Protection des données du consommateur

26/08/2013 à 08h27, Auteur : rédac-rss // internet-high tech-informatique

 Perte ou vol de données sur internet : une meilleure protection des consommateurs.

A compter du 25 août 2013, le règlement européen n° 611/2013 met en place une procédure d’information en cas de piratage de données d’un opérateur de services de télécommunications ou d’un fournisseur de services internet permettant à un tiers d’accéder à des données à caractère personnel (nom, adresse ou coordonnées bancaires par exemple).

 

Cette procédure comprend 3 obligations à la charge du professionnel :

la notification des faits auprès de la Commission nationale informatique et libertés (CNIL) dans un délai de 24 heures après leur constatation (avec un document normalisé et identique pour tous les membres de l’Union européenne),

la fourniture d’une description des données concernées et des mesures déjà prises ou qui seront prises,

une évaluation de la nécessité d’informer ou non les abonnés, en fonction du type de données ayant fait l’objet d’une violation.

Une liste indicative de mesures techniques de protection à mettre en œuvre (techniques de cryptage par exemple) sera publiée ultérieurement par la Commission européenne.

 

RÈGLEMENT (UE) No

611/2013 DE LA COMMISSION

du 24 juin 2013

concernant les mesures relatives à la notification des violations de données à caractère personnel en 

vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques

 

LA COMMISSION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne,

vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie 

privée et communications électroniques) (1), et notamment son article 4,paragraphe 5,après consultation de l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA),après consultation du groupe de protection des personnes à l’égard du traitement des données à caractère personnel, institué par l’article 29 de la directive 95/46/CE du Parlement européen 

et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (2) (ci-après dénommé le « groupe de travail Article 29 »),

après consultation du Contrôleur européen de la protection des données (CEPD),

considérant ce qui suit :

 

(1) La directive 2002/58/CE prévoit l’harmonisation des dispositions nationales nécessaires pour assurer un niveau équivalent de protection des droits et libertés 

fondamentaux, et en particulier du droit à la vie privée 

et à la confidentialité, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circula­tion de ces données et des équipements et services de communications électroniques dans l’Union.

 

(2) En vertu de l’article 4 de la directive 2002/58/CE, les fournisseurs de services de communications électroniques accessibles au public sont tenus de notifier les violations de données à caractère personnel aux autorités nationales compétentes et, dans certains cas, aux abonnés et aux particuliers concernés. Les violations de données à carac­tère personnel sont définies à l’article 2, point i), de la directive 2002/58/CE comme des violations de la sécurité 

entraînant accidentellement ou de manière illicite la destruction, la perte,l’altération, la divulgation ou l’accès non autorisés de données à caractère personnel transmises, stockées ou traitées d’une autre manière en relation avec la fourniture de services de communications électroniques accessibles au public dans l’Union.

 

(3) Afin d’assurer une mise en œuvre cohérente des mesures visées à l’article 4, paragraphes 2, 3 et 4, de la directive 2002/58/CE, l’article 4, paragraphe 5, de celle-ci habilite la Commission à adopter des mesures techniques d’ap­plication concernant les circonstances, le format et les procédures relatives aux exigences en matière d’informa­tion et de notification visées audit article.(4) La diversité des exigences nationales en la matière peut être un facteur d’insécurité juridique, entraîner des procé­dures plus complexes et plus lourdes ainsi que des frais administratifs importants pour les fournisseurs ayant une activité transnationale. La Commission estime donc qu’il est nécessaire d’adopter de telles mesures techniques d’ap­plication.

 

(5) Le présent règlement ne concerne que la notification des violations dedonnées à caractère personnel et ne prévoit donc pas de mesures techniques d’application relatives à l’article 4, paragraphe 2, de la directive 2002/58/CE sur l’information des abonnés en cas de risque particulier de violation de la sécurité du réseau.

 

(6) Il découle de l’article 4, paragraphe 3, premier alinéa, de la directive 2002/58/CE que les fournisseurs devraient notifier toutes les violations de données à caractère personnel à l’autorité nationale compétente. Aussi un fournisseur ne devrait-il pas avoir le choix d’informer ou pas l’autorité nationale compétente. Toutefois, cela ne devrait pas empêcher l’autorité nationale compétente concernée de hiérarchiser l’instruction de certaines viola­tions de la façon qu’elle juge appropriée conformément à la législation applicable, ni de prendre les mesures néces­saires pour éviter qu’il y ait trop ou trop peu de viola­tions de données à caractère personnel signalées.

 

(7) Il convient de prévoir un système de notification des violations de données à caractère personnel à l’autorité nationale compétente, qui comporte, si certaines condi­tions sont remplies, plusieurs stades auxquels s’appliquent des délais. Ce système est destiné à faire en sorte que l’autorité nationale compétente soit informée aussi rapi­dement et complètement que possible sans toutefois gêner inutilement le fournisseur dans ses efforts pour enquêter sur la violation etprendre les mesures néces­saires afin d’en limiter les conséquences et d’y remédier.

L 173/2 Journal officiel de l’Union européenne 26.6.2013 FR

 

) JO L 281 du 23.11.1995, p. 31.(8) Le fait de simplement soupçonner qu’une violation de données à caractère personnel s’est produite ou de simplement constater un incident sans disposer d’infor­mations suffisantes, malgré tous les efforts déployés à cette fin par un fournisseur, ne permet pas de considérer 

qu’une telle violation a été constatée aux fins du présent règlement. Le fait de disposer des informations visées à l’annexe I devrait, à cet égard, mériter une attention parti­culière.

 

(9) Dans le cadre de l’application du présent règlement, les autorités nationales compétentes concernées devraient coopérer en cas de violation de données à caractère personnel de dimension transnationale.

 

(10) Le présent règlement ne prévoit pas de spécification supplémentaire concernant l’inventaire des violations de données à caractère personnel que les fournisseurs doivent tenir à jour, étant donné que l’article 4 de la directive 2002/58/CE en définit le contenu de façon exhaustive. Toutefois, les fournisseurs peuvent se référer au présent règlement pour déterminer le format de l’in­ventaire.

 

(11) Toutes les autorités nationales compétentes devraient mettre un moyen électronique sécurisé à la disposition des fournisseurs pour qu’ils notifient les violations de données à caractère personnel dans un format commun reposant sur une norme telle que XML et reprenant les informations visées à l’annexe I dans les langues corres­pondantes, de façon à permettre à tous les fournisseurs à l’intérieur de l’Union de suivre une procédure de notifi­cation similaire indépendamment de l’endroit où ils se trouvent et où la violation s’est produite. À cet égard, la Commission devrait faciliter la mise en œuvre du moyen électronique sécurisé, en organisant des réunions avec les autorités nationales compétentes si nécessaire.

 

(12) Pour déterminer si une violation de données à caractère 

personnel est susceptible de porter atteinte aux données à 

caractère personnel ou à la vie privée d’un abonné ou 

d’une personne, il conviendrait en particulier de prendre 

en compte la nature et la teneur des données concernées, 

notamment s’il s’agit de données relatives à des informa­

tions financières comme les numéros de carte de crédit et 

coordonnées bancaires ; de catégories de données particu­

lières visées à l’article 8, paragraphe 1, de la directive 

95/46/CE ; et de certaines données spécifiquement liées 

à la fourniture de services de téléphonie et internet, 

c’est-à-dire les données relatives au courrier électronique, 

les données de localisation, les fichiers journaux, les 

historiques de sites consultés et les listes d’appels détail­

lées.

(13) Dans certains cas exceptionnels, le fournisseur devrait 

être autorisé à retarder la notification à l’abonné ou au 

particulier s’il y a un risque que la notification nuise à 

l’efficacité de l’enquête sur la violation de données à 

caractère personnel. Dans ce contexte, les cas exception­

nels peuvent recouvrir les enquêtes judiciaires ainsi que 

d’autres violations de données à caractère personnel qui 

ne sont pas équivalentes à un délit grave mais peuvent 

justifier de reporter la notification. En tout état de cause, 

il devrait incomber à l’autorité nationale compétente de 

décider, cas par cas et compte tenu des circonstances, 

d’accepter le report ou d’exiger la notification.

(14) Les fournisseurs devraient disposer des coordonnées de 

leurs abonnés, étant donné qu’ils sont directement liés 

par contrat, mais pas de celles des autres personnes 

lésées par la violation de données à caractère personnel. 

Dans ce cas, le fournisseur devrait être autorisé à d’abord 

informer ces personnes par des avis dans de grands 

médias nationaux ou régionaux, tels que les journaux, 

puis à leur faire parvenir dès que possible une notifica­

tion individuelle comme prévu dans le présent règlement. 

Le fournisseur n’est donc pas expressément tenu de 

recourir aux médias, mais il est plutôt habilité à le 

faire, s’il le souhaite, lorsqu’il en est encore à identifier 

toutes les personnes atteintes.

(15) Les informations concernant la violation devraient se 

limiter à celle-ci et ne pas être associées à des informa­

tions concernant autre chose. Par exemple, faire figurer 

des informations concernant une violation de données à 

caractère personnel sur une facture courante ne devrait 

pas être considéré comme un moyen approprié de noti­

fier une telle violation.

(16) Le présent règlement ne prévoit pas de mesures de 

protection technologiques spécifiques justifiant de 

déroger à l’obligation de notifier les violations de 

données à caractère personnel aux abonnés ou aux parti­

culiers car, avec le temps, de telles mesures peuvent 

évoluer en fonction des progrès techniques. La Commis­

sion devrait toutefois être en mesure de publier une liste 

indicative de ces mesures de protection technologiques 

spécifiques, selon les pratiques actuelles.

(17) Le fait de recourir au cryptage ou au hachage ne devrait 

pas être considéré comme suffisant en soi pour que les 

fournisseurs puissent prétendre, plus largement, avoir 

rempli l’obligation générale de sécurité énoncée à l’ar­

ticle 17 de la directive 95/46/CE. À cet égard, les fournis­

seurs devraient également mettre en œuvre les mesures 

techniques et d’organisation appropriées pour prévenir, 

détecter et empêcher les violations de données à caractère 

personnel. Les fournisseurs devraient examiner tout 

risque pouvant subsister après la réalisation de contrôles 

afin de comprendre où les violations de données à carac­

tère personnel sont susceptibles de se produire.

(18) Si le fournisseur recourt à un autre fournisseur pour 

assurer une partie du service, par exemple en ce qui 

concerne la facturation ou des tâches de gestion, cet 

autre fournisseur, qui n’est pas directement lié par 

contrat avec l’utilisateur final, ne devrait pas être tenu 

de notifier les violations de données à caractère person­

nel. En revanche, il devrait alerter et informer le fournis­

seur avec lequel il est directement lié par contrat. Cela

26.6.2013 Journal officiel de l’Union européenne L 173/3 FRdevrait également valoir dans le cadre de la fourniture en 

gros de services de communications électroniques, 

lorsque le fournisseur en gros n’est en général pas direc­

tement lié par contrat avec l’utilisateur final.

(19) La directive 95/46/CE définit le cadre général de la 

protection des données à caractère personnel dans 

l’Union européenne. La Commission a soumis une 

proposition de règlement du Parlement européen et du 

Conseil (ci-après dénommé le « règlement sur la protec­

tion des données ») afin de remplacer la directive 

95/46/CE. Le règlement proposé sur la protection des 

données instaurerait, en se fondant sur l’article 4, para­

graphe 3, de la directive 2002/58/CE, l’obligation, pour 

tous les responsables du traitement des données, de noti­

fier les violations de données à caractère personnel. Le 

présent règlement de la Commission est parfaitement 

conforme à cette proposition de mesure.

(20) Le règlement proposé sur la protection des données 

apporte aussi un nombre limité de modifications tech­

niques à la directive 2002/58/CE pour prendre en 

compte la transformation de la directive 95/46/CE en 

règlement. Les conséquences juridiques de fond du 

nouveau règlement pour la directive 2002/58/CE feront 

l’objet d’un examen de la part de la Commission.

(21) Trois ans après l’entrée en vigueur du présent règlement, 

son application et ses dispositions devraient faire l’objet 

d’un réexamen à la lumière du cadre juridique en vigueur 

à ce moment-là, y compris du règlement proposé sur la 

protection des données. Un tel réexamen devrait être 

associé, si possible, à tout réexamen futur de la directive 

2002/58/CE.

(22) L’application du présent règlement peut notamment être 

évaluée à l’aide des statistiques établies par les autorités 

nationales compétentes concernant les violations de 

données à caractère personnel qui leur sont notifiées. 

Ces statistiques peuvent, par exemple, indiquer le 

nombre de violations de données à caractère personnel 

notifiées à l’autorité nationale compétente, à l’abonné ou 

au particulier, le temps nécessaire pour remédier à la 

violation, et si des mesures de protection technologiques 

ont été prises. Ces statistiques devraient fournir à la 

Commission et aux États membres des données cohé­

rentes et comparables et ne devraient révéler ni l’identité 

du fournisseur notifiant ni celle des abonnés ou 

personnes concernés. La Commission peut aussi, à cette 

fin, organiser régulièrement des réunions avec les auto­

rités nationales compétentes et d’autres parties intéres­

sées.

(23) Les mesures prévues au présent règlement sont 

conformes à l’avis du comité des communications,

A ADOPTÉ LE PRÉSENT RÈGLEMENT :

Article premier

Champ d’application

Le présent règlement s’applique à la notification, par les fournis­

seurs de services de communications électroniques accessibles 

au public (ci-après dénommés le « fournisseur »), des violations de 

données à caractère personnel.

Article 2

Notification à l’autorité nationale compétente

1. Le fournisseur notifie toutes les violations de données à 

caractère personnel à l’autorité nationale compétente.

2. Le fournisseur notifie la violation de données à caractère 

personnel à l’autorité nationale compétente, au plus tard vingt- 

quatre heures après le constat de la violation, si possible.

Le fournisseur fournit les informations visées à l’annexe I dans 

sa notification à l’autorité nationale compétente.

Le constat d’une violation de données à caractère personnel est 

considéré comme établi dès lors que le fournisseur dispose 

d’assez d’éléments indiquant qu’il s’est produit un incident de 

sécurité ayant compromis des données à caractère personnel 

pour justifier une notification conformément au présent règle­

ment.

3. Si les informations visées à l’annexe I ne sont pas toutes 

disponibles et si la violation de données à caractère personnel 

exige une enquête plus approfondie, le fournisseur est autorisé à 

transmettre une notification initiale à l’autorité nationale 

compétente, au plus tard vingt-quatre heures après le constat 

de la violation. Cette notification initiale comprend les informa­

tions visées à la partie 1 de l’annexe I. Le fournisseur transmet 

une seconde notification à l’autorité nationale compétente le 

plus rapidement possible et au plus tard trois jours après la 

notification initiale. Cette seconde notification comprend les 

informations visées à la partie 2 de l’annexe I et, si nécessaire, 

actualise les informations déjà fournies.

Si le fournisseur, malgré ses recherches, n’est pas en mesure de 

fournir toutes les informations dans le délai de trois jours à 

compter de la notification initiale, il notifie toutes les informa­

tions qu’il a recueillies dans ce délai et présente à l’autorité 

nationale compétente une justification valable de la notification 

tardive des informations restantes. Le fournisseur notifie dès que 

possible les informations restantes à l’autorité nationale compé­

tente et, si nécessaire, actualise les informations déjà fournies.

4. L’autorité nationale compétente met à la disposition de 

tous les fournisseurs établis dans l’État membre concerné un 

moyen électronique sécurisé de notification des violations de 

données à caractère personnel ainsi que des informations sur 

les procédures pour y accéder et l’utiliser. Si nécessaire, la 

Commission organise des réunions avec les autorités nationales 

compétentes pour faciliter l’application de cette disposition.

L 173/4 Journal officiel de l’Union européenne 26.6.2013 FR5. Si la violation de données à caractère personnel porte 

atteinte à des abonnés ou des particuliers d’États membres 

autres que celui de l’autorité nationale compétente à laquelle 

la violation a été notifiée, ladite autorité informe les autres 

autorités nationales concernées.

Pour faciliter l’application de cette disposition, la Commission 

établit et tient à jour une liste des autorités nationales compé­

tentes et des points de contact appropriés.

Article 3

Notification à l’abonné ou au particulier

1. Lorsque la violation de données à caractère personnel est 

susceptible de porter atteinte aux données à caractère personnel 

ou à la vie privée d’un abonné ou d’un particulier, le fournis­

seur, en plus de la notification visée à l’article 2, notifie égale­

ment la violation à l’abonné ou au particulier.

2. Il est déterminé si une violation de données à caractère 

personnel est susceptible de porter atteinte aux données à carac­

tère personnel ou à la vie privée d’un abonné ou d’un particulier 

en prenant notamment en compte les éléments suivants :

a) la nature et la teneur des données concernées, en particulier 

s’il s’agit de données relatives à des informations financières, 

de catégories de données particulières visées à l’article 8, 

paragraphe 1, de la directive 95/46/CE ainsi que de 

données de localisation, fichiers journaux internet, 

historiques de sites web consultés, données relatives au cour­

rier électronique et listes d’appels téléphoniques détaillées ;

b) les conséquences vraisemblables de la violation de données à 

caractère personnel pour l’abonné ou le particulier concerné, 

notamment les cas où la violation pourrait entraîner un vol 

ou une usurpation d’identité, une atteinte à l’intégrité 

physique, une souffrance psychologique, une humiliation 

ou une atteinte à la réputation ; et

c) les circonstances de la violation de données à caractère 

personnel, en particulier l’endroit où les données ont été 

volées ou le moment auquel le fournisseur sait que les 

données sont en possession d’un tiers non autorisé.

3. La notification à l’abonné ou au particulier est effectuée 

sans retard injustifié après constat de la violation de données à 

caractère personnel tel que défini à l’article 2, paragraphe 2, 

troisième alinéa. Cela est indépendant de la notification de la 

violation de données à caractère personnel à l’autorité nationale 

compétente, visée à l’article 2.

4. Le fournisseur fournit les informations visées à l’annexe II 

dans sa notification à l’abonné ou au particulier. La notification 

à l’abonné ou au particulier est rédigée dans une langue claire et 

aisément compréhensible. Le fournisseur n’utilise pas la notifi­

cation comme un moyen de promouvoir ou d’annoncer des 

services nouveaux ou supplémentaires.

5. Dans certains cas exceptionnels, s’il y a un risque que la 

notification à l’abonné ou au particulier nuise à l’efficacité de 

l’enquête sur la violation de données à caractère personnel, le 

fournisseur est autorisé, après avoir obtenu l’accord de l’autorité 

nationale compétente, à retarder la notification jusqu’au 

moment où ladite autorité juge possible de notifier la violation 

conformément au présent article.

 

6. Le fournisseur notifie la violation de données à caractère 

personnel à l’abonné ou au particulier par des moyens de 

communication qui garantissent une réception rapide de l’infor­

mation et qui sont sécurisés conformément aux règles de l’art. 

Les informations concernant la violation se limitent à celle-ci et 

ne sont pas associées à des informations concernant autre 

chose.

 

7. Si le fournisseur directement lié par contrat avec l’utilisa­

teur final, malgré les efforts raisonnables déployés, n’est pas en 

mesure d’identifier dans le délai fixé au paragraphe 3 toutes les 

personnes susceptibles d’être lésées par la violation de données à 

caractère personnel, il peut, dans le même délai, informer ces 

personnes par des avis dans de grands médias nationaux ou 

régionaux dans les États membres concernés. Ces avis contien­

nent les informations visées à l’annexe II, si nécessaire sous une 

forme condensée. Dans ce cas, le fournisseur continue à 

déployer tous les efforts raisonnables pour identifier ces 

personnes et leur notifier dès que possible les informations 

visées à l’annexe II.

Article 4

Mesures de protection technologiques

1. Par dérogation à l’article 3, paragraphe 1, la notification 

d’une violation de données à caractère personnel à l’abonné ou 

au particulier concerné n’est pas nécessaire si le fournisseur a 

prouvé, à la satisfaction de l’autorité nationale compétente, qu’il 

a mis en œuvre les mesures de protection technologiques 

appropriées et que ces dernières ont été appliquées aux 

données concernées par ladite violation de sécurité. De telles 

mesures de protection technologiques rendent les données 

incompréhensibles à toute personne qui n’est pas autorisée à 

y avoir accès.

2. Les données sont considérées comme incompréhensibles 

si :

a) elles ont été cryptées en mode sécurisé à l’aide d’un algo­

rithme normalisé et la clé utilisée pour les décrypter n’a été 

compromise dans aucune violation de sécurité et a été 

générée de façon à ne pouvoir être trouvée, par aucun 

moyen technologique existant, par quelqu’un qui n’est pas 

autorisé à l’utiliser ; ou

b) elles ont été remplacées par leur valeur hachée, calculée à 

l’aide d’une fonction de hachage normalisée à clé cryptogra­

phique, et la clé utilisée pour les hacher n’a été compromise 

dans aucune violation de sécurité et a été générée de façon à 

ne pouvoir être trouvée, par aucun moyen technologique 

existant, par quelqu’un qui n’est pas autorisé à l’utiliser.

 

3. La Commission peut, après avoir consulté les autorités 

nationales compétentes par l’intermédiaire du groupe de 

travail Article 29, l’Agence européenne chargée de la sécurité 

des réseaux et de l’information et le Contrôleur européen de la 

protection des données, publier une liste indicative des mesures 

de protection technologiques appropriées, visées au paragraphe 

1, selon les pratiques actuelles.

26.6.2013 Journal officiel de l’Union européenne L 173/5 FRArticle 5

Recours à un autre fournisseur

Lorsque, pour fournir une partie du service de communications électroniques, il est fait appel à un autre 

fournisseur qui n’est pas directement lié par contrat avec les abonnés, cet autre fournisseur informe 

immédiatement celui qui l’a engagé en cas de violation de données à caractère personnel.

 

Article 6

Rapport et réexamen

Dans les trois ans suivant l’entrée en vigueur du présent règlement, la Commission établit un rapport sur 

l’application du règlement, son efficacité et son impact sur les fournisseurs, les abonnés et les particuliers. 

Sur la base de ce rapport, la Commission procède au réexamen du présent règlement.

Article 7

Entrée en vigueur

Le présent règlement entre en vigueur le 25 août 2013.

Répondre à cet article