Les nouvelles obligations dévoilées en juin dernier par la Commission européenne et reposant sur les épaules des fournisseurs de services de communications électroniques (FAI, opérateurs mobiles,…) viennent d'entrer en vigueur. La Commission nationale de l'informatique et des libertés (CNIL) a d'ailleurs mis en place une téléprocédure afin que ces intermédiaires puissent notifier à l'institution toute violation de données personnelles.
C'est hier qu'est entré en vigueur le règlement européen n°611/2013. Ce texte à effet direct (puisqu'il ne nécessite pas de transposition en droit interne) contient toute une série de « mesures techniques d’application », censées compléter la législation actuelle relative aux notifications que doivent effectuer les fournisseurs de services de communications électroniques dès lors qu'il y a une violation des données personnelles de leurs utilisateurs (accès non autorisé à des données, destruction, perte,...). Ce texte devait effectivement devenir applicable deux mois après sa publication au Journal officiel de l'Union européenne, soit le 25 août.
Comme nous l'expliquions en juin dernier, les opérateurs (de téléphonie mobile, les FAI, etc.) sont tenus de longue date d'informer les autorités nationales compétentes à partir du moment où il y a violation des données personnelles de leurs clients, de même que ces derniers. En France, c'est la CNIL qui est ainsi chargée de recevoir de telles notifications.
Dans le cadre du nouveau règlement, la gardienne des données personnelles a justement dû mettre en place un espace sécurisé en ligne spécialement prévu à cet effet. D'après la CNIL, cette nouvelle téléprocédure « permet à la fois aux entreprises concernées de notifier ces failles auprès de la CNIL, aisément et rapidement, et à la Commission de mener à bien la mission qui lui a été confiée par le législateur ». L'institution précise ainsi qu'elle devra « accompagner les fournisseurs de services de communications électroniques dans l'appréciation et la mise en œuvre de mesures de protection efficaces ».
Pour rappel, les opérateurs doivent désormais informer la CNIL de tout incident dans un délai de 24 heures maximum après la découverte d'une violation de données. Il s'agit là d'une notification initiale, laquelle doit précéder une notification complémentaire - contenant davantage d'informations sur le problème - et devant être effectuée dans les 72 heures suivant la première notification. L'autorité administrative insiste sur le fait que le défaut de notification est passible d'une peine maximale de 5 ans de prison et de 300 000 euros d'amende.
Pour accéder à la nouvelle téléprocédure : www.cnil.fr/vos-obligations/notification-de-violations
