Comme nous vous l’avons indiqué[1], le nouvel article 34 bis de la loi de 1978 transpose l’obligation de notification des violations de données à caractère personnel, prévue par la directive 2002/58/CE modifiée dite « Paquet Télécom ».
Les mesures d’application très attendues ont été précisées par le décret n°2012-436 du 30 mars 2012 ainsi que par une FAQ de la CNIL sur son site.
Voici les principaux éléments précisés par ces textes.
1. Rappel du domaine d’application limité
La réglementation actuelle ne concerne que les traitements mis en œuvre :
– par un fournisseur de services de communications électroniques (la CNIL précise qu’il s’agit des opérateurs devant être déclarés auprès de l’ARCEP),
– dans le cadre de son activité de fourniture de services de communications électroniques.
2. Comment notifier la CNIL ?
La notification se fait par lettre remise contre signature et contient les éléments suivants :
– nature et conséquences de la violation ;
– mesures déjà prises ou proposées pour remédier à la violation ;
– personnes auprès desquelles des informations supplémentaires peuvent être obtenues ;
– si possible, estimation du nombre de personnes susceptibles d’être concernées.
3. Quand faut-il notifier les personnes concernées ?
– En cas de « risque d’atteinte aux données à caractère personnel ou à la vie privée de la personne », sauf si la CNIL a considéré que des « mesures appropriées » ont été prises rendant les données « incompréhensibles ».
– En principe « sans délai » mais, le cas échéant, ce serait après l’écoulement du délai pendant lequel la CNIL apprécie si des « mesures appropriées » ont été prises.
– En cas de mise en demeure de la CNIL (lorsqu’elle estime que la violation est grave), dans un délai fixé par elle qui ne peut excéder un mois.
4. Comment faire jouer la dérogation des « mesures appropriées » ?
Les mesures : il s’agit de « mesures techniques efficaces » rendant « les données incompréhensibles aux personnes non autorisées à y avoir accès ».
Exemple donné par la CNIL : le chiffrement des données sauf si la clé de chiffrement est compromise et qu’un tiers y a accès.
Procédure : Aucun délai n’est fixé, mais la CNIL s’attend à recevoir les informations au moment de la notification (dans une forme permettant de prouver la communication à la CNIL).
En plus des mesures de protection elles mêmes, il faut indiquer :
– les dispositions « prévues et appliquées » pour conférer une « pleine efficacité » à ces mesures;
– le cas échéant, les références des formalités accomplies auprès de la CNIL ;
– s’il y a eu ou non notification aux personnes, et si non, les raisons justifiant l’absence de notification.
Dès lors que le dossier est complet, la CNIL a deux mois pour se prononcer sur les mesures qui ont été prises. En l’absence de réponse de la CNIL, il faudra notifier les personnes.
5. Comment notifier aux personnes concernées?
La notification se fait « par tout moyen permettant d’en apporter la preuve » et contient les éléments suivants:
– la nature de la violation ;
– les personnes auprès desquelles des informations supplémentaires peuvent être obtenues ;
– les mesures recommandées par le fournisseur pour atténuer les conséquences négatives.
Par ailleurs la CNIL :
– donne des exemples et contre exemples de violations ; et
-. insiste sur l’importance de l’inventaire des violations qui doit être tenu par la société (et mis à la disposition de la CNIL).
__________________________________________________________________________________
[1] Notification des violations de données : transposition par ordonnance de la directive du 25 novembre 2009
Stéphanie Faber est Membre de voxFemina – Paroles d’Experts au Féminin