Billets libellés notifications CNIL

L’obligation de notification des violations de données à caractère personnel à la CNIL

L’obligation de notification des violations de données à caractère personnel à la CNIL A l’occasion de la révision des directives ” Paquet télécom ” en 2009, le législateur européen a imposé aux fournisseurs de services de communications électroniques l’obligation de notifier les violations de données personnelles aux autorités nationales compétentes, et dans certains cas, aux personnes concernées.     Cette obligation de notification a été transposée en droit français à l’article 34 bis de la loi informatique et libertés. Les conditions de sa mise en œuvre ont été précisées par le décret n° 2012-436 du 30 mars 2012, ainsi que par le règlement européen n° 611/2013 du 24 juin 2013.     Dans quels cas l’article 34 bis s’applique-t-il ? L’article 34 bis de la loi informatique et libertés s’applique lorsque plusieurs conditions sont réunies : condition 1 : il faut qu’un traitement de données à caractère personnel ait été mis en œuvre condition 2 : le traitement doit être mis en oeuvre par un fournisseur de services de communications électroniques condition 3 : dans le cadre de son activité de fourniture de services de communications électroniques (par exemple, lors de la fourniture de son service de téléphonie ou d’accès à d’internet) condition 4 : ce traitement a fait l’objet d’une violation. Selon l’article 34 bis, une violation est constituée par une destruction, une perte, une altération, une divulgation, ou un accès non autorisé à des données à caractère personnel. Elle peut se produire de manière accidentelle ou illicite, l’intention malveillante étant l’un des possibles cas de figure, mais pas le seul.   Sont, par exemple, constitutifs d’une violation : Une intrusion dans la base de données de gestion clientèle d’un fournisseur d’accès internet (FAI) ; Une faille dans la boutique en ligne d’un opérateur mobile permettant de récupérer les numéros de cartes de crédits des clients ayant commandé un nouveau téléphone associé à un forfait (car ce sont les données clients collectées en tant qu’opérateur) ; Un email confidentiel destiné à un client d’un FAI, diffusé par erreur à d’autres personnes ; La perte d’un contrat papier d’un nouveau client par un agent commercial d’un opérateur mobile dans une boutique.   Ne sont pas des violations de données personnelles au sens de l’article 34 bis : Toute violation ne concernant pas un traitement du FAI comme un virus informatique qui s’attaque aux PC des abonnés du FAI pour collecter des données personnelles ; Toute activité ne concernant pas la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public tel que le piratage du fichier des ressources humaines du FAI.     Qui doit notifier la CNIL et informer les personnes concernées par la violation ? L’article 34 bis vise les “fournisseurs de services de communications électroniques accessibles au public”. Il s’agit des opérateurs devant être déclarés auprès de l’ARCEP (article L. 33-1 alinéa 1 du code des postes et des communications électroniques) (par exemple, les fournisseurs d’accès à internet ou de téléphonie fixe et mobile). Les services de la société d’information, tels que les banques en ligne, les sites d’e-commerce ou les téléservices des administrations, ne sont pas concernés. […]

image_pdfimage_print

Accès direct aux Thèmes

Derniers articles


Le Net Expert - 1, les Magnolias - 84300 Cavaillon
Contactez-nous - Newsletter - Mentions légales
Connexion à distance