Failles de sécurité est le troisième thème abordé par Maître Bensoussan lors de son interview par Sébastien David et Aurélie Magniez pour IT-Expert Magazine.
III. – Maître Bensoussan aborde les aspects de sécurité et notamment l’obligation de notification des failles de sécurité.
Le projet de règlement oblige le responsable du traitement et le sous-traitant à mettre en œuvre les mesures appropriées pour assurer la sécurité du traitement (art. 30). Fondé sur l’article 17, paragraphe 1, de la directive 95/46/CE, cette disposition étend l’obligation de sécurité aux sous-traitants, indépendamment du contrat conclu avec le responsable du traitement.
Par ailleurs, le projet de règlement prévoit qu’à la suite d’une évaluation des risques, le responsable du traitement et le sous-traitant prennent les mesures appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite et la perte accidentelle et pour empêcher toute forme illicite de traitement, notamment la divulgation, la diffusion ou l’accès non autorisés, ou l’altération de données à caractère personnel.
En outre, il prévoit qu’en cas de violation de données à caractère personnel, le responsable du traitement en adresse notification à l’autorité de contrôle sans retard injustifié et, si possible, 24 heures au plus tard après en avoir pris connaissance. Lorsqu’elle a lieu après ce délai de 24 heures, la notification comporte une justification à cet égard. Le sous-traitant devra alerter et informer le responsable du traitement immédiatement après avoir constaté la violation de données à caractère personnel (art. 31).
La «violation de données à caractère personnel » est définie comme « une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l’altération, la divulgation ou la consultation non autorisées de données à caractère personnel transmises, conservées ou traitées d’une autre manière ».
Outre ces nouvelles obligations, Alain Bensoussan nous parle également de l’impact de la notification des failles de sécurité en terme d’image de marque pour les entreprises.
Episode 3 : La notification des failles de sécurité