Obligations des FAI en cas de piratage de données personnelles
Le 11/06/2012, par la Rédaction de Net-iris, dans Technologies / Sécurité & Protection.
Toutes les violations détectées des base de données comportant des données à caractère personnel doivent être notifiées à la CNIL quelle que soit la gravité de la violation.
Un récent décret a transposé en droit interne, à l'article 34 bis de la loi de 1978, le nouveau cadre réglementaire européen des communications électroniques. Il prévoit l'obligation de notification des violations de données à caractère personnel. Toutefois, cette réforme ne concerne pas toutes les entreprises. En effet, les services de la société d'information, comme les banques en ligne, les sites d'e-commerce ou encore les téléservices des administrations, ne sont pas concernés. Seuls les fournisseurs de services de communications électroniques sont visés, et en particulier les fournisseurs d'accès à internet (FAI).
La CNIL a rédigé à l'intention de ces derniers une fiche explicative sur les conséquences de la réforme, et l'impact de la gravité de la violation de données à caractère personnel.
Elle rappelle ainsi que la notification à ses services - qui doit être "systématique et sans délai" au moyen d'une lettre remise contre signature - contient les éléments suivants :
- nature et conséquences de la violation ;
- mesures déjà prises ou proposées pour remédier à la violation ;
- personnes auprès desquelles des informations supplémentaires peuvent être obtenues ;
- si possible, estimation du nombre de personnes susceptibles d'être concernées.
Quant aux personnes concernées par les données volées, elles doivent être informées de la situation "par tout moyen permettant d'apporter la preuve de l'accomplissement de cette formalité". Cette information doit contenir les éléments suivants :
- la nature de la violation ;
- les personnes auprès desquelles des informations supplémentaires peuvent être obtenues ;
- les mesures recommandées par le fournisseur pour atténuer les conséquences négatives.
Rappelons que tout fournisseur qui manquerait aux obligations de la loi Informatique et libertés est passible de sanctions pouvant atteindre les 300.000 euros.
© 2012 Net-iris
Pour approfondir ce sujet :
Information de veille juridique
- Les données personnelles et la protection de la vie privée à l'heure des nouvelles technologies (23/04/2013)
Fanpage Net-iris
Net-iris sur Twitter
Vidéos juridiques
Newsletter gratuite
Abonnez-vous dès 1 €/mois
Identifiez-vous