Vol de documents sur internet contrainte de clarté a partir du 25 août 2013
Mise en oeuvre de nouvelles règles permettant d’assurer la protection des consommateurs en cas de perte ou de vol de données électroniques à caractère personnel.
En cas de piratage des données d’un opérateur de services de télécommunications et des fournisseurs de services internet, ayant pour conséquence de permettre à un tiers de récupérer des données à caractère personnel (ex : nom, adresse, coordonnées bancaires, historique des appels téléphoniques, etc.), le consommateur européen sera prochainement informé de la situation de manière à pouvoir prendre les mesures nécessaires.
Le règlement (n°611/2013) du 24 juin 2013 impose, à compter du 25 août 2013, aux opérateurs de services de télécommunications et aux fournisseurs de services internet, de suivre en cas de perte, de vol ou de violation des données électroniques à caractère personnel de leurs clients, une nouvelle procédure d’information. En France, l’autorité à informer est la Commission nationale informatique et libertés (CNIL).
Complémentant les dispositions de la directive « vie privée », ce règlement impose la notification des violations de données à caractère personnel à l’autorité nationale compétente, qui comporte, si certaines conditions sont remplies, plusieurs stades auxquels s’appliquent des délais. Ce système est destiné à faire en sorte que l’autorité nationale compétente soit informée aussi rapidement que possible sans toutefois gêner inutilement le fournisseur dans ses efforts pour enquêter sur la violation et prendre les mesures nécessaires, afin d’en limiter les conséquences et d’y remédier.
Les entreprises confrontées à un acte de piratage ou de malveillance sont tenues, lorsque des données personnelles concernant leurs clients ont été volées ou perdues :
- d’informer l’autorité nationale compétente de tout incident dans un délai de 24 heures après la découverte de la violation des données, afin de limiter autant que faire se peut l’ampleur de cette violation. Si la communication de toutes les informations ne peut se faire dans ce délai, elles doivent fournir dans les 24 heures les informations initiales dont elles disposent et transmettre le reste des informations dans les 3 jours ;
- de fournir une brève description des éléments d’information concernés et des mesures qui ont été prises ou qui seront prises par la société ; lorsqu’elles évaluent la nécessité d’informer les abonnés (par exemple, en utilisant comme critère le risque que la violation ait des conséquences dommageables pour les personnes en ce qui concerne leurs données à caractère personnel ou leur vie privée), les entreprises doivent soigneusement examiner le type de données ayant fait l’objet d’une violation, en particulier dans le secteur des télécommunications, selon qu’il s’agit d’informations de nature financière, de données de localisation, de fichiers journaux internet, d’historiques de sites web consultés, de données relatives au courrier électronique et de listes d’appels téléphoniques détaillées ;
- d’utiliser un document harmonisé (par exemple un formulaire type en ligne, identique pour tous les Etats membres de l’UE) pour informer l’autorité nationale compétente.
En complément, en collaboration avec l’Agence européenne chargée de la sécurité des réseaux et de l’information, la Commission européenne va prochainement publier une liste indicative de mesures techniques de protection à mettre en oeuvre (telles que les techniques de cryptage, qui rendent les données incompréhensibles pour toute personne non habilitée à en prendre connaissance).
Ainsi, si une entreprise utilisant une telle technique devait subir une violation de données en sa possession, elle serait dispensée de l’obligation d’en informer l’abonné concerné, car une telle violation ne révélerait pas véritablement les données à caractère personnel de celui-ci, souligne la Commission dans un communiqué.