S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

EU : les pertes de données bientôt notifiées aux CNIL et aux victimes

Comme pour le L34bis de la loi CNIL

Exclu. Dans un projet de réglement, les autorités européennes veulent définir un nouveau cadre juridique pour la protection des données personnelles dans l'UE. Dans ce document que PC INpact s’est procuré, l’Europe prépare une série de mesures pour encadrer la sécurisation informatique des données personnelles contre le piratage ou la perte de données.

directive européen protection données personnelles

Jusqu’à présent, les esprits s’étaient plutôt concentrés sur la sanction des atteintes aux systèmes informatisés. Avec ce projet de directive, on renverse la vapeur en obligeant les acteurs qui manipulent des données personnelles à implémenter des « mesures techniques appropriées » selon la nature des données personnelles à protéger. Le texte européen ne fixe pas de variable technique (qualité du chiffrement, etc.), il souligne cependant que ce niveau de sécurité sera en fonction de l’état de l’art et du coût d’implémentation. La Commission pourra néanmoins se pencher sur ces critères afin de mieux en préciser les paramètres.

En cas de faille, fuite, piratage, perte, etc. en Europe, deux actions seront à suivre. L’une auprès du gendarme des données personnelles, l’autre auprès de la personne mentionnée dans ces fichiers.

Le gestionnaire des fichiers devra d’abord alerter sans délai, et au plus tard dans les 24h, le gendarme des données personnelles, soit en France, la CNIL. Dans cette notification, il devra notamment décrire la nature et le volume des données personnelles mais également les conséquences de cette violation. Pour l’avenir, il devra aussi indiquer les mesures prises pour colmater la brèche.

directive européen protection données personnelles  directive européen protection données personnelles

Alerter les personnes désignées dans les données personnelles

Le texte va plus loin encore. En plus de notifier « sa » CNIL nationale, le responsable du traitement devra aussi alerter dans le même temps les victimes de cette brèche. À cette occasion, il devra les informer des mesures à prendre pour atténuer les effets du piratage ou de la perte de données (changer mot de passe, etc.).

Si la notification de la CNIL est obligatoire, celle aux victimes ne sera cependant pas automatique. Le responsable du traitement pourra l’éviter s’il démontre à la CNIL avoir pris les fameuses mesures techniques appropriées. « Ces mesures techniques de protection rendent les données incompréhensibles à toute personne non autorisée à y accéder » prévient le projet de directive. Faute de réponse satisfaisante, chaque CNIL pourra toujours obliger le responsable du traitement à des mesures de publicités auprès des victimes.

La France et les opérateurs télécoms

La France déjà mis en œuvre un tel dispositif dans le cadre de l'ordonnance transposant le Paquet Télécom. Nous l'avions évoqué à l'égard de la problématique des FADET.

Le dispositif entré en application ne concerne cependant que les données des opérateurs. En cas de violation de données à caractère personnel ou touchant à la vie privée, l’article 34 bis de la loi CNIL oblige alors les acteurs des télécoms à avertir sans délai la Commission Informatique et libertés. Ils sont aussi tenus d'informer l'abonné-victime sauf si la CNIL constate que « les mesures de protection appropriées » ont été finalement mises en œuvre. Dans tous les cas, la Commission nationale de l'informatique et des libertés peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d'informer également les intéressés.
Marc Rees

Journaliste, rédacteur en chef

Google+

Publiée le 26/12/2011 à 11:55

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...
;