Protection des données du consommateur
26/08/2013 à 08h27, Auteur : internet-high tech-informatique
//Perte ou vol de données sur internet : une meilleure protection des consommateurs.
A compter du 25 août 2013, le règlement européen n° 611/2013 met en place une procédure d’information en cas de piratage de données d’un opérateur de services de télécommunications ou d’un fournisseur de services internet permettant à un tiers d’accéder à des données à caractère personnel (nom, adresse ou coordonnées bancaires par exemple).
Cette procédure comprend 3 obligations à la charge du professionnel :
la notification des faits auprès de la Commission nationale informatique et libertés (CNIL) dans un délai de 24 heures après leur constatation (avec un document normalisé et identique pour tous les membres de l’Union européenne),
la fourniture d’une description des données concernées et des mesures déjà prises ou qui seront prises,
une évaluation de la nécessité d’informer ou non les abonnés, en fonction du type de données ayant fait l’objet d’une violation.
Une liste indicative de mesures techniques de protection à mettre en œuvre (techniques de cryptage par exemple) sera publiée ultérieurement par la Commission européenne.
RÈGLEMENT (UE) No
611/2013 DE LA COMMISSION
du 24 juin 2013
concernant les mesures relatives à la notification des violations de données à caractère personnel en
vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie
privée et communications électroniques) (1), et notamment son article 4,paragraphe 5,après consultation de l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA),après consultation du groupe de protection des personnes à l’égard du traitement des données à caractère personnel, institué par l’article 29 de la directive 95/46/CE du Parlement européen
et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (2) (ci-après dénommé le « groupe de travail Article 29 »),
après consultation du Contrôleur européen de la protection des données (CEPD),
considérant ce qui suit :
(1) La directive 2002/58/CE prévoit l’harmonisation des dispositions nationales nécessaires pour assurer un niveau équivalent de protection des droits et libertés
fondamentaux, et en particulier du droit à la vie privée
et à la confidentialité, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et services de communications électroniques dans l’Union.
(2) En vertu de l’article 4 de la directive 2002/58/CE, les fournisseurs de services de communications électroniques accessibles au public sont tenus de notifier les violations de données à caractère personnel aux autorités nationales compétentes et, dans certains cas, aux abonnés et aux particuliers concernés. Les violations de données à caractère personnel sont définies à l’article 2, point i), de la directive 2002/58/CE comme des violations de la sécurité
entraînant accidentellement ou de manière illicite la destruction, la perte,l’altération, la divulgation ou l’accès non autorisés de données à caractère personnel transmises, stockées ou traitées d’une autre manière en relation avec la fourniture de services de communications électroniques accessibles au public dans l’Union.
(3) Afin d’assurer une mise en œuvre cohérente des mesures visées à l’article 4, paragraphes 2, 3 et 4, de la directive 2002/58/CE, l’article 4, paragraphe 5, de celle-ci habilite la Commission à adopter des mesures techniques d’application concernant les circonstances, le format et les procédures relatives aux exigences en matière d’information et de notification visées audit article.(4) La diversité des exigences nationales en la matière peut être un facteur d’insécurité juridique, entraîner des procédures plus complexes et plus lourdes ainsi que des frais administratifs importants pour les fournisseurs ayant une activité transnationale. La Commission estime donc qu’il est nécessaire d’adopter de telles mesures techniques d’application.
(5) Le présent règlement ne concerne que la notification des violations dedonnées à caractère personnel et ne prévoit donc pas de mesures techniques d’application relatives à l’article 4, paragraphe 2, de la directive 2002/58/CE sur l’information des abonnés en cas de risque particulier de violation de la sécurité du réseau.
(6) Il découle de l’article 4, paragraphe 3, premier alinéa, de la directive 2002/58/CE que les fournisseurs devraient notifier toutes les violations de données à caractère personnel à l’autorité nationale compétente. Aussi un fournisseur ne devrait-il pas avoir le choix d’informer ou pas l’autorité nationale compétente. Toutefois, cela ne devrait pas empêcher l’autorité nationale compétente concernée de hiérarchiser l’instruction de certaines violations de la façon qu’elle juge appropriée conformément à la législation applicable, ni de prendre les mesures nécessaires pour éviter qu’il y ait trop ou trop peu de violations de données à caractère personnel signalées.
(7) Il convient de prévoir un système de notification des violations de données à caractère personnel à l’autorité nationale compétente, qui comporte, si certaines conditions sont remplies, plusieurs stades auxquels s’appliquent des délais. Ce système est destiné à faire en sorte que l’autorité nationale compétente soit informée aussi rapidement et complètement que possible sans toutefois gêner inutilement le fournisseur dans ses efforts pour enquêter sur la violation etprendre les mesures nécessaires afin d’en limiter les conséquences et d’y remédier.
L 173/2 Journal officiel de l’Union européenne 26.6.2013 FR
) JO L 281 du 23.11.1995, p. 31.(8) Le fait de simplement soupçonner qu’une violation de données à caractère personnel s’est produite ou de simplement constater un incident sans disposer d’informations suffisantes, malgré tous les efforts déployés à cette fin par un fournisseur, ne permet pas de considérer
qu’une telle violation a été constatée aux fins du présent règlement. Le fait de disposer des informations visées à l’annexe I devrait, à cet égard, mériter une attention particulière.
(9) Dans le cadre de l’application du présent règlement, les autorités nationales compétentes concernées devraient coopérer en cas de violation de données à caractère personnel de dimension transnationale.
(10) Le présent règlement ne prévoit pas de spécification supplémentaire concernant l’inventaire des violations de données à caractère personnel que les fournisseurs doivent tenir à jour, étant donné que l’article 4 de la directive 2002/58/CE en définit le contenu de façon exhaustive. Toutefois, les fournisseurs peuvent se référer au présent règlement pour déterminer le format de l’inventaire.
(11) Toutes les autorités nationales compétentes devraient mettre un moyen électronique sécurisé à la disposition des fournisseurs pour qu’ils notifient les violations de données à caractère personnel dans un format commun reposant sur une norme telle que XML et reprenant les informations visées à l’annexe I dans les langues correspondantes, de façon à permettre à tous les fournisseurs à l’intérieur de l’Union de suivre une procédure de notification similaire indépendamment de l’endroit où ils se trouvent et où la violation s’est produite. À cet égard, la Commission devrait faciliter la mise en œuvre du moyen électronique sécurisé, en organisant des réunions avec les autorités nationales compétentes si nécessaire.
(12) Pour déterminer si une violation de données à caractère
personnel est susceptible de porter atteinte aux données à
caractère personnel ou à la vie privée d’un abonné ou
d’une personne, il conviendrait en particulier de prendre
en compte la nature et la teneur des données concernées,
notamment s’il s’agit de données relatives à des informa
tions financières comme les numéros de carte de crédit et
coordonnées bancaires ; de catégories de données particu
lières visées à l’article 8, paragraphe 1, de la directive
95/46/CE ; et de certaines données spécifiquement liées
à la fourniture de services de téléphonie et internet,
c’est-à-dire les données relatives au courrier électronique,
les données de localisation, les fichiers journaux, les
historiques de sites consultés et les listes d’appels détail
lées.
(13) Dans certains cas exceptionnels, le fournisseur devrait
être autorisé à retarder la notification à l’abonné ou au
particulier s’il y a un risque que la notification nuise à
l’efficacité de l’enquête sur la violation de données à
caractère personnel. Dans ce contexte, les cas exception
nels peuvent recouvrir les enquêtes judiciaires ainsi que
d’autres violations de données à caractère personnel qui
ne sont pas équivalentes à un délit grave mais peuvent
justifier de reporter la notification. En tout état de cause,
il devrait incomber à l’autorité nationale compétente de
décider, cas par cas et compte tenu des circonstances,
d’accepter le report ou d’exiger la notification.
(14) Les fournisseurs devraient disposer des coordonnées de
leurs abonnés, étant donné qu’ils sont directement liés
par contrat, mais pas de celles des autres personnes
lésées par la violation de données à caractère personnel.
Dans ce cas, le fournisseur devrait être autorisé à d’abord
informer ces personnes par des avis dans de grands
médias nationaux ou régionaux, tels que les journaux,
puis à leur faire parvenir dès que possible une notifica
tion individuelle comme prévu dans le présent règlement.
Le fournisseur n’est donc pas expressément tenu de
recourir aux médias, mais il est plutôt habilité à le
faire, s’il le souhaite, lorsqu’il en est encore à identifier
toutes les personnes atteintes.
(15) Les informations concernant la violation devraient se
limiter à celle-ci et ne pas être associées à des informa
tions concernant autre chose. Par exemple, faire figurer
des informations concernant une violation de données à
caractère personnel sur une facture courante ne devrait
pas être considéré comme un moyen approprié de noti
fier une telle violation.
(16) Le présent règlement ne prévoit pas de mesures de
protection technologiques spécifiques justifiant de
déroger à l’obligation de notifier les violations de
données à caractère personnel aux abonnés ou aux parti
culiers car, avec le temps, de telles mesures peuvent
évoluer en fonction des progrès techniques. La Commis
sion devrait toutefois être en mesure de publier une liste
indicative de ces mesures de protection technologiques
spécifiques, selon les pratiques actuelles.
(17) Le fait de recourir au cryptage ou au hachage ne devrait
pas être considéré comme suffisant en soi pour que les
fournisseurs puissent prétendre, plus largement, avoir
rempli l’obligation générale de sécurité énoncée à l’ar
ticle 17 de la directive 95/46/CE. À cet égard, les fournis
seurs devraient également mettre en œuvre les mesures
techniques et d’organisation appropriées pour prévenir,
détecter et empêcher les violations de données à caractère
personnel. Les fournisseurs devraient examiner tout
risque pouvant subsister après la réalisation de contrôles
afin de comprendre où les violations de données à carac
tère personnel sont susceptibles de se produire.
(18) Si le fournisseur recourt à un autre fournisseur pour
assurer une partie du service, par exemple en ce qui
concerne la facturation ou des tâches de gestion, cet
autre fournisseur, qui n’est pas directement lié par
contrat avec l’utilisateur final, ne devrait pas être tenu
de notifier les violations de données à caractère person
nel. En revanche, il devrait alerter et informer le fournis
seur avec lequel il est directement lié par contrat. Cela
26.6.2013 Journal officiel de l’Union européenne L 173/3 FRdevrait également valoir dans le cadre de la fourniture en
gros de services de communications électroniques,
lorsque le fournisseur en gros n’est en général pas direc
tement lié par contrat avec l’utilisateur final.
(19) La directive 95/46/CE définit le cadre général de la
protection des données à caractère personnel dans
l’Union européenne. La Commission a soumis une
proposition de règlement du Parlement européen et du
Conseil (ci-après dénommé le « règlement sur la protec
tion des données ») afin de remplacer la directive
95/46/CE. Le règlement proposé sur la protection des
données instaurerait, en se fondant sur l’article 4, para
graphe 3, de la directive 2002/58/CE, l’obligation, pour
tous les responsables du traitement des données, de noti
fier les violations de données à caractère personnel. Le
présent règlement de la Commission est parfaitement
conforme à cette proposition de mesure.
(20) Le règlement proposé sur la protection des données
apporte aussi un nombre limité de modifications tech
niques à la directive 2002/58/CE pour prendre en
compte la transformation de la directive 95/46/CE en
règlement. Les conséquences juridiques de fond du
nouveau règlement pour la directive 2002/58/CE feront
l’objet d’un examen de la part de la Commission.
(21) Trois ans après l’entrée en vigueur du présent règlement,
son application et ses dispositions devraient faire l’objet
d’un réexamen à la lumière du cadre juridique en vigueur
à ce moment-là, y compris du règlement proposé sur la
protection des données. Un tel réexamen devrait être
associé, si possible, à tout réexamen futur de la directive
2002/58/CE.
(22) L’application du présent règlement peut notamment être
évaluée à l’aide des statistiques établies par les autorités
nationales compétentes concernant les violations de
données à caractère personnel qui leur sont notifiées.
Ces statistiques peuvent, par exemple, indiquer le
nombre de violations de données à caractère personnel
notifiées à l’autorité nationale compétente, à l’abonné ou
au particulier, le temps nécessaire pour remédier à la
violation, et si des mesures de protection technologiques
ont été prises. Ces statistiques devraient fournir à la
Commission et aux États membres des données cohé
rentes et comparables et ne devraient révéler ni l’identité
du fournisseur notifiant ni celle des abonnés ou
personnes concernés. La Commission peut aussi, à cette
fin, organiser régulièrement des réunions avec les auto
rités nationales compétentes et d’autres parties intéres
sées.
(23) Les mesures prévues au présent règlement sont
conformes à l’avis du comité des communications,
A ADOPTÉ LE PRÉSENT RÈGLEMENT :
Article premier
Champ d’application
Le présent règlement s’applique à la notification, par les fournis
seurs de services de communications électroniques accessibles
au public (ci-après dénommés le « fournisseur »), des violations de
données à caractère personnel.
Article 2
Notification à l’autorité nationale compétente
1. Le fournisseur notifie toutes les violations de données à
caractère personnel à l’autorité nationale compétente.
2. Le fournisseur notifie la violation de données à caractère
personnel à l’autorité nationale compétente, au plus tard vingt-
quatre heures après le constat de la violation, si possible.
Le fournisseur fournit les informations visées à l’annexe I dans
sa notification à l’autorité nationale compétente.
Le constat d’une violation de données à caractère personnel est
considéré comme établi dès lors que le fournisseur dispose
d’assez d’éléments indiquant qu’il s’est produit un incident de
sécurité ayant compromis des données à caractère personnel
pour justifier une notification conformément au présent règle
ment.
3. Si les informations visées à l’annexe I ne sont pas toutes
disponibles et si la violation de données à caractère personnel
exige une enquête plus approfondie, le fournisseur est autorisé à
transmettre une notification initiale à l’autorité nationale
compétente, au plus tard vingt-quatre heures après le constat
de la violation. Cette notification initiale comprend les informa
tions visées à la partie 1 de l’annexe I. Le fournisseur transmet
une seconde notification à l’autorité nationale compétente le
plus rapidement possible et au plus tard trois jours après la
notification initiale. Cette seconde notification comprend les
informations visées à la partie 2 de l’annexe I et, si nécessaire,
actualise les informations déjà fournies.
Si le fournisseur, malgré ses recherches, n’est pas en mesure de
fournir toutes les informations dans le délai de trois jours à
compter de la notification initiale, il notifie toutes les informa
tions qu’il a recueillies dans ce délai et présente à l’autorité
nationale compétente une justification valable de la notification
tardive des informations restantes. Le fournisseur notifie dès que
possible les informations restantes à l’autorité nationale compé
tente et, si nécessaire, actualise les informations déjà fournies.
4. L’autorité nationale compétente met à la disposition de
tous les fournisseurs établis dans l’État membre concerné un
moyen électronique sécurisé de notification des violations de
données à caractère personnel ainsi que des informations sur
les procédures pour y accéder et l’utiliser. Si nécessaire, la
Commission organise des réunions avec les autorités nationales
compétentes pour faciliter l’application de cette disposition.
L 173/4 Journal officiel de l’Union européenne 26.6.2013 FR5. Si la violation de données à caractère personnel porte
atteinte à des abonnés ou des particuliers d’États membres
autres que celui de l’autorité nationale compétente à laquelle
la violation a été notifiée, ladite autorité informe les autres
autorités nationales concernées.
Pour faciliter l’application de cette disposition, la Commission
établit et tient à jour une liste des autorités nationales compé
tentes et des points de contact appropriés.
Article 3
Notification à l’abonné ou au particulier
1. Lorsque la violation de données à caractère personnel est
susceptible de porter atteinte aux données à caractère personnel
ou à la vie privée d’un abonné ou d’un particulier, le fournis
seur, en plus de la notification visée à l’article 2, notifie égale
ment la violation à l’abonné ou au particulier.
2. Il est déterminé si une violation de données à caractère
personnel est susceptible de porter atteinte aux données à carac
tère personnel ou à la vie privée d’un abonné ou d’un particulier
en prenant notamment en compte les éléments suivants :
a) la nature et la teneur des données concernées, en particulier
s’il s’agit de données relatives à des informations financières,
de catégories de données particulières visées à l’article 8,
paragraphe 1, de la directive 95/46/CE ainsi que de
données de localisation, fichiers journaux internet,
historiques de sites web consultés, données relatives au cour
rier électronique et listes d’appels téléphoniques détaillées ;
b) les conséquences vraisemblables de la violation de données à
caractère personnel pour l’abonné ou le particulier concerné,
notamment les cas où la violation pourrait entraîner un vol
ou une usurpation d’identité, une atteinte à l’intégrité
physique, une souffrance psychologique, une humiliation
ou une atteinte à la réputation ; et
c) les circonstances de la violation de données à caractère
personnel, en particulier l’endroit où les données ont été
volées ou le moment auquel le fournisseur sait que les
données sont en possession d’un tiers non autorisé.
3. La notification à l’abonné ou au particulier est effectuée
sans retard injustifié après constat de la violation de données à
caractère personnel tel que défini à l’article 2, paragraphe 2,
troisième alinéa. Cela est indépendant de la notification de la
violation de données à caractère personnel à l’autorité nationale
compétente, visée à l’article 2.
4. Le fournisseur fournit les informations visées à l’annexe II
dans sa notification à l’abonné ou au particulier. La notification
à l’abonné ou au particulier est rédigée dans une langue claire et
aisément compréhensible. Le fournisseur n’utilise pas la notifi
cation comme un moyen de promouvoir ou d’annoncer des
services nouveaux ou supplémentaires.
5. Dans certains cas exceptionnels, s’il y a un risque que la
notification à l’abonné ou au particulier nuise à l’efficacité de
l’enquête sur la violation de données à caractère personnel, le
fournisseur est autorisé, après avoir obtenu l’accord de l’autorité
nationale compétente, à retarder la notification jusqu’au
moment où ladite autorité juge possible de notifier la violation
conformément au présent article.
6. Le fournisseur notifie la violation de données à caractère
personnel à l’abonné ou au particulier par des moyens de
communication qui garantissent une réception rapide de l’infor
mation et qui sont sécurisés conformément aux règles de l’art.
Les informations concernant la violation se limitent à celle-ci et
ne sont pas associées à des informations concernant autre
chose.
7. Si le fournisseur directement lié par contrat avec l’utilisa
teur final, malgré les efforts raisonnables déployés, n’est pas en
mesure d’identifier dans le délai fixé au paragraphe 3 toutes les
personnes susceptibles d’être lésées par la violation de données à
caractère personnel, il peut, dans le même délai, informer ces
personnes par des avis dans de grands médias nationaux ou
régionaux dans les États membres concernés. Ces avis contien
nent les informations visées à l’annexe II, si nécessaire sous une
forme condensée. Dans ce cas, le fournisseur continue à
déployer tous les efforts raisonnables pour identifier ces
personnes et leur notifier dès que possible les informations
visées à l’annexe II.
Article 4
Mesures de protection technologiques
1. Par dérogation à l’article 3, paragraphe 1, la notification
d’une violation de données à caractère personnel à l’abonné ou
au particulier concerné n’est pas nécessaire si le fournisseur a
prouvé, à la satisfaction de l’autorité nationale compétente, qu’il
a mis en œuvre les mesures de protection technologiques
appropriées et que ces dernières ont été appliquées aux
données concernées par ladite violation de sécurité. De telles
mesures de protection technologiques rendent les données
incompréhensibles à toute personne qui n’est pas autorisée à
y avoir accès.
2. Les données sont considérées comme incompréhensibles
si :
a) elles ont été cryptées en mode sécurisé à l’aide d’un algo
rithme normalisé et la clé utilisée pour les décrypter n’a été
compromise dans aucune violation de sécurité et a été
générée de façon à ne pouvoir être trouvée, par aucun
moyen technologique existant, par quelqu’un qui n’est pas
autorisé à l’utiliser ; ou
b) elles ont été remplacées par leur valeur hachée, calculée à
l’aide d’une fonction de hachage normalisée à clé cryptogra
phique, et la clé utilisée pour les hacher n’a été compromise
dans aucune violation de sécurité et a été générée de façon à
ne pouvoir être trouvée, par aucun moyen technologique
existant, par quelqu’un qui n’est pas autorisé à l’utiliser.
3. La Commission peut, après avoir consulté les autorités
nationales compétentes par l’intermédiaire du groupe de
travail Article 29, l’Agence européenne chargée de la sécurité
des réseaux et de l’information et le Contrôleur européen de la
protection des données, publier une liste indicative des mesures
de protection technologiques appropriées, visées au paragraphe
1, selon les pratiques actuelles.
26.6.2013 Journal officiel de l’Union européenne L 173/5 FRArticle 5
Recours à un autre fournisseur
Lorsque, pour fournir une partie du service de communications électroniques, il est fait appel à un autre
fournisseur qui n’est pas directement lié par contrat avec les abonnés, cet autre fournisseur informe
immédiatement celui qui l’a engagé en cas de violation de données à caractère personnel.
Article 6
Rapport et réexamen
Dans les trois ans suivant l’entrée en vigueur du présent règlement, la Commission établit un rapport sur
l’application du règlement, son efficacité et son impact sur les fournisseurs, les abonnés et les particuliers.
Sur la base de ce rapport, la Commission procède au réexamen du présent règlement.
Article 7
Entrée en vigueur
Le présent règlement entre en vigueur le 25 août 2013.