LE VOL DE DONNEES ELECTRONIQUES A CARACTERE PERSONNEL
/ Juin 2022 /
Nous vivons dans une ère de numérique où les échanges se font de plus en plus facilement et de plus en plus rapidement. Ces échanges se font surtout par voie électronique. Cependant, tous ces échanges impliquent une transmission de données qui peuvent être personnelles. Les données électroniques à caractère personnel sont de nos jours génitrices de beaucoup d’argent. Elles sont donc commercialisables, mais aussi susceptibles de vol. Est dès lors apparu le vol de données électroniques à caractère personnel.
Le vol à de données électroniques à caractère personnel est problématique, car il s’agit tout d’abord d’un vol, mais de plus, il affecte la vie privée de la victime. Étant devenu de plus en plus fréquent, le vol de données électroniques à caractère personnel a dû être combattu. Le combat du vol de données électroniques à caractère personnel est mené au niveau national ainsi qu’européen.
En 2018 est entré en vigueur le règlement général sur la protection des données. Ce règlement européen s’inscrit dans la continuité de la Loi informatique et Libertés de 1978. Il vient renforcer la protection des données personnelles et créer un cadre juridique commun au sein de l’Union.
Une donnée personnelle se définit comme « toute information se rapportant à une personne physique identifiée ou identifiable » peu importe qu’elle puisse être identifiée directement ou indirectement.
Les opérateurs de télécommunications et les fournisseurs de services internet ainsi que les entreprises détiennent une série de données personnelles concernant leur clientèle. En effet, s’ajoutent à leur nom, adresse et coordonnées bancaires, l’historique de leurs appels téléphoniques et la liste des sites internet consultés.
L’article 4 du règlement général sur la protection (RGPD) des données définit la violation de données à caractère personnel comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ».
Besoin de l'aide d'un avocat pour un problème de protection de vos données ?
Téléphonez-nous au : 01 43 37 75 63
ou contactez-nous en cliquant sur le lien
Ainsi, il peut arriver que les données personnelles soient volées ou égarées ou qu’elles soient consultées par des personnes qui n’ont pas d’autorisation, ceci étant donc appelé des « violations de données à caractère personnel ».
Le RGPD pose une obligation pour les responsables de traitement de documentation interne. En effet, ces derniers doivent tenir un registre sur les violations de données personnelles. Dès lors qu’il y a une violation de données personnelles qui présente un risque pour les droits et libertés des personnes, le responsable de traitement doit le notifier à la CNIL. Également, si la violation de données présente un risquresponsablee élevé, les personnes concernées devront en être averties.
Il convient donc de se pencher sur le processus de notification en cas de violation de données personnelles.
Le règlement européen n°611/2013 met en place une procédure d’information en cas de piratage de données d’un opérateur de services de télécommunications ou d’un fournisseur de services internet permettant à un tiers d’accéder à des données à caractère personnel (ex : nom, prénom, adresse postale, mail, coordonnées bancaires, etc.) L’objectif de ces mesures est de garantir un traitement uniforme de tous les clients dans l’ensemble de l’Union Européenne en cas de violation des données. Ce texte, directement applicable dans tous les Etats membres, est entré en vigueur depuis le 25 août 2013, et a ainsi permis de combler une lacune importante concernant la sécurité des données numériques.
Les opérateurs de télécommunications et les fournisseurs de services internet détiennent une série de données personnelles concernant leur clientèle. En effet, s’ajoutent à leur nom, adresse et coordonnées bancaires, l’historique de leurs appels téléphoniques et la liste des sites internet consultés.
La directive « Vie privée et communications électroniques » (directive 2002/58 du Parlement européen et du Conseil du 12 juillet 2002) énonce qu’ils sont tenus d’assurer la protection et la confidentialité de ces données. Or, il peut arriver que ces dernières soient volées ou égarées ou qu’elles soient consultées par des personnes qui n’ont pas d’autorisation, ceci étant appelé des « violations de données à caractère personnel ».
En vertu de l’article 4 de la directive « Vie privée et communications électroniques » révisée par la directive 2009/136/CE du 25 novembre 2009, le fournisseur est tenu de signaler toute violation de ce type à une autorité nationale spécifique (en France la CNIL) et il doit en informer directement l’abonné ou la personne concernée. Afin que les règles en vigueur soient mises en œuvre de manière cohérente entre les différents Etats membres, la directive autorise la commission à proposer des « mesures techniques d’application », ce qui signifie des règles pratiques complétant la législation existante sur les circonstances, les formats et les procédures applicables aux exigences en matière de notification.
Ainsi, l’objet du règlement du 24 juin 2013 est donc de mettre en œuvre ces règles afin de garantir la sécurité des données. Or, on comprend aisément que cette réglementation ait pris son temps pour voir le jour. Dans les faits, une fois les données collectées comment parvenir à les protéger ?
Les données personnelles attirent les convoitises et sont désormais « entrées dans le commerce » se trouvant ainsi au-dessus des forces de notre droit positif. On constate que le règlement n°611/2013 ne concerne que la notification des violations de données à caractère personnel et qu’il ne prévoit pas de mesures techniques d’applications sur l’information des abonnées en cas de risque particulier de violation de la sécurité du réseau.
Les notifications sont effectuées par les fournisseurs de services de communications électroniques accessibles au public.
Le règlement prévoit ainsi les modalités concernant la notification : d’une part à l’autorité compétente (I) et d’autre part à l’abonné ou au particulier (II).
I- La notification à l’autorité compétence (article 2)
En France, les fournisseurs doivent notifier toutes les violations de données à caractère personnel à l’autorité compétente : la CNIL. En effet, la Commission nationale de l’informatique et des libertés est une autorité administrative indépendance qui est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte pas atteinte aux libertés individuelles ou publiques. Le règlement prévoit l’obligation de notifier à l’autorité compétente (A) ainsi que les délais et le contenu de cette notification (B).
A) L’obligation de notification à l’autorité nationale
Les responsables de traitement doivent notifier toutes les violations à l’autorité nationale compétente. Cependant, cela ne devrait pas empêcher l’autorité nationale compétente concernée de hiérarchiser l’instruction de certaines violations de la façon qu’elle juge appropriée conformément à la législation applicable, ni de prendre les mesures nécessaires pour éviter qu’il y ait trop ou pas assez de violations de données à caractère personnel signalées.
Le règlement prévoit que « le constat d’une violation de données à caractère personnel est considéré comme établi dès lors que le fournisseur dispose d’assez d’éléments indiquant qu’il s’est produit un incident de sécurité ayant compromis des données à caractère personnel pour justifier une notification conformément au présent Règlement ».
Le fait de simplement soupçonner ou de constater un incident sans disposer d’indices suffisants malgré tous les efforts déployés par un fournisseur ne permet donc pas de considérer qu’une telle violation a été constatée. Pour déterminer si une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une personne, il conviendrait de prendre en compte la nature et la teneur des données concernées, notamment s’il s’agit :
- de données relatives à des informations financières comme les numéros de carte de crédit et coordonnées bancaires,
- de données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle,
- de données relatives au courrier électronique , de localisation, les fichiers journaux, les historiques de sites consultés et les listes d’appels détaillées.
La violation de données personnelles peut être particulièrement variée, elle peut par exemple porter sur :
- Un piratage des données
- Suppression accidentelle de données qui ne dispose pas de sauvegarde
- Une personne qui s’introduit dans un système informatique et modifie certaines données (résultats d’une entreprise, note des élèves …)
- Une clé USB contenant un virus
L’article 33 du RGPD porte sur la notification à l’autorité de contrôle d’une violation de données à caractère personnel. Cet article prévoit que dès lors qu’il y a une violation de données à caractère personnel alors celle-ci devra être notifié à l’autorité compétente, à savoir, la CNIL.
L’article 55 de ce même règlement énonce que l’autorité choisie par l’état membre est compétente pour traiter de ces questions.
B) Les délais et le contenu de la notification à l’autorité nationale compétente
Le règlement institue un système de notification des violations de données à caractère personnel à l’autorité nationale compétente, qui comporte, si certaines conditions sont remplies, plusieurs stades auxquels s’appliquent des délais.
Dans un premier stade, le fournisseur doit notifier la violation de données à caractère personnel à l’autorité nationale au plus tard 24 heures après le constat de la violation, si possible. Il doit alors fournir des indications de base contenues dans les parties I et II de l’annexe (exemple : nom du fournisseur, circonstances de la violation, nature et teneur des données, résumé de l’incident, conséquences et préjudices potentiels pour les abonnés, etc.)
Dans un deuxième stade, si ces informations ne sont pas toutes disponibles et si la violation de données à caractère personnel exige une enquête plus approfondie, le fournisseur est autorisé à transmettre une notification initiale à l’autorité nationale compétente au plus tard 24 heures après le constat de la violation.
Il fournit ensuite une seconde notification à l’autorité le plus rapidement possible et au plus tard trois jours après la notification initiale. Cette seconde notification comprend les informations manquantes et actualise si nécessaire les informations déjà fournies.
Dans un troisième stade, si malgré ses recherches, le fournisseur n’est pas en mesure de fournir toutes les informations dans le délai de trois jours à compter de la notification initiale, il notifie toutes les informations qu’il connaît dans ce délai et présente à l’autorité une justification valable de la notification tardive des informations restantes.
Il notifie dès que possible les informations restantes. Par ailleurs, à titre d’uniformisation, les autorités nationales compétentes devraient mettre un moyen électronique sécurisé à la disposition des fournisseurs afin qu’ils notifient les violations.
C’est l’article 33 du règlement qui prévoit le contenu ainsi que les délais de la notification. La notification auprès de la CNIL doit être faite dans les meilleurs délais, au plus tard dans les 72 h après avoir eu connaissance de la violation. Néanmoins, cela ne sera pas nécessaire si la violation n’est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques.
En outre, le sous-traitant doit notifier la violation au responsable de traitement dans les meilleurs délais après en avoir eu connaissance (le texte ne prévoit pas de délais précis, néanmoins celui-ci correspond à environ 48 h au plus tard).
Concernant le contenu de la notification, selon l’article 33 du RGPD, elle doit :
« a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;
b) communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
c) décrire les conséquences probables de la violation de données à caractère personnel;
d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. »
Également, si toutes ces informations ne peuvent être communiquées en même temps, il sera possible de les communiquer plus tard, de manière échelonnée, sans aucun retard indu.
De plus, il faudra renseigner le registre des violations.
II- La notification aux personnes concernées
La violation de données à caractère personnel doit être notifiée à l’abonné ou au particulier lorsqu’elle est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’un particulier. Il y a donc nécessité d’une notification à l’abonné ou au particulier (A). Comme en matière de notification à l’autorité compétente, le règlement prévoit les délais et le contenu de la notification à l’abonné ou au particulier (B).
A) La nécessité d’une notification aux personnes concernées
L’article 34 du RGPD porte sur la communication à la personne concernée d'une violation de données à caractère personnel.
Dès lors que cette violation sera susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, alors le responsable de traitement devra communiquer l’existence de la violation de données à caractère personnel aux personnes concernées. Cette notification devra avoir lieu également dans les meilleurs délais.
Cette notification devra être faite en des termes clairs et simples. Également devra être précisée la nature de la violation de données à caractère personnel. Pour finir, cette notification devra contenir au moins une des informations et mesures prévues à l’article 33, paragraphe b), c) et d), citées dans la partie précédente.
B) Les délais et le contenu de la notification à l’abonné ou au particulier
Il est également prévu dans l’article 34 du RGPD les cas où la notification aux personnes concernées n’est pas nécessaire.
Celle-ci ne sera pas nécessaire si :
« a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement;
b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n'est plus susceptible de se matérialiser;
c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace. »
Enfin, l’article précise que si le responsable de traitement n’a pas réalisé la notification aux personnes concernées, mais que la CNIL, après avoir examiné cette violation estime que celle-ci porte un risque élevé que les droits et libertés pour les personnes concernées, alors l’autorité pourra exiger que le responsable de traitement procède à la notification.
Pou rlire uneversion plus adapté aux mobiles de cet article sur la protection des données personelles, cliquez
ARTICLES QUI POURRAIENT VOUS INTERESSER :
- Usurpation d'identité
- Intrusion informatique
- Courrier eletronique
- Données personelles
- Sécurité informatique
- Utilisation des données
- Blocage de sites
- Objets connectés
- Société et piratage de données
- Usurpation d'identité et cyberharcèlement
- Vie privée
Sources :
- Règlement n°611/2013 de la Commission du 24 juin 2013
- Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002
- Vincent Téchené, « L’obligation de notification en cas de violations de données à caractère personnel : présentation du Règlement n°611/2013 du 24 juin 2013 », Lexbase Hebdo édition affaires n°347 du 18 juillet 2013
- http://www.haas-avocats.com/actualite-juridique/protection-de-la-vie-privee-obligations-des-fournisseurs-de-services-en-cas-de-vols-de-fichiers/
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article34
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre6#Article55
https://www.cnil.fr/fr/les-violations-de-donnees-personnelles
https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article33