d’absence de coordination entre les autorités compétentes. C’est pourquoi ils ont proposé la création d’un sous-groupe qui fonctionnera comme lien d’échange d’avis et de connaissances, et favorisera le développement de lignes directrices et de critères qui favoriseront une approche coordonnée européenne de toute la procédure de notification. Une telle coordination des procédures revêtira une importance toute particulière dans le contexte des violations de données à caractère personnel transfrontalières.
Il convient de noter que la Commission Européenne a la capacité d’adopter des mesures afin d’assurer l’application et la mise en oeuvre cohérente du cadre d’action. Article extrait de la Hiscox Data Risks Newsletter n°1. Hester de Vries, Kennedy Van des Laan & David Korteweg, Kennedy Van der Laan