Juridique

La CNIL lance une téléprocédure pour la notification de violation de données personnelles

Pour l'heure, seuls les fournisseurs de services de communication sont concernés par l'utilisation de cette procédure. Les clients bénéficie d'une information induite.

PublicitéCette fois, c'est (enfin) fait. Les fournisseurs de services de communication ont désormais l'obligation de révéler les violations de données personnelles dont ils ont été victimes et dont leurs clients ont été l'objet. Et la CNIL (Commission Nationale Informatique et Liberté) vient, pour accompagner la mise en oeuvre de cette obligation, de mettre en place une téléprocédure de notification. Cette procédure a été définie et harmonisée au niveau européen dans un règlement européen dit « data breach » le 24 juin 2013.

Pour l'instant, l'obligation issue de la directive « Paquet Télécom » de 2009 et retranscrite dans l'article 34bis de la Loi Informatique et Liberté est très restreinte. Seuls sont assujettis les fournisseurs de services de communications, comme les opérateurs télécoms et les FAI. Et ne sont concernées que les violations concernant les données relatives à la fourniture du service aux clients, notamment les données d'identification de ceux-ci, de leur consommation ou les données commerciales. « L'intrusion dans la base clients d'un fournisseur d'accès à Internet (FAI) est considérée comme une violation de données soumise à notification, mais pas le piratage du fichier des ressources humaines de ce même FAI » résume la CNIL.

L'extension de cette obligation à l'ensemble des entreprises et à l'ensemble des données à caractère personnel est un des projets de la Commission Européenne.

Outre la notification à la CNIL, les opérateurs ont l'obligation d'informer les clients concernés, sauf si les données étaient suffisamment cryptées pour les rendre inexploitables. La CNIL peut cependant obliger à une information des clients si elle juge le cryptage insuffisant.