S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Fuites de données perso : l’UE dévoile de nouvelles obligations pour les FAI

Petite Commission

La Commission européenne a dévoilé hier de nouvelles « mesures techniques d’application » censées compléter la législation actuelle en matière de notification par les FAI de violations de données à caractère personnel. Il faut dire que ce nouveau pas était attendu : Bruxelles avait lancé dès 2011 une consultation publique à ce sujet. L’entrée en vigueur de ces mesures devrait se faire avant le mois de septembre.

commission europe

 

Aujourd’hui, les fournisseurs d'accès à Internet (FAI) européens détiennent toute une batterie de données personnelles concernant leurs clients : nom, adresse, coordonnées bancaires, historiques de connexion, etc. « Ces sociétés sont soumises depuis 2011 à une obligation générale d'informer les autorités nationales et les abonnés en cas de violation de données à caractère personnel » rappelle cependant la Commission européenne. Les obligations ainsi faites aux opérateurs vont d'ailleurs être complétées par de nouvelles règles, formalisées au travers d’un règlement à effet direct et ne nécessitant aucune transposition sur un plan national (disponible ici en PDF - en anglais).

 

L’objectif de ces « mesures techniques d’application » ? Il s’agit selon Bruxelles de « garantir que tous les clients soient traités de la même façon dans l'ensemble de l'UE en cas de violation des données, et de faire en sorte que les sociétés présentes dans plusieurs pays puissent avoir une approche paneuropéenne en la matière ». En gros, il est question d’une harmonisation des règles, afin que les internautes d’un pays européen bénéficient des mêmes droits que les internautes situés dans un État membre voisin en cas de perte ou de vol de leurs données personnelles détenues par un FAI.

 

Plus concrètement, la Commission explique que les opérateurs seront par exemple tenus :  

  • d'informer l’autorité nationale compétente (en France, la CNIL) de tout incident dans un délai de 24 heures après la découverte de la violation des données, afin de limiter autant que faire se peut l’ampleur de cette violation. Au cas où la communication de toutes les informations ne pourrait se faire dans le délai imparti, les entreprises concernées devront fournir dans les 24 heures les informations initiales en leur possession et transmettre le reste des informations dans les trois jours.
  • de fournir une « brève description » des éléments d'information concernés et des mesures qui ont été prises ou qui seront prises par la société.
  • lorsqu’elles évaluent la nécessité d’informer les abonnés, les entreprises doivent soigneusement examiner le type de données ayant fait l’objet d’une violation, en particulier dans le secteur des télécommunications, selon qu’il s’agit d'informations de nature financière, de données de localisation, de fichiers journaux internet, d’historiques de sites Web consultés, de données relatives au courrier électronique et de listes d'appels téléphoniques détaillées.
  • d'utiliser un document harmonisé (par exemple un formulaire type en ligne, identique pour tous les États membres de l'UE) pour informer l'autorité nationale compétente.

Une dispense d’information obligatoire de l’abonné concerné est néanmoins prévue, dans l’hypothèse où l’opérateur utiliserait une mesure technique de protection (de cryptage par exemple), listée par la Commission en collaboration avec l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l'information).

 

L’entrée en vigueur de ce règlement, d’ores et déjà approuvé par un comité composé de représentants des États membres, se fera deux mois après sa publication au Journal officiel de l'Union européenne. Même si le texte n’a pas encore été publié, la Commission a assuré à PC INpact qu’il le serait « dans les jours à venir ». Bruxelles mise sur une entrée en vigueur de ces mesures pour la « fin août ». 

Xavier Berne

Journaliste, spécialisé dans les thématiques juridiques et politiques.

Publiée le 25/06/2013 à 17:10

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 8 commentaires

Avatar de comegetsome INpactien
comegetsome Le mardi 25 juin 2013 à 17:41:31
Inscrit le vendredi 17 juin 11 - 54 commentaires
Une dispense d’information obligatoire de l’abonné concerné est néanmoins prévue, dans l’hypothèse où l’opérateur utiliserait une mesure technique de protection (de cryptage par exemple)

wot ! dat joke
Avatar de Erèbe INpactien
Erèbe Le mardi 25 juin 2013 à 18:02:15
Inscrit le jeudi 11 avril 13 - 30 commentaires
Une dispense d’information obligatoire de l’abonné concerné est néanmoins prévue, dans l’hypothèse où l’opérateur utiliserait une mesure technique de protection (de cryptage par exemple)

wot ! dat joke


C'est bon les gars, c'est hashé avec du md5, on est serein !

Outre le troll, c'est plutôt bonne nouvelle. Dommage que cela ne s'applique qu'aux FAI.
Faudrait que ça s'applique aussi aux entreprises et qu'on prevoit comme les pages "A propos" une page "Que fait on de vos données"

Edité par erèbe le mardi 25 juin 2013 à 18:05
Avatar de sr17 INpactien
sr17 Le mardi 25 juin 2013 à 18:06:59
Inscrit le lundi 26 décembre 05 - 12076 commentaires
d'informer l’autorité nationale compétente (en France, la CNIL) de tout incident dans un délai de 24 heures après la découverte de la violation des données, afin de limiter autant que faire se peut l’ampleur de cette violation. Au cas où la communication de toutes les informations ne pourrait se faire dans le délai imparti, les entreprises concernées devront fournir dans les 24 heures les informations initiales en leur possession et transmettre le reste des informations dans les trois jours.


On peut savoir en quoi remplir de la paperasse aidera à éviter les problèmes ou à les corriger ?



Edité par sr17 le mardi 25 juin 2013 à 18:07
Avatar de linkin623 INpactien
linkin623 Le mardi 25 juin 2013 à 20:39:33
Inscrit le lundi 5 mai 08 - 6553 commentaires


C'est bon les gars, c'est hashé avec du md5, on est serein !

Outre le troll, c'est plutôt bonne nouvelle. Dommage que cela ne s'applique qu'aux FAI.
Faudrait que ça s'applique aussi aux entreprises et qu'on prevoit comme les pages "A propos" une page "Que fait on de vos données"

Pour l'instant, c'est limité à "Conformément à la loi informatique et liberté de 1976 sur la rectification et la suppression des données personnelles".
Avatar de Winderly INpactien
Winderly Le mardi 25 juin 2013 à 20:41:22
Inscrit le vendredi 19 mai 06 - 7549 commentaires


On peut savoir en quoi remplir de la paperasse aidera à éviter les problèmes ou à les corriger ?


Ça me rappelle la videoprotection...

Il y a 8 commentaires

;