Conformément au règlement (UE) No. 611/2013 de la Commission européenne du 24 juin 2013, entré en vigueur le 25 août 2013, les fournisseurs de services de communications électroniques accessibles au public, comme les entreprises de téléphonie fixe ou mobile ou les fournisseurs d’accès à Internet, doivent avertir endéans 24 heures la CNPD après le constat d’une violation de la sécurité et de la confidentialité de données à caractère personnel et informer de surcroît leurs abonnés dès lors que l’incident constaté est susceptible d’affecter défavorablement le niveau de la protection de leur vie privée et des données les concernant.
Définition
La loi définit la violation de données à caractère personnel comme une « violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés de données à caractère personnel transmises, stockées ou traitées d’une autre manière en relation avec la fourniture de services de communications électroniques accessibles au public ».
Exemples de «pannes»
Il peut s’agir de toutes sortes de « pannes », comme par exemple des hypothèses suivantes:
Des personnes externes ont, par le biais d’internet, accès aux serveurs contenant toutes les données de clients en raison de failles dans la sécurité du système informatique du fournisseur de services concerné.
A un moment donné, tout le monde peut avoir accès aux comptes client en ligne sans mot de passe alors que seulement les clients donnant le mot de passe devraient avoir accès à leurs comptes respectifs.
Un salarié d’un fournisseur de services perd un CD-ROM ou une clé USB avec des données de clients.
Un agent commercial d'un opérateur mobile dans une boutique perd un contrat papier d'un nouveau client.
Que faire en cas de violation de données à caractère personnel?
Dans un tel cas, le fournisseur de services de communications électroniques avertit dans un délai de 24 heures la CNPD de la violation. S’il s’avère impossible de rassembler toutes les informations nécessaires endéans ce délai et si la violation exige une enquête plus approfondie, le fournisseur est autorisé à transmettre une notification initiale à l’autorité nationale compétente, au plus tard 24 heures après le constat de la violation. Cette notification initiale décrit notamment:
- Date et heure de l’incident (si elles sont connues; une estimation peut être fournie si nécessaire) et du constat de l’incident
- Circonstances de la violation de données à caractère personnel (par exemple, perte, vol, reproduction)
- Nature et teneur des données à caractère personnel concernées
- Mesures techniques et d’organisation appliquées (ou à appliquer) par le fournisseur aux données à caractère personnel concernées
- Recours à d’autres fournisseurs ayant joué un rôle (le cas échéant)
Le plus rapidement possible mais au plus tard 3 jours après cette notification initiale, le fournisseur doit transmettre une seconde notification à la CNPD. Elle comprendra au moins les informations suivantes :
- Résumé de l’incident à l’origine de la violation de données à caractère personnel (y compris le lieu physique de la violation et le moyen de stockage concerné)
- Nombre d’abonnés ou de particuliers concernés
- Conséquences et préjudices potentiels pour les abonnés ou particuliers
- Mesures techniques et d’organisation prises par le fournisseur pour atténuer les préjudices potentiels
Notification supplémentaire éventuelle aux abonnés ou aux particuliers
- Contenu de la notification
- Moyens de communication utilisés
- Nombre d’abonnés ou de particuliers informés
Questions transnationales éventuelles
- Violation de données à caractère personnel concernant des abonnés ou des particuliers dans d’autres États membres
- Notification à d’autres autorités nationales compétentes
Si le fournisseur, malgré ses recherches, n’est pas en mesure de fournir toutes les informations dans le délai de 3 jours à compter de la notification initiale, il notifie toutes les informations qu’il a recueillies dans ce délai et présente à la CNPD une justification valable de la notification tardive des informations restantes. Le fournisseur notifie dès que possible les informations restantes à la CNPD et, si nécessaire, actualise les informations déjà fournies.
Violation affectant les données à caractère personnel ou la vie privée d’un abonné ou d’un particulier
En cas de violation de nature à affecter les données à caractère personnel ou la vie privée d’un abonné ou d’un particulier (par exemple, lorsqu’elle est susceptible d’entraîner le vol ou l’usurpation d’identité, une atteinte à l’intégrité physique, une humiliation grave ou une réputation entachée en rapport avec la fourniture de services de communications accessibles au public), ces abonnés ou particuliers doivent également en être avertis sans retard injustifié après constat de la violation afin de pouvoir prendre les précautions qui s’imposent. La notification à l’abonné ou au particulier doit être rédigée dans une langue claire et aisément compréhensible et doit comprendre au moins les éléments suivants :
- Nom du fournisseur
- Identité et coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues
- Résumé de l’incident à l’origine de la violation de données à caractère personnel
- Date estimée de l’incident
- Nature et teneur des données à caractère personnel concernées, conformément à l’article 3, paragraphe 2 du Règlement
- Conséquences vraisemblables de la violation de données à caractère personnel pour l’abonné ou le particulier concerné, conformément à l’article 3, paragraphe 2 du Règlement
- Circonstances de la violation de données à caractère personnel, conformément à l’article 3, paragraphe 2 du Règlement
- Mesures prises par le fournisseur pour remédier à la violation de données à caractère personnel
- Mesures recommandées par le fournisseur pour atténuer les préjudices potentiels
La notification d’une violation des données à caractère personnel à l’abonné ou au particulier concerné n’est pas nécessaire si le fournisseur a prouvé, à la satisfaction de la Commission nationale, qu’il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques rendent les données incompréhensibles (par encryptions p.ex) à toute personne qui n’est pas autorisée à y avoir accès.
Inventaire des violations de données à caractère personnel
La loi du 28 juillet 2011 prévoit également que les fournisseurs tiennent à jour un inventaire des violations de données à caractère personnel, notamment de leur contexte, de leurs effets et des mesures prises pour y remédier. Les données consignées doivent être suffisantes pour permettre à la Commission nationale pour la protection des données de les vérifier.
Formulaire
Afin de faciliter la tâche aux fournisseurs de services de communications électroniques, la Commission nationale a élaboré un formulaire de notification d'une violation de sécurité reprenant toutes les questions pertinentes auxquelles ils doivent répondre dans une telle situation. (voir en bas de page).