Faille ou défaut de sécurité : nouvelles règles du jeu

faillePetit-déjeuner du 5 octobre 2011 – Alain Bensoussan et Céline Avignon ont animé un petit-déjeuner débat consacré à la nouvelle obligation de notification d’une faille de sécurité introduite par l’Ordonnance du 24 août 2011 de transposition du nouveau « Paquet télécom ».

S’agissant de la protection de la vie privée et des données personnelles dans le cadre des services de communications électroniques, l’ordonnance complète la loi relative à l’informatique, aux fichiers et aux libertés par de nouvelles obligations figurant à l’article 34 bis.

Cet article est une véritable révolution juridique qui s’applique à « toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques ».

L’article 34 bis crée quatre obligations :

  • d’information générale de la Cnil en cas de violation de sécurité ;
  • de notification aux clients dans un certain nombre de cas ;
  • de réaction immédiate pour remédier à la violation ;
  • d’inventaire visant à tenir à jour la liste des violations identifiées, leurs effets et les mesures prises pour y remédier.

Il confère également un nouveau pouvoir à la Cnil puisqu’il prévoit que cette dernière peut, après avoir examiné la gravité de la violation, mettre en demeure l’intéressé de procéder à une notification du client.

Ce nouvel article pose une série de questions dont la résolution est d’importance puisque le non-respect de l’obligation de « notification » est sanctionné pénalement.

Quelles sont les personnes soumises à ces nouvelles obligations ? Qu’est ce qu’une violation de sécurité : une faille ou un défaut ? Comment informer la Cnil et notifier les clients ? Quelles sont les « mesures de protection appropriées » qui permettent d’éviter une notification client ?

Que l’on soit ou non directement et immédiatement soumis à ces nouvelles dispositions, la réponse à ces questions intéresse tout un chacun dès lors que les objectifs posés tant par les instances nationales qu’européennes sont d’étendre cette obligation à tous les responsables de traitement quels qu’ils soient.

Nous vous avons proposé, à l’occasion d’un petit-déjeuner, de faire le point sur ces nouvelles dispositions.

Le petit-déjeuner débat a eu lieu le 5 octobre 2011 dans les locaux de ALAIN BENSOUSSAN sis 29, rue du Colonel Avia 75015 Paris.

Laisser un commentaire