Dès l’origine, la directive 2002/58/CE obligeait les opérateurs télécoms et les fournisseurs d’accès à internet à garantir la confidentialité et l’intégrité des données à caractère personnel. Depuis sa modification par la directive 2009/136/EC, en cas de vol, de destruction ou d’accès à ces données par des personnes non autorisées, en vertu de l’article 4 de la directive, les fournisseurs sont obligés de notifier cette faille à l’autorité nationale, soit en Belgique la Commission de Protection de la Vie Privée. La personne concernée doit également être informée, à moins que le fournisseur prouve qu’il a mis en œuvre les mesures de protection technologiques appropriées, rendant les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès. Le 24 juin 2013, la Commission a publié un nouveau règlement, précisant quelles sont les mesures concrètes qui doivent être prises par les fournisseurs. S’agissant d’un règlement, il ne nécessite pas de transposition à l’échelle nationale et s’applique directement depuis le 25 août dernier. Ce règlement vise à unifier la manière selon laquelle doivent être notifiées les brèches de sécurité Ces précisions assurent un traitement similaire aux individus situés à travers l’Union etelles simplifient également la tâche des entreprises actives dans différents Etats membres, qui peuvent désormais appliquer le même protocole d’action en cas de brèche de données, quelle que soit la législation nationale applicable. Le fournisseur notifie toutes les violations de données à caractère personnel à l’autorité nationale compétente, au plus tard 24 heures après le constat de la violation. Si le fournisseur n’est pas en mesure de réunir toutes les informations nécessaires dans les 24 heures, le fournisseur est autorisé à transmettre une notification initiale dans les 24 heures, et à la compléter le plus rapidement possible, et au plus tard trois jours après la notification initiale. Cette notification est effectuée via un moyen électronique sécurisé, mis à disposition par l’autorité nationale. Lorsque la violation de données à caractère personnel est «susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’un particulier», le fournisseur doit également notifier la violation à la personne concernée. Le nouveau règlement précise les éléments à prendre en compte pour déterminer si une brèche présente un tel risque: a) la nature et la teneur des données concernées, en particulier s’il s’agit de données relatives à des informations financières, des données sensibles au sens de la directive 95/46/CE ainsi que de données de localisation, fichiers journaux internet, historiques de sites web consultés, données relatives au courrier électronique et listes d’appels téléphoniques détaillées; b) les conséquences vraisemblables de la violation de données à caractère personnel pour l’abonné ou le particulier concerné, notamment les cas où la violation pourrait entraîner un vol ou une usurpation d’identité, une atteinte à l’intégrité physique, une souffrance psychologique, une humiliation ou une atteinte à la réputation; et c) les circonstances de la violation de données à caractère personnel, en particulier l’endroit où les données ont été volées ou le moment auquel le fournisseur sait que les données sont en possession d’un tiers non autorisé. Cette notification doit être rédigée dans une langue claire et facilement compréhensible, et adressée sans retard injustifié après constatation de la brèche, par des moyens de communication qui garantissent une réception rapide de l’information et qui sont sécurisés conformément aux règles de l’art. La Commission souhaite également promouvoir le cryptage des données à caractère personnel. Dès lors, le règlement autorise la Commission à publier une liste indicative des mesures de protection technologiques appropriées qui assurent que les données cryptées soient inintelligibles pour toute personne non autorisée. En cas de brèche de données, une entreprise utilisant une de ces techniques ne devra dès lors pas notifier cette faille à la personne concernée, sans devoir apporter d’autre preuve à l’autorité nationale que le fait que les données étaient cryptées selon un mécanisme approuvé par la Commission. «
Notre conseil :
Le nouvel instrument adopté par la Commission européenne – entré en vigueur le 25 août dernier, faut-il le rappeler – précise les modalités de réaction en cas d'identification d'une brèche de sécurité dans le traitement de données à caractère personnel. S'agissant d'une réglementation immédiatement applicable dans l'ensemble de l'Union européenne, il convient, pour les fournisseurs de services de télécoms, de contrôler la conformité de leurs pratiques et procédures de sécurité existantes. »