Formations et audits Informatique et Libertés

Des professionnels en conformité Informatique et Libertés : formation, audit, formalités cnil, contrôle cnil et l’application Data Privacy Manager dédiée au CIL

Dictionnaire juridique

Obligation de notification en cas de " violation de données à caractère personnel " - Ordonnance du 24 août 2011

Vous êtes ici : Accueil du site > Brèves

vendredi 26 août 2011

L’ordonnance du 24 août 2011 relative aux communications électroniques, qui transpose en droit interne le Paquet Télécom, renforce les obligations à la charge des fournisseurs de services de communications électroniques et précise l’obligation d’information quant à l’utilisation des cookies.

Nouvelles obligations pour les fournisseurs de services de communications électroniques en cas de violation de données à caractère personnel

Définition : « On entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques. »

Selon le nouvel article 34 bis de la loi Informatique et Libertés :

En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public doit avertir, sans délai, la Commission nationale de l’informatique et des libertés (CNIL).

De plus, lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique, le fournisseur avertit également, sans délai, l’intéressé.

La notification d’une violation des données à caractère personnel à l’intéressé n’est toutefois pas nécessaire si la CNIL a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation.

A défaut, la CNIL peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d’informer également les intéressés.

Enfin, chaque fournisseur de services de communications électroniques tient à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises
pour y remédier et le conserve à la disposition de la CNIL.

Nouvelle infraction : non respect de la notification d’une violation de données à caractère personnel

Article 226-17-1 du Code Pénal :

« Le fait pour un fournisseur de services de communications électroniques de ne pas procéder à la notification d’une violation de données à caractère personnel à la Commission nationale de l’informatique et des libertés ou à l’intéressé, en méconnaissance des dispositions du II de l’article 34 bis de la loi no 78-17 du 6 janvier 1978, est puni de cinq ans d’emprisonnement et de 300 000 € d’amende. »

Précisions quant à l’obligation d’information sur l’utilisation des "cookies"

Selon le nouvel article 32-II de la loi Informatique et Libertés :

« Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

  • de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
  • des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

  • soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
  • soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »

Nos partenaires

Réalisation : Clic Story ®

Plan du site