L’obligation de notification des failles de sécurité
Le décret du 30 mars 2012 précise les modalités pratiques de notification des failles à la Cnil et aux personnes concernées des violations de sécurité visées par la loi Informatique et libertés.
La loi du 6 janvier 1978 prévoit, en son article 34 bis, qu’en cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public doit avertir sans délai :
- la Cnil de l’existence d’une violation ;
- les personnes concernées, lorsqu’il y a un risque d’atteinte à la vie privée ou d’atteinte aux données à caractère personnel.
Le décret du 30 mars 2012 est venu préciser les informations que le fournisseur doit communiquer à :
- la Cnil en cas de violation de données à caractère personnel ;
- la personne concernée en cas de risque d’atteinte aux données à caractère personnel ou à la vie privée d’une personne.
Ce texte précise, toutefois, que le fournisseur peut être dispensé de notifier la violation de sécurité à la personne concernée s’il a mis en place des mesure de protection appropriées (la définition de telles mesures étant donnée par le décret) et si la Cnil a constaté que ces mesures ont été mises en œuvre.
Il est important de rappeler que le non respect des obligations d’information peut coûter cher au fournisseur, le code pénal le punissant de cinq ans d’emprisonnement et de 300 000 € d’amende.
L’implémentation, par les fournisseurs de services de communications électroniques accessibles au public, d’une stratégie interne relative à la possibilité d’informer la Cnil de la mise en œuvre de mesures de protection afin bénéficier de l’exception de notification des failles, semble donc à envisager.
Décret n° 2012-436 du 30-3-2012
Décret n° 2005-1309 du 20-10-2005