Le projet de règlement européen sur la protection des données personnelles, actuellement discuté par la Commission européenne, le Parlement européen et le Conseil dans le cadre de la procédure du « trilogue », devrait être adopté d’ici la fin de l’année 2015, et son impact pour la DSI pourrait être important.

 

Violation de données et obligation de notifcation

Ce projet introduit une nouvelle obligation en cas d’atteinte à la sécurité des données personnelles, qui étend de manière générale l’obligation de notification qui s’appliquait jusqu’à présent aux seuls fournisseurs de services de communications électroniques depuis l’ordonnance de transposition du « Paquet Télécom » du 24 août 2011, qui a introduit un article 34 bis dans la loi du 6 janvier 1978.

L’article 34 bis prévoit qu’en cas d’atteinte à la sécurité des données personnelles entraînant notamment la divulgation des données à des tiers non autorisés, désignée par le terme « violation des données à caractère personnel », le fournisseur de services de communications électroniques doit notifier l’autorité de contrôle française, la CNIL.
Cette notification doit indiquer la nature de la violation, les catégories et le nombre de personnes et de données concernées, la personne à contacter, les actions proposées pour atténuer les effets de la violation, ses conséquences et les mesures prises pour y remédier.
Si la violation est susceptible de porter atteinte à la protection des données personnelles ou à la vie privée d’une personne, une notification doit lui être adressée, sauf à prouver que des mesures de protection appropriées ont été appliquées, rendant ces données incompréhensibles pour toute personne non autorisée à y avoir accès.
Par ailleurs, toute violation des données à caractère personnel doit être documentée, en indiquant notamment ses effets et les actions prises pour y remédier.

Nous recommandons donc, dès la détection d’une violation des données à caractère personnel, que la DSI et son service juridique travaillent ensemble pour préparer le dossier de notification auprès de la CNIL.

Plus de protection pour les utilisateurs et plus de sanctions

Le projet de règlement prévoit d’étendre ces obligations à tous les responsables du traitement, et apporte des précisions sur les obligations des sous-traitants, les délais de notification et les sanctions.

Les sous-traitants devront, sans délai, notifier les violations des données au responsable du traitement. Ce dernier aura 24 heures selon la proposition de la Commission et 72 heures selon celle du Conseil, pour effectuer la notification auprès de l’autorité de contrôle.

Le  non-respect des obligations de notification sera sanctionné par une amende allant jusqu’à 1 million d’euros ou 2% du chiffre d’affaires mondial de l’entreprise concernée.

Le Conseil, dans sa version du projet, propose cependant de limiter les obligations de notification aux seuls cas où la violation présenterait un risque élevé pour les droits et libertés des personnes (risque de les exposer à des discriminations, usurpations d’identité, pertes financières, atteintes à l’honneur ou tout autre préjudice économique ou social substantiel).
Il propose également d’exclure les notifications individuelles aux victimes de violations pour les cas où le responsable du traitement aurait pris des mesures, à la suite de la violation des données, prévenant la réalisation de ces risques élevés.
Par ailleurs le Conseil suggère que dans le cas où un grand nombre de personnes sont concernées, les notifications individuelles puissent être remplacées par une annonce publique.

Le régime de ces obligations de notification sera finalisé lors des discussions du trilogue, fin  septembre 2015.

Thierry DorDane Rimsevica

FavoriteLoadingAjouter à mes favoris

A propos des contributeurs

Thierry Dor2

Thierry Dor est l'associé en charge du droit des nouvelles technologies et de la protection des données au sein du département Propriété Intellectuelle, Télécommunications, Médias et Technologies de Gide. Il assiste les clients français et internationaux du Cabinet en matière de projets informatiques, d'Internet, de commerce électronique, de traitements et de transferts internationaux de données à caractère personnel.

Dane Rimsevica

Dane Rimsevica est collaboratrice au sein du département Propriété Intellectuelle, Télécommunications, Médias et Technologies de Gide. Elle a pour principale activité le conseil en matière du droit des nouvelles technologies de l’information et de la communication ainsi que la protection des données à caractère personnel.

Les nouvelles obligations de la DSI en matière d’atteinte à la sécurité des données personnelles
0.0Note Finale
Note des lecteurs: (0 Votes)

2 Responses

  1. GUILLET

    Article opportun. Il fait un point de parcours, mais …
    Pourquoi la DSI ? Ne serait-ce pas plutôt le dirigeant de l’entreprise, responsable des traitements de données à caractère personnel liés aux activités de son organisation …

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.