Le blog juridique de Murielle Cahen

Le vol de données électroniques à caractère personnel : présentation du règlement de juin 2013

Le 06/11/2013, par Murielle Cahen, dans Technologies / Droit de l'internet.

Vos réactions...

   

Procédure d'information en cas de piratage de données d'un opérateur ou FAI permettant à un tiers d'accéder à des données à caractère personnel.

Le règlement européen n°611/2013 met en place une procédure d'information en cas de piratage de données d'un opérateur de services de télécommunications ou d'un fournisseur de services internet permettant à un tiers d'accéder à des données à caractère personnel (ex : nom, prénom, adresse postale, mail, coordonnées bancaires etc.) L'objectif de ces mesures est de garantir un traitement uniforme de tous les clients dans l'ensemble de l'Union Européenne en cas de violation des données. Ce texte, directement applicable dans tous les Etats membres, est entré en vigueur à compter du 25 aout 2013, et a ainsi permis de combler une lacune importante concernant la sécurité des données numériques.

Les opérateurs de télécommunications et les fournisseurs de services internet détiennent une série de données personnelles concernant leur clientèle. En effet, s'ajoutent à leur nom, adresse et coordonnées bancaires, l'historique de leurs appels téléphoniques et la liste des sites internet consultés. La directive "Vie privée et communications électroniques" (directive 2002/58 du Parlement européen et du Conseil du 12 juillet 2002) énonce qu'ils sont tenus d'assurer la protection et la confidentialité de ces données.

Or, il peut arriver que ces dernières soient volées ou égarées ou qu'elles soient consultées par des personnes qui n'ont pas d'autorisation, ceci étant appelé des "violations de données à caractère personnel". En vertu de l'article 4 de la directive "Vie privée et communications électroniques" révisée par la directive 2009/136/CE du 25 novembre 2009, le fournisseur est tenu de signaler toute violation de ce type à une autorité nationale spécifique (en France la CNIL) et il doit en informer directement l'abonné ou la personne concernée.

Afin que les règles en vigueur soient mises en oeuvre de manière cohérente entre les différents Etats membres, la directive autorise la commission à proposer des "mesures techniques d'application", ce qui signifie des règles pratiques complétant la législation existante sur les circonstances, les formats et les procédures applicables aux exigences en matière de notification. Ainsi, l'objet du règlement du 24 juin 2013 est donc de mettre en oeuvre ces règles afin de garantir la sécurité des données. Or, on comprend aisément que cette réglementation ait pris son temps pour voir le jour. Dans les faits, une fois les données collectées comment parvenir à les protéger ?

La notification à l'autorité compétence (article 2)

L'obligation de notification à l'autorité nationale

Les fournisseurs doivent notifier toutes les violations à l'autorité nationale compétente. Cependant, cela ne devrait pas empêcher l'autorité nationale compétente concernée de hiérarchiser l'instruction de certaines violations de la façon qu'elle juge appropriée conformément à la législation applicable, ni de prendre les mesures nécessaires pour éviter qu'il y ait trop ou pas assez de violations de données à caractère personnel signalées.

Le fait de simplement soupçonner ou de constater un incident sans disposer d'indices suffisants malgré tous les efforts déployés par un fournisseur ne permet donc pas de considérer qu'une telle violation a été constatée. Pour déterminer si une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d'un abonné ou d'une personne, il conviendrait de prendre en compte la nature et la teneur des données concernées, notamment s'il s'agit :

  • de données relatives à des informations financières comme les numéros de carte de crédit et coordonnées bancaires,
  • de données qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle,
  • de données relatives au courrier électronique, de localisation, les fichiers journaux, les historiques de sites consultés et les listes d'appels détaillées.

Les délais et le contenu de la notification à l'autorité nationale compétente

Le règlement institue un système de notification des violations de données à caractère personnel à l'autorité nationale compétente, qui comporte, si certaines conditions sont remplies, plusieurs stades auxquels s'appliquent des délais.

Dans un premier stade, le fournisseur doit notifier la violation de données à caractère personnel à l'autorité nationale au plus tard 24 heures après le constat de la violation, si possible. Il doit alors fournir des indications de base contenues dans les parties I et II de l'annexe (exemple : nom du fournisseur, circonstances de la violation, nature et teneur des données, résumé de l'incident, conséquences et préjudices potentiels pour les abonnés etc.)

Dans un deuxième stade, si ces informations ne sont pas toutes disponibles et si la violation de données à caractère personnel exige une enquête plus approfondie, le fournisseur est autorisé à transmettre une notification initiale à l'autorité nationale compétente au plus tard 24 heures après le constat de la violation. Il fournit ensuite une seconde notification à l'autorité le plus rapidement possible et au plus tard trois jours après la notification initiale. Cette seconde notification comprend les informations manquantes et actualise si nécessaire les informations déjà fournies.

Dans un troisième stade, si malgré ses recherches, le fournisseur n'est pas en mesure de fournir toutes les informations dans le délai de trois jours à compter de la notification initiale, il notifie toutes les informations qu'il connaît dans ce délai et présente à l'autorité une justification valable de la notification tardive des informations restantes. Il notifie dès que possible les informations restantes. Par ailleurs, à titre d'uniformisation, les autorités nationales compétentes devraient mettre un moyen électronique sécurisé à la disposition des fournisseurs afin qu'ils notifient les violations.

La notification à l'abonné ou au particulier (article 3 et 4)

La nécessité d'une notification à l'abonné ou au particulier

Pour déterminer si une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d'un abonné ou d'une personne, il convient, en particulier, de prendre en compte la nature et la teneur des données concernées, notamment s'il s'agit :

  • de données relatives à des informations financières comme les numéros de carte de crédit et coordonnées bancaires,
  • de données qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle,
  • de données relatives au courrier électronique, de localisation, les fichiers journaux, les historiques de sites consultés et les listes d'appels détaillées.

De plus, il convient de prendre également en compte les conséquences vraisemblables de la violation, et notamment les cas où elle peut entrainer un vol ou une usurpation d'identité, une atteinte à l'intégrité physique, une souffrance psychologique, une humiliation ou une atteinte à la réputation.

Enfin, il convient de prendre en compte les circonstances de la violation, notamment l'endroit ou le moment auquel le fournisseur sait que les données sont en possession d'un tiers non autorisé. Dans certains cas exceptionnels, le fournisseur peut être autorisé par l'autorité nationale compétente à retarder la notification à l'abonné ou au particulier s'il y a un risque que la notification nuise à l'efficacité de l'enquête sur la violation de données à caractère personnel.

Les délais et le contenu de la notification à l'abonné ou au particulier

La notification à l'abonné ou au particulier n'est pas enfermée dans un délai mais doit être faite "sans retard injustifié" après constat de la violation. Les informations fournit au destinataire de la notification sont les suivantes :

  • le nom du fournisseur,
  • l'identité et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues,
  • un résumé de l'incident à l'origine de la violation de données à caractère personnel,
  • la date estimée de l'incident,
  • la nature et la teneur des données à caractère personnel concernées,
  • les conséquences vraisemblables de la violation de données à caractère personnel pour l'abonnée ou le particulier,
  • les circonstances de la violation de données à caractère personnel,
  • les mesures prises par le fournisseur pour remédier à la violation de données à caractère personnel,
  • les mesures recommandées par le fournisseur pour atténuer les préjudices potentiels.

Le fournisseur notifie la violation à l'abonné ou au particulier par des moyens de communication qui garantissent une réception rapide de l'information et qui sont sécurisés conformément aux règles de l'art. Par ailleurs, lorsqu'un fournisseur rapporte la preuve qu'il a mis en place des mesures techniques de protection visant à rendre les données incompréhensibles, et qu'elles ont été appliquées, il n'est plus tenu de notifier à l'abonné ou au particulier concerné.

Par Me Cahen Muriel
Avocat

Sources :
Règlement n°611/2013 de la Commission du 24 juin 2013
Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002

© 2013 Net-iris & Murielle Cahen

   

Commentaires et réactions :


 Fiche de Murielle Cahen

Profession : Avocate
Société : Cabinet d'avocats Murielle Cahen
Site web : Murielle-cahen.com/

Blog ouvert le : 27/11/2000
Nombre d'articles publiés : 155

Ses publications antérieures au 06/11/2013 :


Ses dernières publications au 26/09/2016:

-