Cette ordonnance renforce les obligations des fournisseurs de services de communications électroniques et des opérateurs télécom en créant, notamment, une obligation de révéler les fuites ou pertes de données à caractère personnel, par le biais d’une notification à la CNIL et, dans certains cas, aux intéressés (ce qui pourrait s’avérer fort coûteux d’un point de vue financier et, surtout, d’image).
Rappelons la définition légale d’une donnée à caractère personnel (article 2 de la loi n°78-17 du 6 janvier 1978) :
«Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres».
Le chapitre 3 de l’ordonnance est consacré aux dispositions relatives à la protection des données à caractère personnel.
Il est inséré, après l’article 34 de la loi du 6 janvier 1978 susvisée, un article 34 bis. Cet article s’applique au traitement des données à caractère personnel «mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification.» En d’autres termes cette disposition vise toutes les entreprises qui offrent un accès à l’internet à leurs salariés ou à des tiers et, notamment, à leurs clients par un système de hotspot wifi par exemple.
L’article 38 de l’ordonnance institue l’obligation de notifier une violation des données à caractère personnel à la CNIL, ainsi qu’à la personne intéressée (l’abonné ou toute personne physique) par le traitement de données, lorsque cette violation peut porter atteinte à ses données à caractère personnel où à sa vie privée. Or, dans la mesure où la violation de données à caractère personnel s’entend comme «toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques», il semble de principe que le responsable de traitement, victime de «piratage informatique» ou de malveillance, devrait informer les personnes concernées par ces actes.
L’article 39 précise quant à lui que l'absence de cette notification est punie de 300 000 euros d'amende et 5 ans d’emprisonnement (article 226-17-1 du code pénal). Une exception permet cependant de ne pas notifier la violation de données à caractère personnel à l’intéressé : «si la CNIL a constaté que des mesures de protection appropriées ont été mises en oeuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation.»
Certaines entreprises ont fait face à des difficultés récemment en matière de sécurité informatique. Ceci devrait en convaincre bon nombre d'initier des audits techniques et de revoir leurs procédures, ne serait-ce que pour se mettre en conformité avec cette nouvelle réglementation, laquelle prévoit également la tenue à jour d’un inventaire de violations de données à caractère personnel à la disposition de la CNIL, «notamment de leurs modalités, de leur effet et des mesures prises pour y remédier».
Flash d'information fiscal, juridique ou social édité par Landwell & Associés, société d'avocats, membre du réseau international PwC
16 septembre 2011
Landwell & Associés
61, rue de Villiers
92208 Neuilly-Sur-Seine
Tél. +33 (0)1 56 57 56 57
Fax +33 (0)1 56 57 56 58
www.landwell.fr
Rappelons la définition légale d’une donnée à caractère personnel (article 2 de la loi n°78-17 du 6 janvier 1978) :
«Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres».
Le chapitre 3 de l’ordonnance est consacré aux dispositions relatives à la protection des données à caractère personnel.
Il est inséré, après l’article 34 de la loi du 6 janvier 1978 susvisée, un article 34 bis. Cet article s’applique au traitement des données à caractère personnel «mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification.» En d’autres termes cette disposition vise toutes les entreprises qui offrent un accès à l’internet à leurs salariés ou à des tiers et, notamment, à leurs clients par un système de hotspot wifi par exemple.
L’article 38 de l’ordonnance institue l’obligation de notifier une violation des données à caractère personnel à la CNIL, ainsi qu’à la personne intéressée (l’abonné ou toute personne physique) par le traitement de données, lorsque cette violation peut porter atteinte à ses données à caractère personnel où à sa vie privée. Or, dans la mesure où la violation de données à caractère personnel s’entend comme «toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques», il semble de principe que le responsable de traitement, victime de «piratage informatique» ou de malveillance, devrait informer les personnes concernées par ces actes.
L’article 39 précise quant à lui que l'absence de cette notification est punie de 300 000 euros d'amende et 5 ans d’emprisonnement (article 226-17-1 du code pénal). Une exception permet cependant de ne pas notifier la violation de données à caractère personnel à l’intéressé : «si la CNIL a constaté que des mesures de protection appropriées ont été mises en oeuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation.»
Certaines entreprises ont fait face à des difficultés récemment en matière de sécurité informatique. Ceci devrait en convaincre bon nombre d'initier des audits techniques et de revoir leurs procédures, ne serait-ce que pour se mettre en conformité avec cette nouvelle réglementation, laquelle prévoit également la tenue à jour d’un inventaire de violations de données à caractère personnel à la disposition de la CNIL, «notamment de leurs modalités, de leur effet et des mesures prises pour y remédier».
Flash d'information fiscal, juridique ou social édité par Landwell & Associés, société d'avocats, membre du réseau international PwC
16 septembre 2011
Landwell & Associés
61, rue de Villiers
92208 Neuilly-Sur-Seine
Tél. +33 (0)1 56 57 56 57
Fax +33 (0)1 56 57 56 58
www.landwell.fr
