Lexbase Affaires n°347 du 18 juillet 2013 : Internet

[Textes] L'obligation de notification en cas de violations de données à caractère personnel : présentation du Règlement n° 611/2013 du 24 juin 2013

Réf. : Règlement n° 611/2013 du 24 juin 2013, concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la Directive 2002/58/CE sur la vie privée et les communications électroniques (N° Lexbase : L2794IXR)

Lecture: 9 min

N8058BTM

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Textes] L'obligation de notification en cas de violations de données à caractère personnel : présentation du Règlement n° 611/2013 du 24 juin 2013. Lire en ligne : https://www.lexbase.fr/article-juridique/8899921-texteslobligationdenotificationencasdeviolationsdedonneesacaracterepersonnelpresentatio
Copier

par Vincent Téchené, Rédacteur en chef de Lexbase Hebdo - édition affaires

le 18 Juillet 2013

Les opérateurs de télécommunications et les fournisseurs de services internet détiennent une série de données concernant leurs clients, telles que leur nom, leur adresse et leurs coordonnées bancaires, qui s'ajoutent à l'historique de leurs appels téléphoniques et des sites web qu'ils ont consultés. La Directive "Vie privée et communications électroniques" (Directive 2002/58 du Parlement européen et du Conseil du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques N° Lexbase : L6515A43) dispose qu'ils sont tenus d'assurer la protection et la confidentialité de ces données. Il arrive, cependant, que des données soient volées ou égarées ou qu'elles soient consultées par des personnes non habilitées. C'est ce qu'on appelle des "violations de données à caractère personnel". En vertu de l'article 4 de la Directive "Vie privée et communications électroniques" révisée par la Directive 2009/136/CE du 25 novembre 2009 (N° Lexbase : L1208IGT), le fournisseur est tenu de signaler toute violation de ce type à une autorité nationale spécifique -généralement l'autorité nationale responsable de la protection de données ou l'autorité de réglementation du secteur des communications-. Il doit, en outre, en informer directement la personne concernée. Pour garantir que les règles en vigueur en cas de violation de données sont mises en oeuvre de manière cohérente entre les différents Etats membres, la Directive autorise la Commission à proposer des "mesures techniques d'application", c'est-à-dire des règles pratiques complétant la législation existante, concernant les circonstances, les formats et les procédures applicables aux exigences en matière de notification. Tel est l'objet du Règlement du 24 juin 2013 qui ne concerne toutefois que la notification des violations de données à caractère personnel et ne prévoit donc pas de mesures techniques d'applications sur l'information des abonnés en cas de risque particulier de violation de la sécurité du réseau (Directive 2002/58, art. 4 § 2). Le Règlement prévoit ainsi les modalités de la notification à l'autorité compétente (1) et à l'abonné ou au particulier (2). Les notifications doivent bien entendu être effectuées par les fournisseurs de services de communications électroniques accessibles au public. Le Règlement prévoit également une obligation d'information lorsqu'il est fait appel à un autre fournisseur (3).

1 - La notification à l'autorité nationale compétente (Règlement n° 611/2013 du 24 juin 2013, art. 2)

1.1 - L'obligation de notification à l'autorité nationale

Les fournisseurs doivent notifier toutes les violations de données à l'autorité nationale compétente. En France cette notification devra donc être faite auprès de la CNIL. Aussi un fournisseur n'aura-t-il pas le choix d'informer ou pas l'autorité nationale compétente. Toutefois, cela ne devrait pas empêcher l'autorité nationale compétente concernée de hiérarchiser l'instruction de certaines violations de la façon qu'elle juge appropriée conformément à la législation applicable, ni de prendre les mesures nécessaires pour éviter qu'il y ait trop ou trop peu de violations de données à caractère personnel signalées.

Le texte prévoit que "le constat d'une violation de données à caractère personnel est considéré comme établi dès lors que le fournisseur dispose d'assez d'éléments indiquant qu'il s'est produit un incident de sécurité ayant compromis des données à caractère personnel pour justifier une notification conformément au présent Règlement". Le fait de simplement soupçonner qu'une violation de données à caractère personnel s'est produite ou de simplement constater un incident sans disposer d'informations suffisantes, malgré tous les efforts déployés à cette fin par un fournisseur, ne permet donc pas de considérer qu'une telle violation a été constatée.

Pour déterminer si une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d'un abonné ou d'une personne, il conviendrait en particulier de prendre en compte la nature et la teneur des données concernées, notamment s'il s'agit :
- de données relatives à des informations financières comme les numéros de carte de crédit et coordonnées bancaires ;
- de données qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle ;
- de données relatives au courrier électronique, de localisation, les fichiers journaux, les historiques de sites consultés et les listes d'appels détaillées.

1.2 - Les délais et le contenu de la notification à l'autorité nationale compétente

Pour que l'autorité nationale compétente soit informée aussi rapidement et complètement que possible sans toutefois gêner inutilement le fournisseur dans ses efforts pour enquêter sur la violation et prendre les mesures nécessaires afin d'en limiter les conséquences et d'y remédier, le Règlement institue un système de notification des violations de données à caractère personnel à l'autorité nationale compétente, qui comporte, si certaines conditions sont remplies, plusieurs stades auxquels s'appliquent des délais.

Premier stade : la possibilité de fournir un ensemble d'informations dans le délai de 24 heures

Le fournisseur doit notifier la violation de données à caractère personnel à l'autorité nationale compétente, au plus tard vingt-quatre heures après le constat de la violation, si possible. Le fournisseur fournit alors les indications de base suivantes (Partie I de l'annexe) :
- le nom du fournisseur ;
- l'identité et coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- la mention indiquant s'il s'agit d'une première ou d'une deuxième notification ;
- la date et l'heure de l'incident (si elles sont connues ; une estimation peut être fournie si nécessaire) et du constat de l'incident ;
- les circonstances de la violation de données à caractère personnel (par exemple, perte, vol, reproduction) ;
- la nature et la teneur des données à caractère personnel concernées ;
- les mesures techniques et d'organisation appliquées (ou à appliquer) par le fournisseur aux données à caractère personnel concernées ;
- le cas échéant, le recours à d'autres fournisseurs ayant joué un rôle ;

Il fournit également les informations supplémentaires suivantes (Partie II de l'annexe) :
- un résumé de l'incident à l'origine de la violation de données à caractère personnel (y compris le lieu physique de la violation et le moyen de stockage concerné) ;
- le nombre d'abonnés ou de particuliers concernés ;
- les conséquences et préjudices potentiels pour les abonnés ou particuliers ;
- les mesures techniques et d'organisation prises par le fournisseur pour atténuer les préjudices potentiels ;
- le cas échéant, des informations sur la notification supplémentaire aux abonnées ou aux particuliers à savoir, le contenu de la notification, les moyens de communication utilisés et le nombre d'abonnés ou de particulier informés ;
- le cas échéant, les questions transnationales, à savoir la violation de données à caractère personnel concernant des abonnés ou des particuliers dans d'autres Etats membres et la notification à d'autres autorités nationales compétentes.

Deuxième stade : la nécessité de bénéficier d'un délai de 3 jours pour rassembler les informations exigées

Si ces informations ne sont pas toutes disponibles et si la violation de données à caractère personnel exige une enquête plus approfondie, le fournisseur est autorisé à transmettre une notification initiale à l'autorité nationale compétente, au plus tard vingt-quatre heures après le constat de la violation. Celle-ci comporte alors les informations de base, citées ci-dessus de la Partie I de l'annexe.

Le fournisseur transmet une seconde notification à l'autorité nationale compétente le plus rapidement possible et au plus tard trois jours après la notification initiale. Cette seconde notification comprend les informations manquantes dans la notification initiales, c'est-à-dire les informations supplémentaires de la Partie II de l'annexe et, si nécessaire, actualise les informations déjà fournies.

Troisième stade : l'insuffisance du délai de jours pour rassembler l'ensemble des informations exigées

Si le fournisseur, malgré ses recherches, n'est pas en mesure de fournir toutes les informations dans le délai de trois jours à compter de la notification initiale, il notifie toutes les informations qu'il a recueillies dans ce délai et présente à l'autorité nationale compétente une justification valable de la notification tardive des informations restantes. Le fournisseur notifie dès que possible les informations restantes à l'autorité nationale compétente et, si nécessaire, actualise les informations déjà fournies.

1.3 - Les moyens de la notification à l'autorité nationale compétente

Les autorités nationales compétentes devraient mettre un moyen électronique sécurisé à la disposition des fournisseurs pour qu'ils notifient les violations de données à caractère personnel. Le considérant 11 du Règlement prévoit à ce titre une uniformisation des les notifications à toutes les autorités nationales :
- un format commun ;
- la reprise des formations transmises dans les langues correspondantes, de façon à permettre à tous les fournisseurs à l'intérieur de l'Union de suivre une procédure de notification similaire indépendamment de l'endroit où ils se trouvent et où la violation s'est produite.

1.4 - La coopération entre autorités nationales

Le § 5 de l'article 2 du Règlement prévoit, si la violation de données à caractère personnel porte atteinte à des abonnés ou des particuliers d'Etats membres autres que celui de l'autorité nationale compétente à laquelle la violation a été notifiée, l'obligation pour ladite autorité d'informer les autres autorités nationales concernées.

2 - La notification à l'abonné ou au particulier (Règlement n° 611/2013 du 24 juin 2013, art. 3 et 4)

2.1 - La nécessité d'une notification à l'abonné ou au particulier

La violation de données à caractère personnel doit être notifiée à l'abonné ou au particulier, lorsqu'elle est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d'un abonné ou d'un particulier.

Pour déterminer si une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d'un abonné ou d'une personne, il convient, en particulier, de prendre en compte la nature et la teneur des données concernées, notamment s'il s'agit :
- de données relatives à des informations financières comme les numéros de carte de crédit et coordonnées bancaires ;
- de données qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle ;
- de données relatives au courrier électronique, de localisation, les fichiers journaux, les historiques de sites consultés et les listes d'appels détaillées.

Il convient également de prendre en compte les conséquences vraisemblables de la violation, et notamment les cas où elle peut entraîner un vol ou une usurpation d'identité, une atteinte à l'intégrité physique, une souffrance psychologique, une humiliation ou une atteinte à la réputation.

Enfin, Il convient de prendre en compte les circonstances de la violation de données à caractère personnel, en particulier l'endroit où les données ont été volées ou le moment auquel le fournisseur sait que les données sont en possession d'un tiers non autorisé.

Dans certains cas exceptionnels, le fournisseur peut être autorisé par l'autorité nationale compétente à retarder la notification à l'abonné ou au particulier s'il y a un risque que la notification nuise à l'efficacité de l'enquête sur la violation de données à caractère personnel. Ces cas exceptionnels peuvent recouvrir les enquêtes judiciaires ainsi que d'autres violations de données à caractère personnel qui ne sont pas équivalentes à un délit grave mais peuvent justifier de reporter la notification. En tout état de cause, il incombera à l'autorité nationale compétente de décider, cas par cas et compte tenu des circonstances, d'accepter le report ou d'exiger la notification.

2.2 - Les délais et le contenu de la notification à l'abonné ou au particulier

La notification à l'abonné ou au particulier n'est pas enfermée dans un délai mais doit être faite "sans retard injustifié" après constat de la violation.

Les informations fournit au destinataire de la notification sont les suivantes :
- le nom du fournisseur ;
- l'identité et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- un résumé de l'incident à l'origine de la violation de données à caractère personnel ;
- la date estimée de l'incident ;
- la nature et la teneur des données à caractère personnel concernées ;
- les conséquences vraisemblables de la violation de données à caractère personnel pour l'abonné ou le particulier concerné ;
- les circonstances de la violation de données à caractère personnel ;
- les mesures prises par le fournisseur pour remédier à la violation de données à caractère personnel ;
- les mesures recommandées par le fournisseur pour atténuer les préjudices potentiels.

Si le fournisseur directement lié par contrat avec l'utilisateur final, malgré ses efforts, n'est pas en mesure d'identifier toutes les personnes susceptibles d'être lésées par la violation de données à caractère personnel, il peut informer ces personnes par des avis dans de grands médias nationaux ou régionaux dans les Etats membres concernés qui contient les mêmes informations que la notification individuelle, si nécessaire sous une forme condensée. Dans ce cas, le fournisseur continue à déployer tous les efforts raisonnables pour identifier ces personnes et leur notifier dès que possible.

2.3 - Les moyens de la notification à l'abonné ou au particulier

Le fournisseur notifie la violation de données à caractère personnel à l'abonné ou au particulier par des moyens de communication qui garantissent une réception rapide de l'information et qui sont sécurisés conformément aux règles de l'art. Les informations concernant la violation se limitent à celle-ci et ne sont pas associées à des informations concernant autre chose.

2.4 - La mise en place de MTP (Règlement n° 611/2013 du 24 juin 2013, art. 3)

Les MTP visées sont ici celles qui rendent les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès. Or, lorsqu'un fournisseur rapporte la preuve qu'il a mis en place ces mesures et qu'elles ont été appliquées, il n'est plus tenu de notifier à l'abonné ou au particulier concerné.

Le § 2 de l'article 4 définit ce qui techniquement constitue des données considérées comme incompréhensible.

En outre, souhaitant également encourager les entreprises à crypter les données à caractère personnel, la Commission, en collaboration avec l'ENISA (Agence européenne chargée de la sécurité des réseaux et de l'information), publiera une liste indicative de mesures techniques de protection, telles que les techniques de cryptage, qui rendent les données incompréhensibles pour toute personne non habilitée à en prendre connaissance (cf. communiqué de presse IP/13/591 du 24 juin 2013).

3 - Le recours à un autre fournisseur (Règlement n° 611/2013 du 24 juin 2013, art. 5)

Si le fournisseur recourt à un autre fournisseur pour assurer une partie du service, par exemple en ce qui concerne la facturation ou des tâches de gestion, cet autre fournisseur, qui n'est pas directement lié par contrat avec l'utilisateur final, n'est pas tenu de notifier les violations de données à caractère personnel. En revanche, il doit alerter et informer le fournisseur avec lequel il est directement lié par contrat. Cela devrait également valoir dans le cadre de la fourniture en gros de services de communications électroniques, lorsque le fournisseur en gros n'est en général pas directement lié par contrat avec l'utilisateur final.

***

Ce Règlement, dont on rappellera qu'il s'agit d'un texte directement applicable dans les Etats membres, entrera en vigueur le 25 août 2013.

© Reproduction interdite, sauf autorisation écrite préalable

newsid:438058

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note


Cookies juridiques

Considérant en premier lieu que le site requiert le consentement de l'utilisateur pour l'usage des cookies; Considérant en second lieu qu'une navigation sans cookies, c'est comme naviguer sans boussole; Considérant enfin que lesdits cookies n'ont d'autre utilité que l'optimisation de votre expérience en ligne; Par ces motifs, la Cour vous invite à les autoriser pour votre propre confort en ligne.

En savoir plus