Fuites de données perso : l’UE dévoile de nouvelles obligations pour les FAI

Fuites de données perso : l’UE dévoile de nouvelles obligations pour les FAI

Petite Commission

Avatar de l'auteur
Xavier Berne

Publié dans

Droit

25/06/2013 4 minutes
8

Fuites de données perso : l’UE dévoile de nouvelles obligations pour les FAI

La Commission européenne a dévoilé hier de nouvelles « mesures techniques d’application » censées compléter la législation actuelle en matière de notification par les FAI de violations de données à caractère personnel. Il faut dire que ce nouveau pas était attendu : Bruxelles avait lancé dès 2011 une consultation publique à ce sujet. L’entrée en vigueur de ces mesures devrait se faire avant le mois de septembre.

commission europe

 

Aujourd’hui, les fournisseurs d'accès à Internet (FAI) européens détiennent toute une batterie de données personnelles concernant leurs clients : nom, adresse, coordonnées bancaires, historiques de connexion, etc. « Ces sociétés sont soumises depuis 2011 à une obligation générale d'informer les autorités nationales et les abonnés en cas de violation de données à caractère personnel » rappelle cependant la Commission européenne. Les obligations ainsi faites aux opérateurs vont d'ailleurs être complétées par de nouvelles règles, formalisées au travers d’un règlement à effet direct et ne nécessitant aucune transposition sur un plan national (disponible ici en PDF - en anglais).

 

L’objectif de ces « mesures techniques d’application » ? Il s’agit selon Bruxelles de « garantir que tous les clients soient traités de la même façon dans l'ensemble de l'UE en cas de violation des données, et de faire en sorte que les sociétés présentes dans plusieurs pays puissent avoir une approche paneuropéenne en la matière ». En gros, il est question d’une harmonisation des règles, afin que les internautes d’un pays européen bénéficient des mêmes droits que les internautes situés dans un État membre voisin en cas de perte ou de vol de leurs données personnelles détenues par un FAI.

 

Plus concrètement, la Commission explique que les opérateurs seront par exemple tenus :  

  • d'informer l’autorité nationale compétente (en France, la CNIL) de tout incident dans un délai de 24 heures après la découverte de la violation des données, afin de limiter autant que faire se peut l’ampleur de cette violation. Au cas où la communication de toutes les informations ne pourrait se faire dans le délai imparti, les entreprises concernées devront fournir dans les 24 heures les informations initiales en leur possession et transmettre le reste des informations dans les trois jours.
  • de fournir une « brève description » des éléments d'information concernés et des mesures qui ont été prises ou qui seront prises par la société.
  • lorsqu’elles évaluent la nécessité d’informer les abonnés, les entreprises doivent soigneusement examiner le type de données ayant fait l’objet d’une violation, en particulier dans le secteur des télécommunications, selon qu’il s’agit d'informations de nature financière, de données de localisation, de fichiers journaux internet, d’historiques de sites Web consultés, de données relatives au courrier électronique et de listes d'appels téléphoniques détaillées.
  • d'utiliser un document harmonisé (par exemple un formulaire type en ligne, identique pour tous les États membres de l'UE) pour informer l'autorité nationale compétente.

Une dispense d’information obligatoire de l’abonné concerné est néanmoins prévue, dans l’hypothèse où l’opérateur utiliserait une mesure technique de protection (de cryptage par exemple), listée par la Commission en collaboration avec l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l'information).

 

L’entrée en vigueur de ce règlement, d’ores et déjà approuvé par un comité composé de représentants des États membres, se fera deux mois après sa publication au Journal officiel de l'Union européenne. Même si le texte n’a pas encore été publié, la Commission a assuré à PC INpact qu’il le serait « dans les jours à venir ». Bruxelles mise sur une entrée en vigueur de ces mesures pour la « fin août ». 

8

Écrit par Xavier Berne

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (8)


Une dispense d’information obligatoire de l’abonné concerné est néanmoins prévue, dans l’hypothèse où l’opérateur utiliserait une mesure technique de protection (de cryptage par exemple)



wot ! dat joke








comegetsome a écrit :



Une dispense d’information obligatoire de l’abonné concerné est néanmoins prévue, dans l’hypothèse où l’opérateur utiliserait une mesure technique de protection (de cryptage par exemple)



wot ! dat joke







C’est bon les gars, c’est hashé avec du md5, on est serein !



Outre le troll, c’est plutôt bonne nouvelle. Dommage que cela ne s’applique qu’aux FAI.

Faudrait que ça s’applique aussi aux entreprises et qu’on prevoit comme les pages “A propos” une page “Que fait on de vos données”





d’informer l’autorité nationale compétente (en France, la CNIL) de tout incident dans un délai de 24 heures après la découverte de la violation des données, afin de limiter autant que faire se peut l’ampleur de cette violation. Au cas où la communication de toutes les informations ne pourrait se faire dans le délai imparti, les entreprises concernées devront fournir dans les 24 heures les informations initiales en leur possession et transmettre le reste des informations dans les trois jours.





On peut savoir en quoi remplir de la paperasse aidera à éviter les problèmes ou à les corriger ?









Erèbe a écrit :



C’est bon les gars, c’est hashé avec du md5, on est serein !



Outre le troll, c’est plutôt bonne nouvelle. Dommage que cela ne s’applique qu’aux FAI.

Faudrait que ça s’applique aussi aux entreprises et qu’on prevoit comme les pages “A propos” une page “Que fait on de vos données”





Pour l’instant, c’est limité à “Conformément à la loi informatique et liberté de 1976 sur la rectification et la suppression des données personnelles”.









sr17 a écrit :



On peut savoir en quoi remplir de la paperasse aidera à éviter les problèmes ou à les corriger ?





Ça me rappelle la videoprotection…









sr17 a écrit :



On peut savoir en quoi remplir de la paperasse aidera à éviter les problèmes ou à les corriger ?







Bah en gros l’idée c’est de faire un compte rendu au führer administratif de sorte qu’il puisse dicter de nouvelles règles administratives si le problème rencontré contrarie ses plans administratifs. <img data-src=" />



non? <img data-src=" />



Inutile de vouloir protéger ces données de manière délirante, si “une équipe compétente” s’y intéresse, rien ne pourra les arrêter.


Ben je vous trouve bien négatifs.

Ca oblige le FAI à réagir (sinon rien à battre si qqun pompe les données des abonnés, ou disons, réaction molle et pas très pressée) : tu dois déclarer sous 24h l’incident et si jamais tu ne fais rien pour le contrer tu auras des comptes à rendre : ça va les motiver pour mieux protéger les données et si fuite il y a à réagir promptement. Je n’y vois que du bon.