Les obligations de notification des incidents de sécurité

notification des incidents de sécuritéLes obligations de notification des incidents de sécurité informatique nécessitent une gestion rigoureuse des événements et un système d’alerte performant.

Plusieurs autorités peuvent être notifiées en fonction du secteur d’activité de l’organisme et de sa sensibilité pour la sécurité nationale, de la nature des données collectées et du type de traitement.

Afin de répondre à l’ampleur de ce phénomène, l’introduction d’un guichet unique, qui centralise l’ensemble des incidents de sécurité, peut constituer une solution pragmatique et efficace pour simplifier les démarches des entreprises.

La notification des incidents de sécurité aux Agences régionales de santé

Les centres de santé (hôpitaux, cliniques, centres de soins, structures pour personnes âgées, handicapées et dépendantes) ont l’obligation de notifier les incidents graves de sécurité de leur système d’information aux organismes administratifs chargés de la mise en œuvre de la politique de santé au niveau régional.

Cette notification des incidents graves de sécurité aux Agences régionales de santé (ARS) vise pour l’essentiel à :

  • informer les autorités de l’Etat ;
  • aider les établissements concernés à prendre des mesures adaptées;
  • alerter l’ensemble des acteurs de santé concernés.

Les établissements de santé concernés ont l’obligation de signaler les incidents graves de sécurité, à savoir, les événements générateurs d’une situation exceptionnelle et notamment :

  • les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins ;
  • les incidents ayant des conséquences sur la confidentialité ou l’intégrité des données de santé ;
  • les incidents portant atteinte au fonctionnement normal de l’établissement, de l’organisme ou du service concerné.

La déclaration de notification des incidents graves de sécurité s’effectue, sans délai, sur le site signalement-sante.gouv.fr, ou, en cas d’impossibilité, par voie de formulaire figurant en annexe de l’arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d’information (1).

Les notifications des violations de données à caractère personnel à la Cnil

Tout responsable d’un traitement a l’obligation de notifier à la Commission nationale de l’informatique et des libertés (Cnil) les violations de données à caractère personnel, c’est-à-dire, toute violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

En cas de recours à la sous-traitance, le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

Le G29, groupe de travail réunissant les autorités de contrôles européennes, distingue trois cas de violations de données :

  • les violations de confidentialité : en cas de divulgation et/ou d’accès (accidentel ou non-autorisé) à des données personnelles ;
  • les violations de disponibilité : en cas de perte et/ou destruction (accidentel ou non-autorisé) de données personnelles ;
  • les violations d’intégrité : en cas d’altération et/ou modification (accidentel ou non-autorisé) de données personnelles.

La notification devra être effectuée au plus tard dans les 72 heures après que le responsable du traitement a eu connaissance de la violation. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

De plus, lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement communique également la violation de données à caractère personnel aux personnes concernées dans les meilleurs délais.

Les notifications des incidents de sécurité à l’Anssi

Trois catégories d’acteurs ont l’obligation de notifier à l’Agence nationale de la sécurité des systèmes d’Information (Anssi) les incidents de sécurité de leur système d’information.

Les Opérateurs d’importance vitale (OIV) sont désignés par le gouvernent. Ces organismes sont des entreprises exploitant des établissements ou utilisant des installations dont l’indisponibilité risquerait de diminuer la sécurité nationale. A cet égard, les OIV ont l’obligation d’informer le Premier ministre des incidents affectant le fonctionnement ou la sécurité de leur système d’information.

On trouve également, les Opérateurs de services essentiels (OSE) qui, désignés par le Premier ministre, offrent des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents affectant leur système d’information. Ces derniers doivent également déclarer à l’Anssi les incidents qui ont ou sont susceptibles d’avoir, compte tenu notamment du nombre d’utilisateurs et de la zone géographique touchés, ainsi que de la durée de l’incident, un impact significatif sur la continuité de ces services.

Les Fournisseurs de services numériques (FSN), entreprises qui fournissent des services de places de marché en ligne, des moteurs de recherche en ligne, ou services d’informatique en nuage sont également les débiteurs d’une obligation de notification à l’Anssi des incidents de sécurité qui affectent leur système d’information. Ces entreprises ont notamment l’obligation de déclarer les incidents affectant les réseaux et systèmes d’information nécessaires à la fourniture de leurs services dans l’Union européenne, lorsque les informations dont ils disposent font apparaître que ces incidents ont un impact significatif sur la fourniture de ces services.

En ce qui concerne les modalités de signalement, l’Anssi met à la disposition de ces acteurs un formulaire de déclaration d’un incident de sécurité, accessible depuis son site internet. Ce document devra lui être transmis sur un support adapté à la sensibilité des informations déclarées.

La notification d’incident de sécurité auprès de l’Anssi devra par ailleurs être effectuée, sans retard injustifié, par ces opérateurs.

Les notifications d’incidents à la Banque de France

Les Prestataires de services de paiement (PSP) regroupent les établissements de paiement et les établissements de crédit. Ces derniers doivent informer, sans retard injustifié, l’Autorité de contrôle prudentiel et de résolution (ACPR) de tout incident opérationnel majeur et la Banque de France de tout incident opérationnel majeur qu’ils auraient à connaître dans le cadre de leur activité. Cet incident est défini comme un évènement découlant de processus inadéquats ou défaillants, de personnes et systèmes ou d’événements de force majeure qui affectent l’intégrité, la disponibilité, la confidentialité, l’authenticité et/ou la continuité des services liés aux paiements.

La notification des incidents à l’ACPR et à la Banque de France s’effectue sur la base d’un modèle de notification pour les prestataires de services de paiement conforme à l’annexe 1 des lignes directrices EBA/GL/2017/10 (2). Ce document est communiqué dans les 4 heures qui suivent l’incident en se connectant à la Banque de France via un site internet dédié.

Anthony Coquer
Jean-François Mary
Lexing Département Sécurité et organisation

(1) Arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d’information, JORF n°0261 du 8-11-2017 .
(2) Orientations sur la notification des incidents majeurs en vertu de la directive (UE) 2015/2366 (DSP2), (EBA/GL/2017/10), 19-12-2017 : Lignes directrices, annexe 1 p. 21.




RGPD Notification des violations de données personnelles

notification des violations de données personnellesA compter du 25 mai 2018, il existera de nouvelles obligations de notification des violations de données personnelles.

En effet, le règlement général sur la protection des données (RGPD) (Rég. UE 2016/679 du 27-4-2016) généralise l’obligation de notification des failles de sécurité à l’autorité de contrôle compétente et impose une nouvelle obligation de communication aux personnes concernées par une violation de leurs données personnelles.

Ces obligations s’appliquent à tous les responsables de traitement, c’est-à-dire à tout organisme qui « détermine les finalités et les moyens du traitement » (Art. 4, 7° du RGPD), et non plus seulement aux entreprises fournissant des services de communications électroniques, comme le droit français l’impose à l’heure actuelle.

L’obligation de notification des violations de données personnelles à l’autorité de contrôle

L’obligation de notification à l’autorité de contrôle d’une violation de données à caractère personnel est introduite par l’article 33 du RGPD.

En vertu de cet article, le responsable du traitement doit notifier toute violation de données à caractère personnel à l’autorité de contrôle compétente dans les meilleurs délais, et si possible, 72 heures au plus tard après en avoir pris connaissance. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans ce délai, il convient de l’informer des motifs du retard. En France, l’autorité de contrôle compétente est la Cnil.

Lorsqu’un responsable du traitement constate une violation des données à caractère personnel qu’il traite, il est tenu d’informer l’autorité de contrôle de :

  • la nature de la violation de données à caractère personnel y compris, si possible, des catégories et du nombre approximatif de personnes concernées par la violation et des catégories et du nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • du nom et des coordonnées du délégué à la protection des données (DPO), ou de tout contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • des conséquences probables de la violation de données à caractère personnel ;
  • des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

S’il n’est pas possible de fournir toutes ces informations en même temps, elles peuvent l’être par étapes, dans un délai raisonnable.

De plus, le responsable du traitement doit documenter toute violation des données à caractère personnel, en décrivant les faits et les mesures qui ont été prises afin de permettre à la Cnil de vérifier qu’il a bien respecté son obligation de notification.

Il existe cependant une dérogation à cette obligation de notification des violations de données personnelles lorsque les violations en question ne sont pas susceptibles d’engendrer un risque pour les droits et libertés des personnes physiques. En outre, dans l’attente de la mise en œuvre du règlement et au regard des rapports publiés sur le sujet, cette obligation ne s’imposerait que pour les données qui pourraient être lues (2). Les failles concernant les données fortement chiffrées, rendant l’identification des données et des personnes, impossible n’auraient pas à être notifiées.

Le devoir de communication aux personnes concernées

L’obligation de notification des violations de données personnelles aux personnes concernées est introduite par l’article 34 du RGPD.

Conformément à cet article, le responsable du traitement doit informer la personne concernée de toute violation de ses données à caractère personnel lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.

La communication à la personne concernée doit être claire et simple, et contenir les informations suivantes :

  • le nom et des coordonnées du délégué à la protection des données (DPO), ou de tout contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • les conséquences probables de la violation de données à caractère personnel ;
  • les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Il existe certaines dérogations à la notification des violations de données personnelles aux personnes concernées lorsque :

  • le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement ;
  • le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n’est plus susceptible de se matérialiser ;
  • elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.

Dans l’éventualité où le responsable du traitement ne remplirait pas cette obligation de notification des violations de données personnelles à la personne concernée, l’autorité de contrôle peut intervenir et exiger du responsable du traitement qu’il procède à cette communication.

Virginie Bensoussan-Brulé
Lexing Contentieux numérique

(1) Règlement (UE) 2016/679 du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JOUE L 119 du 4-5-2016, p. 1–88)
(2) J. Ph. Albrecht, Rapport sur la proposition de règlement, Doc. A7-0402-2013 du 21-11-2013, amendement 64, p. 477.




Failles de sécurité et violation de données personnelles

Couverture Minilex Failles de sécurité« Failles de sécurité et violation de données personnelles » la dernière publication du cabinet Alain Bensoussan Avocats Lexing aux éditions Larcier , premier ouvrage permettant aux entreprises de savoir comment réagir sur le plan juridique lorsqu’elles sont confrontées à une fuite de données.

Les médias se font régulièrement l’écho de comptes clients dérobés lors d’attaques informatiques ou dévoilées sur internet, et ce en raison d’une mauvaise configuration d’un site web, d’une « faille de sécurité ».

De la gestion à la production en passant par le marketing, quel que soit le secteur d’activité, l’informatique et plus généralement les réseaux sont omniprésents et rendent vulnérable toute organisation face aux failles de sécurité.

Qu’est-ce qu’une violation de sécurité : une faille ou un défaut ?

Cette expression a une acception très large. Elle recouvre tous les éléments qui portent atteinte à un système de traitement automatisé de données : les erreurs, les bogues, mais aussi les fraudes internes et externes. Elle traduit le fait qu’à un instant des données se trouvent avoir été corrompues.

Les risques sont importants : piratage des systèmes de traitement automatisé de données (STAD), perte d’informations confidentielles et stratégiques, vol de données personnelles, et lourds de conséquences tant sur le plan financier qu’en termes d’image.

Comment notifier à la Cnil et informer les clients et partenaires lorsque la faille de sécurité a conduit à une violation de données à caractère personnel ? Quelles sont les organisations soumises à cette obligation de notification et d’information ? Quelles sont les mesures de protection appropriées et les actions qui doivent être mises en œuvre ? Quels sont les recours et sanctions en cas d’exploitation d’une faille de sécurité par des pirates informatiques ? Quels services spécialisés de la police ou de la gendarmerie peut-on solliciter ? Comment ce cyber risque est-il couvert par les assureurs ?

Autant de questions abordées par cet ouvrage à jour du nouveau Règlement européen sur la protection des données adopté le 27 avril 2016, qui notamment généralise à l’ensemble des entreprises, quel que soit leur secteur d’activité, l’obligation de notifier les violations de données personnelles aux autorités nationales compétentes et, dans certains cas, aux personnes concernées.

Second ouvrage de la collection des MiniLex qui rassemble des ouvrages traitant l’essentiel des questions juridiques d’une technologie, le MiniLex Failles de sécurité et violation de données personnelles, a été rédigé par Virginie Bensoussan-Brulé, Chloé Torres, avec la collaboration de Gérôme Billois, Senior Manager, et Vincent Nguyen, consultant senior, au cabinet Solucom.

Il est édité par les éditions Larcier dans la collection Lexing-Technologies avancées & Droit. Il est préfacé par Lazaro Pejsachowicz, Président du Clusif.

MiniLex Failles de sécurité et violation de données personnelles, Ed. Larcier, Juillet 2016 (146 p.).




Protection des données : adoption du règlement européen

Adoption du règlement européen sur la protection des donnéesLe Parlement européen a adopté le 14 avril 2016 le règlement général sur la protection des données personnelles (1).

Réunis en séance plénière à Strasbourg, les parlementaires ont mis un point final à la réforme sur la protection des données personnelles après 4 années de travaux et de débats.

L’objectif du règlement est d’instaurer des mécanismes visant à assurer une application cohérente de la législation en matière de protection des données dans l’ensemble de l’Union européenne.

Les points clés du règlement sont :

  • la consécration d’un droit à l’oubli numérique pour les personnes concernées ainsi qu’un droit à la portabilité des données ;
  • le principe d’accountability ;
  • l’obligation de la mise en œuvre de la protection des données dès la conception et par défaut ;
  • le principe de security by design ;
  • la fonction de data protection officer ;
  • l’obligation de notification des violations de données à caractère personnel.

Les sanctions susceptibles d’être prononcées à l’égard d’un responsable de traitement ou d’un sous traitant qui ne respecterait pas les dispositions du règlement sont très élevées, jusqu’à 2 ou 4 % du chiffre d’affaires mondial.

Le règlement européen entrera en vigueur 20 jours après sa publication au Journal officiel de l’Union européenne.

Les entreprises disposent donc d’un délai de deux ans à compter de cette date pour se conformer aux nouvelles exigences prévues par le règlement.

Lexing Alain Bensoussan Selas
Lexing Droit de l’Informatique et des libertés

(1) Règlement européen n°5419/1/16 du 8-4-2016 tel qu’adopté par le Parlement européen le 14-4-2016. Règlement 2016/679.




La réforme des données personnelles : avis d’expert

réforme des données personnellesLa réforme des données personnelles abordée par Maître Bensoussan interviewé par Sébastien David et Aurélie Magniez pour IT-Expert Magazine.

Un projet de règlement européen est sur le point de réformer profondément le cadre de la protection des données personnelles en Europe.

Si pour les entreprises, le projet de réforme des données personnelles va vers une simplification en matière de formalités administratives, il les soumet à des obligations accrues pour une meilleure protection des personnes. Chaque entreprise devra donc placer la protection des données au cœur de ses préoccupations et anticiper la réforme.

Maître Bensoussan nous livre en 4 épisodes son analyse juridique sur l’impact qu’aura le règlement Européen pour les entreprises.

L’apparition d’un règlement

Le projet de règlement est constitué de la directive 95/46 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, à la quelle ont été ajoutés les nouveaux principes suivants : le droit à l’oubli, le principe de minima et le formatage ainsi que la remise des données sous un format réutilisable.

Accountability

Il explique les modalités concrètes de la mise en oeuvre du règlement Européen qui réforme la protection des données personnelles et les conséquences pour l’entreprise de plus de 250 personnes, à travers le principe d’Accountability.

Notification des failles de sécurité

Maître Bensoussan aborde les aspects de sécurité et notamment l’obligation de notification des failles de sécurité. Il nous parle également de l’impact de cette notification en terme d’image de marque pour les entreprises.

Le CIL, obligations et missions

Il nous présente le CIL – Correspondant Informatique et Libertés – ses obligations et ses missions. Aujourd’hui, il n’est pas obligatoire pour les entreprises d’avoir un correspondant informatique et libertés mais vivement conseillé…

Interview intégrale IT-Expert




Failles de sécurité et réforme des données personnelles

Failles de sécuritéFailles de sécurité est le troisième thème abordé par Maître Bensoussan lors de son interview par Sébastien David et Aurélie Magniez pour IT-Expert Magazine.

III. – Maître Bensoussan aborde les aspects de sécurité et notamment l’obligation de notification des failles de sécurité.

Le projet de règlement oblige le responsable du traitement et le sous-traitant à mettre en œuvre les mesures appropriées pour assurer la sécurité du traitement (art. 30). Fondé sur l’article 17, paragraphe 1, de la directive 95/46/CE, cette disposition étend l’obligation de sécurité aux sous-traitants, indépendamment du contrat conclu avec le responsable du traitement.

Par ailleurs, le projet de règlement prévoit qu’à la suite d’une évaluation des risques, le responsable du traitement et le sous-traitant prennent les mesures appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite et la perte accidentelle et pour empêcher toute forme illicite de traitement, notamment la divulgation, la diffusion ou l’accès non autorisés, ou l’altération de données à caractère personnel.

En outre, il prévoit qu’en cas de violation de données à caractère personnel, le responsable du traitement en adresse notification à l’autorité de contrôle sans retard injustifié et, si possible, 24 heures au plus tard après en avoir pris connaissance. Lorsqu’elle a lieu après ce délai de 24 heures, la notification comporte une justification à cet égard. Le sous-traitant devra alerter et informer le responsable du traitement immédiatement après avoir constaté la violation de données à caractère personnel (art. 31).

La «violation de données à caractère personnel » est définie comme « une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l’altération, la divulgation ou la consultation non autorisées de données à caractère personnel transmises, conservées ou traitées d’une autre manière ».

Outre ces nouvelles obligations, Alain Bensoussan nous parle également de l’impact de la notification des failles de sécurité en terme d’image de marque pour les entreprises.

Episode 3 : La notification des failles de sécurité




Cnil : Procédure en ligne de notification des violations de données

Cnil : Procédure en ligne de notification des violations de donnéesLa Cnil a créé sa procédure en ligne de notification des violations de données personnelles le 23 août 2013 (1). Cette procédure, effective depuis le 25 août, fait suite à la publication du règlement européen du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel qui impose aux autorités de protection des données de mettre à disposition des fournisseurs de communications électroniques une procédure de notification des violations de données à caractère personnel.

Pour rappel, l’obligation de notification, qui incombe pour l’heure uniquement aux fournisseurs de communications électroniques, résulte de la ratification de la directive Paquet Telecom, qui a été transposée à l’article 34 bis de la loi Informatique et libertés.

Dès lors, si un fournisseur de communications électroniques constate une violation de données personnelles, il devra utiliser le formulaire téléchargeable sur le site internet de la Cnil, lequel pourra être adressé par la même voie. La Cnil met également à leur disposition un outil d’aide à l’analyse du degré de gravité de la violation de données personnelles.

Cette télé-procédure sera probablement étendue dans un futur proche, dans la mesure où le projet de règlement européen de protection des données à caractère personnel du 25 janvier 2012 prévoit l’extension de l’obligation de notification à tous les responsables de traitement.

Polyanna Bigle
Lexing Droit Sécurité des systèmes d’information
Caroline Macé
Lexing Droit Informatique et libertés contentieux

(1) Cnil, Rubrique Actualité, article du 23-8-2013




L’obligation de notification des failles de sécurité

notification des faillesLe décret du 30 mars 2012 précise les modalités pratiques de notification des failles à la Cnil et aux personnes concernées des violations de sécurité visées par la loi Informatique et libertés.

La loi du 6 janvier 1978 prévoit, en son article 34 bis, qu’en cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public doit avertir sans délai :

  • la Cnil de l’existence d’une violation ;
  • les personnes concernées, lorsqu’il y a un risque d’atteinte à la vie privée ou d’atteinte aux données à caractère personnel.

Le décret du 30 mars 2012 est venu préciser les informations que le fournisseur doit communiquer à :

  • la Cnil en cas de violation de données à caractère personnel ;
  • la personne concernée en cas de risque d’atteinte aux données à caractère personnel ou à la vie privée d’une personne.

Ce texte précise, toutefois, que le fournisseur peut être dispensé de notifier la violation de sécurité à la personne concernée s’il a mis en place des mesure de protection appropriées (la définition de telles mesures étant donnée par le décret) et si la Cnil a constaté que ces mesures ont été mises en œuvre.

Il est important de rappeler que le non respect des obligations d’information peut coûter cher au fournisseur, le code pénal le punissant de cinq ans d’emprisonnement et de 300 000 € d’amende.

L’implémentation, par les fournisseurs de services de communications électroniques accessibles au public, d’une stratégie interne relative à la possibilité d’informer la Cnil de la mise en œuvre de mesures de protection afin bénéficier de l’exception de notification des failles, semble donc à envisager.

Décret n° 2012-436 du 30-3-2012
Décret n° 2005-1309 du 20-10-2005




Faille ou défaut de sécurité : nouvelles règles du jeu

faillePetit-déjeuner du 5 octobre 2011 – Alain Bensoussan et Céline Avignon ont animé un petit-déjeuner débat consacré à la nouvelle obligation de notification d’une faille de sécurité introduite par l’Ordonnance du 24 août 2011 de transposition du nouveau « Paquet télécom ».

S’agissant de la protection de la vie privée et des données personnelles dans le cadre des services de communications électroniques, l’ordonnance complète la loi relative à l’informatique, aux fichiers et aux libertés par de nouvelles obligations figurant à l’article 34 bis.

Cet article est une véritable révolution juridique qui s’applique à « toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques ».

L’article 34 bis crée quatre obligations :

  • d’information générale de la Cnil en cas de violation de sécurité ;
  • de notification aux clients dans un certain nombre de cas ;
  • de réaction immédiate pour remédier à la violation ;
  • d’inventaire visant à tenir à jour la liste des violations identifiées, leurs effets et les mesures prises pour y remédier.

Il confère également un nouveau pouvoir à la Cnil puisqu’il prévoit que cette dernière peut, après avoir examiné la gravité de la violation, mettre en demeure l’intéressé de procéder à une notification du client.

Ce nouvel article pose une série de questions dont la résolution est d’importance puisque le non-respect de l’obligation de « notification » est sanctionné pénalement.

Quelles sont les personnes soumises à ces nouvelles obligations ? Qu’est ce qu’une violation de sécurité : une faille ou un défaut ? Comment informer la Cnil et notifier les clients ? Quelles sont les « mesures de protection appropriées » qui permettent d’éviter une notification client ?

Que l’on soit ou non directement et immédiatement soumis à ces nouvelles dispositions, la réponse à ces questions intéresse tout un chacun dès lors que les objectifs posés tant par les instances nationales qu’européennes sont d’étendre cette obligation à tous les responsables de traitement quels qu’ils soient.

Nous vous avons proposé, à l’occasion d’un petit-déjeuner, de faire le point sur ces nouvelles dispositions.

Le petit-déjeuner débat a eu lieu le 5 octobre 2011 dans les locaux de ALAIN BENSOUSSAN sis 29, rue du Colonel Avia 75015 Paris.




Consultation européenne sur la notification des violations de données personnelles

La Commission européenne lance une consultation sur les modalités pratiques de l’entrée en vigueur de l’obligation prévue par la directive 2009/136/CE « Vie privée et communications électroniques » du 25 novembre 2009, qui impose aux fournisseurs d’accès à internet d’informer les autorités nationales compétentes de toute violation des données personnelles.Elle entend ainsi recueillir les commentaires des opérateurs de télécommunications, des fournisseurs de services internet, des Etats membres, des autorités nationales responsables des données et des organisations de défense des consommateurs.

La consultation, qui prendra fin le 9 septembre prochain, pourrait donner lieu à la rédaction, par la Commission, de « mesures techniques d’application » susceptibles d’être examinées par le Parlement.

Commission européenne, Communiqué du 14-7-2011