L’obligation de notification des failles de sécurité

Le décret n° 2012-436 du 30 mars 2012 portant transposition du nouveau cadre réglementaire européen des communications électroniques est venu préciser les modalités pratiques des notifications à la Cnil et aux personnes concernées des violations de sécurité visées par la loi Informatique et libertés. La loi du 6 janvier 1978 prévoit, en son article 34 bis, qu’en cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public doit avertir sans délai :
 

  • la Cnil de l’existence d’une violation ;
  • les personnes concernées, lorsqu’il y a un risque d’atteinte à la vie privée ou d’atteinte aux données à caractère personnel.
  • Le décret du 30 mars 2012 est venu préciser les informations que le fournisseur doit communiquer à :

    • la Cnil en cas de violation de données à caractère personnel ;
    • la personne concernée en cas de risque d’atteinte aux données à caractère personnel ou à la vie privée d’une personne.

    Ce texte précise, toutefois, que le fournisseur peut être dispensé de notifier la violation de sécurité à la personne concernée s’il a mis en place des mesure de protection appropriées (la définition de telles mesures étant donnée par le décret) et si la Cnil a constaté que ces mesures ont été mises en œuvre.

    Il est important de rappeler que le non respect des obligations d’information peut coûter cher au fournisseur, le code pénal le punissant de cinq ans d’emprisonnement et de 300 000 € d’amende.

    L’implémentation, par les fournisseurs de services de communications électroniques accessibles au public, d’une stratégie interne relative à la possibilité d’informer la Cnil de la mise en œuvre de mesures de protection afin bénéficier de l’exception de notification, semble donc à envisager.

    Décret n° 2012-436 du 30-3-2012
    Décret n° 2005-1309 du 20-10-2005

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *