Notification des violations de données personnelles : nouvelles procédure et précisions

Contexte

La révision des directives « Paquet télécom » en 2009 a conduit le législateur européen à imposer aux fournisseurs de services de communications électroniques l’obligation de notifier les violations de données personnelles aux autorités nationales compétentes et, dans certains cas, aux personnes concernées.

Cette obligation a été transposée en droit français à l’article 34 bis de la loi « Informatique et Libertés ».

Nouveau règlement européen

Un règlement de la Commission européenne du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel a été publié au Journal officiel de l’Union européenne du 26 juin 2013. Ce texte est entré en vigueur le 25 août 2013.

Le règlement fixe les conditions de la notification des violations de données à caractère personnel.

Le fournisseur devra notifier toutes les violations aux autorités locales, au plus tard 24 heures après le constat de la violation. La notification devra aussi être faite à un abonné ou à un particulier lorsque la violation porte atteinte à ses données ou à sa vie privée.

Il impose aux autorités de protection des données de mettre à disposition un moyen électronique sécurisé dédié aux notifications de violations de données personnelles. 

En outre si une violation de données à caractère personnel porte atteinte à des abonnés ou des particuliers établis dans différents États membres ; l’autorité recevant la notification devra informer les autres autorités nationales concernées.

La notification pourra toutefois être retardée, avec l’accord de l’autorité, dans certains cas exceptionnels, s’il y a un risque que la notification à l’abonné ou au particulier nuise à l’efficacité de l’enquête sur la violation des données. En outre, la notification d’une violation de données ne sera pas nécessaire si le fournisseur a prouvé qu’il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par la violation.
 

Télé procédure de la CNIL

La Cnil a mis en place la nouvelle procédure. Les informations suivantes sont requises.

Identification du fournisseur

1. Nom du fournisseur
2. Identité et coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues
3. Mention indiquant s’il s’agit d’une première ou d’une deuxième notification

Informations initiales sur la violation de données à caractère personnel (à compléter dans des notifications ultérieures le cas échéant)

1. Date et heure de l’incident (si elles sont connues; une estimation peut être fournie si nécessaire) et du constat de l’incident
2. Circonstances de la violation de données à caractère personnel (par exemple, perte, vol, reproduction)
3. Nature et teneur des données à caractère personnel concernées
4. Mesures techniques et d’organisation appliquées (ou à appliquer) par le fournisseur aux données à caractère personnel concernées
5. Recours à d’autres fournisseurs ayant joué un rôle (le cas échéant)

Informations supplémentaires sur la violation de données à caractère personnel

1. Résumé de l’incident à l’origine de la violation de données à caractère personnel (y compris le lieu physique de la violation et le moyen de stockage concerné)
2. Nombre d’abonnés ou de particuliers concernés
3. Conséquences et préjudices potentiels pour les abonnés ou particuliers
4. Mesures techniques et d’organisation prises par le fournisseur pour atténuer les préjudices potentiels

Notification supplémentaire éventuelle aux abonnés ou aux particuliers

1. Contenu de la notification
2. Moyens de communications utilisées
3. Nombre d’abonnés ou de particuliers informés

Questions transnationales éventuelles 

1. Violation de données à caractère personnel concernant des abonnés ou des particuliers dans d’autres États membres
2. Notification à d’autres autorités nationales compétentes

Contenu de la notification à l’abonné ou au particulier

1. Nom du fournisseur
2. Identité et coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues
3. Résumé de l’incident à l’origine de la violation de données à caractère personnel
4. Date estimée de l’incident
5. Nature et teneur des données à caractère personnel concernées
6. Conséquences vraisemblables de la violation de données à caractère personnel pour l’abonné ou le particulier concerné
7. Circonstances de la violation de données à caractère personnel
8. Mesures prises par le fournisseur pour remédier à la violation de données à caractère personnel
9. Mesures recommandées par le fournisseur pour atténuer les préjudices potentiels

Sanction

Pour rappel le défaut de notification à la CNIL et aux personnes concernées peut faire l’objet de sanctions pénales (5 ans d’emprisonnement et 300 000 € d’amende).

Stéphanie Faber est Membre de voxFemina – Paroles d’Experts au Féminin