52
rapport d’activité 2012
Informer et éduquer / Conseiller et réglementer / Accompagner la conformité / Protéger les citoyens /
LA NOTIFICATION DES
VIOLATIONS DE DONNéES
à CARACTèRE PERSONNEL,
UNE NOUVELLE MISSION
À l’occasion de la révision des directives « Paquet télécom » en 2009, le législateur
européen a imposé aux fournisseurs de services de communications électroniques
l’obligation de notifier les violations de données personnelles aux autorités nationales
compétentes, et dans certains cas, aux personnes concernées. Cette obligation a été
transposée en droit français à l’article 34 bis de la loi « Informatique et Libertés » par
l’ordonnance du 24 août 2011.
Le législateur a donc confié à la CNIL d’une nouvelle mission : elle doit apprécier le niveau
de sécurité des systèmes des fournisseurs de services de communications électroniques,
mais surtout les accompagner dans la mise en œuvre de mesures de protection efficaces
contre toute violation de données. Elle peut enfin, en fonction de la gravité de cette
violation, imposer aux fournisseurs l’information des personnes concernées.
15
notifications reçues
Le principe : une obligation
de notification
Actuellement, l’obligation de notification des violations s’impose uniquement aux fournisseurs de services de
communications électroniques devant
infos +
Qu’est-ce qu’une violation de données à
caractère personnel ?
Toute destruction, perte, altération, divulgation ou accès non autorisé
à des données à caractère personnel est une violation de données à
caractère personnel.
Une violation peut résulter d’un acte malveillant (par exemple, en
cas de piratage informatique) ou se produire à la suite d’une erreur
matérielle (par exemple, lorsqu’un salarié détruit ou divulgue le fichier
clients de sa société du fait d’une fausse manipulation).
être déclarés auprès de l’ARCEP (fournisseurs d’accès à internet, de téléphonie
fixe ou mobile), et lorsque la violation
intervient dans le cadre de leur activité de
fourniture de services de communications
électroniques. À titre d’illustration, l’intrusion dans la base clients d’un FAI devra
être considérée comme une violation de
données soumise à notification, mais
pas le piratage du fichier des ressources
humaines de ce même FAI.
Dès qu’il constate une violation de
données, le responsable de traitement
doit sans délai en informer la CNIL. Il doit
également informer les personnes dont
les données ont fait l’objet de la violation,
sauf s’il a mis en œuvre en amont des
mesures techniques qui rendent les données incompréhensibles à toute personne