LE VOL DE DONNEES ELECTRONIQUES A CARACTERE PERSONNEL

Le règlement européen n°611/2013 met en place une procédure d’information en cas de piratage de données d’un opérateur de services de télécommunications ou d’un fournisseur de services internet permettant à un tiers d’accéder à des données à caractère personnel (ex : nom, prénom, adresse postale, mail, coordonnées bancaires, etc.) L’objectif de ces mesures est de garantir un traitement uniforme de tous les clients dans l’ensemble de l’Union Européenne en cas de violation des données. Ce texte, directement applicable dans tous les Etats membres, est entré en vigueur à compter du 25 aout 2013, et a ainsi permis de combler une lacune importante concernant la sécurité des données numériques.

Les opérateurs de télécommunications et les fournisseurs de services internet détiennent une série de données personnelles concernant leur clientèle. En effet, s’ajoutent à leur nom, adresse et coordonnées bancaires, l’historique de leurs appels téléphoniques et la liste des sites internet consultés. La directive « Vie privée et communications électroniques » (directive 2002/58 du Parlement européen et du Conseil du 12 juillet 2002) énonce qu’ils sont tenus d’assurer la protection et la confidentialité de ces données. Or, il peut arriver que ces dernières soient volées  ou égarées ou qu’elles soient consultées par des personnes qui n’ont pas d’autorisation, ceci étant appelé des « violations de données à caractère personnel ».

En vertu de l’article 4 de la directive « Vie privée et communications électroniques » révisée par la directive 2009/136/CE du 25 novembre 2009, le fournisseur est tenu de signaler toute violation de ce type à une autorité nationale spécifique (en France la CNIL) et il doit en informer directement l’abonné ou la personne concernée.

Afin que les règles en vigueur soient mises en œuvre de manière cohérente entre les différents Etats membres, la directive autorise la commission à proposer des « mesures techniques d’application », ce qui signifie des règles pratiques complétant la législation existante sur les circonstances, les formats et les procédures applicables aux exigences en matière de notification. Ainsi, l’objet du règlement du 24 juin 2013 est donc de mettre en œuvre ces règles afin de garantir la sécurité des données. Or, on comprend aisément que cette réglementation ait pris son temps pour voir le jour. Dans les faits, une fois les données collectées comment parvenir à les protéger ?

Les données personnelles attirent les convoitises et sont désormais « entrées dans le commerce » se trouvant ainsi au-dessus des forces de notre droit positif. On constate que le règlement n°611/2013 ne concerne que la notification des violations de données à caractère personnel et qu’il ne prévoit pas de mesures techniques d’applications sur l’information des abonnées en cas de risque particulier de violation de la sécurité du réseau.

Les notifications sont effectuées par les fournisseurs de services de communications électroniques accessibles au public.

Le règlement prévoit ainsi les modalités concernant la notification : d’une part à l’autorité compétente (I) et d’autre part à l’abonné ou au particulier (II).

 

I- La notification à l’autorité compétence (article 2)

En France, les fournisseurs doivent notifier toutes les violations de données à caractère personnel à l’autorité compétente : la CNIL. En effet, la Commission nationale de l’informatique et des libertés est une autorité administrative indépendance qui est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte pas atteinte aux libertés individuelles ou publiques. Le règlement prévoit l’obligation de notifier à l’autorité compétente (A) ainsi que les délais et le contenu de cette notification (B).

A) L’obligation de notification à l’autorité nationale

Les fournisseurs doivent notifier toutes les violations à l’autorité nationale compétente. Cependant, cela ne devrait pas empêcher l’autorité nationale compétente concernée de hiérarchiser l’instruction de certaines violations de la façon qu’elle juge appropriée conformément à la législation applicable, ni de prendre les mesures nécessaires pour éviter qu’il y ait trop ou pas assez de violations de données à caractère personnel signalées.

Le règlement prévoit que « le constat d’une violation de données à caractère personnel est considéré comme établi dès lors que le fournisseur dispose d’assez d’éléments indiquant qu’il s’est produit un incident de sécurité ayant compromis des données à caractère personnel pour justifier une notification conformément au présent Règlement ».

Le fait de simplement soupçonner ou de constater un incident sans disposer d’indices suffisants malgré tous les efforts déployés par un fournisseur ne permet donc pas de considérer qu’une telle violation a été constatée. Pour déterminer si une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une personne, il conviendrait de prendre en compte la nature et la teneur des données concernées, notamment s’il s’agit :

- de données relatives à des informations financières comme les numéros de carte de crédit et coordonnées bancaires,

- de données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle,

- de données relatives au courrier électronique , de localisation, les fichiers journaux, les historiques de sites consultés et les listes d’appels détaillées.

B) Les délais et le contenu de la notification à l’autorité nationale compétente

Le règlement institue un système de notification des violations de données à caractère personnel à l’autorité nationale compétente, qui comporte, si certaines conditions sont remplies, plusieurs stades auxquels s’appliquent des délais.

Dans un premier stade, le fournisseur doit notifier la violation de données à caractère personnel à l’autorité nationale au plus tard 24 heures après le constat de la violation, si possible. Il doit alors fournir des indications de base contenues dans les parties I et II de l’annexe (exemple : nom du fournisseur, circonstances de la violation, nature et teneur des données, résumé de l’incident, conséquences et préjudices potentiels pour les abonnés, etc.)

Dans un deuxième stade, si ces informations ne sont pas toutes disponibles et si la violation de données à caractère personnel exige une enquête plus approfondie, le fournisseur est autorisé à transmettre une notification initiale à l’autorité nationale compétente au plus tard 24 heures après le constat de la violation. Il fournit ensuite une seconde notification à l’autorité le plus rapidement possible et au plus tard trois jours après la notification initiale. Cette seconde notification comprend les informations manquantes et actualise si nécessaire les informations déjà fournies.

Dans un troisième stade, si malgré ses recherches, le fournisseur n’est pas en mesure de fournir toutes les informations dans le délai de trois jours à compter de la notification initiale, il notifie toutes les informations qu’il connaît dans ce délai et présente à l’autorité une justification valable de la notification tardive des informations restantes. Il notifie dès que possible les informations restantes. Par ailleurs, à titre d’uniformisation, les autorités nationales compétentes devraient mettre un moyen électronique sécurisé à la disposition des fournisseurs afin qu’ils notifient les violations.

 

II- La notification à l’abonné ou au particulier (article 3 et 4)

La violation de données à caractère personnel doit être notifiée à l’abonné ou au particulier lorsqu’elle est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’un particulier. Il y a donc nécessité d’une notification à l’abonné ou au particulier (A). Comme en matière de notification à l’autorité compétente, le règlement prévoit les délais et le contenu de la notification à l’abonné ou au particulier (B).

A) La nécessité d’une notification à l’abonné ou au particulier

Pour déterminer si une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une personne, il convient, en particulier, de prendre en compte la nature et la teneur des données concernées, notamment s’il s’agit :

- de données relatives à des informations financières comme les numéros de carte de crédit et coordonnées bancaires,

- de données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle,

- de données relatives au courrier électronique, de localisation, les fichiers journaux, les historiques de sites consultés et les listes d’appels détaillées.

De plus, il convient de prendre également en compte les conséquences vraisemblables de la violation, et notamment les cas où elle peut entrainer un vol ou une usurpation d’identité une atteinte à l’intégrité physique, une souffrance psychologique, une humiliation ou une atteinte à la réputation. Enfin, il convient de prendre en compte les circonstances de la violation, notamment l’endroit ou le moment auquel le fournisseur sait que les données sont en possession d’un tiers non autorisé.

Dans certains cas exceptionnel, le fournisseur peut être autorisé par l'autorité nationale compétente à retarder la notification à l'abonné ou au particulier s'il y a un risque que la notification nuise à l'efficacité de l'enquête sur la violation de données à caractère personnel.

B) Les délais et le contenu de la notification à l’abonné ou au particulier

La notification à l’abonné ou au particulier n’est pas enfermée dans un délai, mais doit être faite « sans retard injustifié » après constat de la violation. Les informations fournit au destinataire de la notification sont les suivantes :

- le nom du fournisseur,

- l’identité et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues,

- un résumé de l’incident à l’origine de la violation de données à caractère personnel,

- la date estimée de l’incident,

- la nature et la teneur des données à caractère personnel concernées,

- les conséquences vraisemblables de la violation de données à caractère personnel pour l’abonnée ou le particulier,

- les circonstances de la violation de données à caractère personnel,

- les mesures prises par le fournisseur pour remédier à la violation de données à caractère personnel,

- les mesures recommandées par le fournisseur pour atténuer les préjudices potentiels.

Si le fournisseur directement lié par contrat avec l'utilisateur final, malgré ses efforts, n'est pas en mesure d'identifier toutes les personnes susceptibles d'être lésées par la violation de données à caractère personnel, il peut informer ces personnes par des avis dans de grands médias nationaux ou régionaux dans les États membres concernés qui contient les mêmes informations que la notification individuelle, si nécessaire sous une forme condensée.

Dans ce cas, le fournisseur continue à déployer tous les efforts raisonnables pour identifier ces personnes et leur notifier dès que possible. Le fournisseur notifie la violation à l’abonné ou au particulier par des moyens de communication qui garantissent une réception rapide de l’information et qui sont sécurisés conformément aux règles de l’art. Par ailleurs, lorsqu’un fournisseur rapporte la preuve qu’il a mis en place des mesures techniques de protection visant à rendre les données incompréhensibles, et qu’elles ont été appliquées, il n’est plus tenu de notifier à l’abonné ou au particulier concerné.

_________________________________________________________________________________

Faites appel à notre cabinet d'avocats en cas de doutes ou de demande d'éclaircissements, nous sommes à votre disposition : téléphone : 01 43 37 75 63
_________________________________________________________________________

 

ARTICLES EN RELATION :

Sources :

- Règlement n°611/2013 de la Commission du 24 juin 2013

- Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002

- Vincent Téchené, « L’obligation de notification en cas de violations de données à caractère personnel : présentation du Règlement n°611/2013 du 24 juin 2013 », Lexbase Hebdo édition affaires n°347 du 18 juillet 2013

- http://www.haas-avocats.com/actualite-juridique/protection-de-la-vie-privee-obligations-des-fournisseurs-de-services-en-cas-de-vols-de-fichiers/

retour à la rubrique 'Autres articles'

Cet article a été rédigé pour offrir des informations utiles, des conseils juridiques pour une utilisation personnelle, ou professionnelle.

Il est mis à jour régulièrement, dans la mesure du possible, les lois évoluant régulièrement. Le cabinet ne peut donc être responsable de toute péremption ou de toute erreur juridique dans les articles du site.

Mais chaque cas est unique. Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, vous pouvez nous téléphoner au 01 43 37 75 63.
| Conditions d'utilisation du site: IDDN | | Contacts | Plan d'accès | English version |
| C G V | Sommaire | Plan | recherche | Internet | Vie des sociétés | Vie quotidienne | Services en ligne | Votre question? |
Nous joindre - Tel : 0143377563
En poursuivant votre navigation sur notre site, vous acceptez le dépôt de cookies qui nous permettront de vous proposer des contenus intéressants, des fonctions de partage vers les réseaux sociaux et d'effectuer des statistiques. Voir notre politique de gestion données personnelles.
Partager
Suivre: Facebook Avocat Paris Linkedin Avocat Paris Tumblr Avocat Paris Twitter Avocat Paris Google+ Avocat Paris App.net portage salarial RSS Valide!
Retour en haut