Contrôler et sanctionner / Contribuer à la régulation internationale / Anticiper et innover / Les sujets de réflexion pour 2013 / Annexes
53
non autorisée à y avoir accès. La CNIL
peut cependant, si elle estime que la
gravité de la violation le justifie, mettre
en demeure le fournisseur d’informer les
intéressés.
Le défaut de notification à la CNIL et
aux personnes concernées est sanctionné
à l’article 226-17-1 du Code pénal (cinq
ans d’emprisonnement et 300 000 euros
d’amende).
focus
Attention Le projet de
règlement européen relatif à la
protection des données prévoit,
à ce stade, la généralisation de
cette obligation de notification
à l’ensemble des responsables
de traitement. Actuellement,
les responsables de traitement
qui n’entrent pas dans le champ
de l’article 34 bis de la loi
« Informatique et Libertés »
restent tout de même soumis
à une obligation générale de
sécurité et de confidentialité
des données.
L’action de la CNIL
En 2012, la CNIL a reçu une quinzaine de notifications de violation de données personnelles. Ce faible nombre de
notifications s’explique par le fait que les
modalités de mise en œuvre de cette nouvelle obligation n’ont été que récemment
fixées. En effet, au niveau national, un
décret d’application a été publié en mars
2012. Le règlement européen visant à
harmoniser les procédures de notification
des violations aux autorités de protection
des données personnelles a quant à lui été
adopté en janvier 2013.
Ce règlement prend largement en
compte l’avis rendu par le G29 et auquel
la CNIL a contribué. Il définit notamment
le contenu et les délais de notification
aux autorités de protection des données
et impose à ces dernières de mettre à
disposition des déclarants un moyen
électronique sécurisé de notification.
Dans les mois et les années à venir,
cette nouvelle mission aura des conséquences sensibles sur l’activité de la
CNIL qui devra non seulement traiter les
notifications des fournisseurs de services
de communications électroniques, mais
également accompagner ces derniers
dans l’appréciation et la mise en œuvre
de mesures de protection efficaces. À
cet égard, la CNIL participe aux travaux
menés par le G29 pour aider les responsables de traitement à évaluer le niveau
de gravité des violations subies.
De manière plus générale, ces nouvelles obligations s’inscrivent dans un processus de responsabilisation accrue des
acteurs en charge des données person-
Ces nouvelles
obligations s’inscrivent
dans un processus
de responsabilisation
accrue des acteurs
nelles. Il ne s’agit plus d’attendre que les
victimes déposent plainte ou que la CNIL
contrôle et sanctionne. Le responsable
du traitement doit assumer pleinement la
responsabilité des erreurs commises en
amont, afin d’éviter toute conséquence
pour les personnes concernées. Cette obligation permettra donc à la CNIL d’avoir
une meilleure vision du niveau de sécurité
mis en œuvre, mais également d’offrir un
meilleur accompagnement.