Le 1er septembre 2011 est entrée en vigueur la loi du 28 juillet 2011 portant modification de la loi modifiée du 30 mai 2005 concernant la vie privée dans le secteur des communications électroniques. Elle transpose certaines dispositions de la directive 2009/136/CE modifiant la directive 2002/58/CE concernant le traitement de données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.
La nouvelle législation entend mieux protéger les utilisateurs de services de télécommunications en cas de « pannes » de sécurité et de violations de données personnelles.
Désormais, les fournisseurs de services de communications électroniques accessibles au public, comme les entreprises de téléphonie fixe ou mobile ou les fournisseurs d’accès à Internet, doivent avertir immédiatement la Commission nationale pour la protection des données en cas de survenance d’une violation de la sécurité et de la confidentialité de données à caractère personnel et d’informer de surcroît leurs abonnés dès lors que l’incident constaté est susceptible d’affecter défavorablement le niveau de la protection de leur vie privée et des données les concernant.
La loi définit la violation de données à caractère personnel comme une « violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés de données à caractère personnel transmises, stockées ou traitées d’une autre manière en relation avec la fourniture de services de communications électroniques accessibles au public ».
Il peut s’agir de toutes sortes de « pannes », comme par exemple des hypothèses suivantes:
- Des personnes externes ont, par le biais d’internet, accès aux serveurs contenant toutes les données de clients en raison de failles dans la sécurité du système informatique du fournisseur de services concerné.
- A un moment donné, tout le monde peut avoir accès aux comptes client en ligne sans mot de passe alors que seulement les clients donnant le mot de passe devraient avoir accès à leurs comptes respectifs.
- Un salarié d’un fournisseur de services perd un CD-ROM ou une clé USB avec des données de clients.
Dans ce cas de violation, le fournisseur de services de communications électroniques avertit sans retard la Commission nationale pour la protection des données de la violation. La notification faite à la Commission nationale pour la protection des données décrit notamment la nature de la violation de données à caractère personnel, les conséquences de la violation de données à caractère personnel, les mesures proposées ou prises par le fournisseur pour y remédier, ainsi que des recommandations à l’intention des abonnés ou des particuliers concernés et les points de contact auprès desquels des informations supplémentaires peuvent être obtenues.
En cas de violation de nature à affecter les données à caractère personnel ou la vie privée d’un abonné ou d’un particulier (par exemple, lorsqu’elle est susceptible d’entraîner le vol ou l’usurpation d’identité, une atteinte à l’intégrité physique, une humiliation grave ou une réputation entachée en rapport avec la fourniture de services de communications accessibles au public), ces abonnés ou particuliers doivent également en être avertis sans retard afin de pouvoir prendre les précautions qui s’imposent. La notification faite à l’abonné ou au particulier décrit au minimum la nature de la violation de données à caractère personnel et les points de contact auprès desquels des informations supplémentaires peuvent être obtenues et recommande des mesures à prendre pour atténuer les conséquences négatives possibles de la violation de données à caractère personnel. La notification d’une violation des données à caractère personnel à l’abonné ou au particulier concerné n’est pas nécessaire si le fournisseur a prouvé, à la satisfaction de la Commission nationale, qu’il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques rendent les données incompréhensibles (par encryptions p.ex) à toute personne qui n’est pas autorisée à y avoir accès.
La loi du 28 juillet 2011 prévoit également que les fournisseurs tiennent à jour un inventaire des violations de données à caractère personnel, notamment de leur contexte, de leurs effets et des mesures prises pour y remédier. Les données consignées doivent être suffisantes pour permettre à la Commission nationale pour la protection des données de les vérifier.
Afin de faciliter la tâche aux fournisseurs de services de communications électroniques, la Commission nationale a élaboré un formulaire de notification d'une violation de sécurité reprenant toutes les questions pertinentes auxquelles ils doivent répondre dans une telle situation.