Data Security Breach : obligation de notification en France

0
85

INFO ZATAZ – L’article 38 de l’ordonnance du 24 août 2011 institut une obligation de notification en cas de violations de données personnelles.

Oui, vous ne revez pas ! Le Data Security Breach vient, enfin, de voir le jour en France. La législation hexagonale a transposé « le Paquet Télécom » (directive 2009/136 du 25 novembre 2009) par ordonnance 2011-1012 du 24 août 2011 publiée au journal officiel le 26 août 2011. Bilan de ce charabiat, les entreprises ont déronavant obligation de prévenir leurs clients en cas de fuite de données. L’absence de notification est punie d’une peine pouvant aller jusqu’à 5 ans de prison et 300.000 euros d’amende (insertion d’un nouvel alinéa à l’article 226-17 du code pénal). Autant dire que le combat de ZATAZ.COM, depuis plus de 15 ans, vient de connaitre une nouvelle éftape positive pour les internautes Français. Pour rappel, depuis le 1e janvier 2011, ZATAZ.COM, via son protocole d’alerte a alerté plus de 1.400 entreprises/associations d’une fuite de données concernants leurs clients, membres … pour un total de données privées, voir sensibles, dépassant les 500.000.000 (500 millions) d’informations.

Hervé Gadabou, avocat associé chez Courtois Lebel, explique en exclusivité sur ZATAZ.COM comment cette ordonnance du 24 août 2011 modifie notamment certaines dispositions de la loi n°78- 17 du 6 janvier 1978 Informatiques, Fichiers et Libertés.

Les cookies : l’acceptation préalable de l’utilisateur
L’ordonnance du 24 août 2011 relative aux communications électroniques modifie l’article 32 II de la Loi n°78-17 du 6 janvier 1978. Cet article impose de nouvelles contraintes aux responsables de traitement de données personnelles, s’agissant des cookies.

Désormais, l’utilisation de cookies doit être préalablement soumise à l’acceptation de l’utilisateur (système dit de l’« opt in »). En d’autres termes, les opérateurs internet responsables de traitement de données personnelles doivent obtenir le consentement des internautes, après leur avoir donné des informations « claires et complètes » (finalité des cookies et description des moyens pour s’y opposer), avant d’implanter des cookies dans leurs systèmes.

Pour rappel, jusqu’à la publication de l’ordonnance du 24 août 2011, les utilisateurs pouvaient s’y opposer, mais postérieurement à l’installation dudit cookie (système dit de l’ « opt out »). Les exceptions à l’obligation d’obtenir l’accord préalable de l’intéressé, déjà présentes dans l’ancien article 32, sont maintenues pour :

·        Les cookies qui ont pour « finalité exclusive de permettre ou faciliter la communication par voie électronique » et

·        Les cookies qui sont « strictement nécessaires à la fourniture d’un service expressément demandé par l’internaute ».

Les moyens techniques permettant de satisfaire à ces obligations restent à déterminer. En effet, le texte précise seulement que l’accord « peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ».

L’opérateur doit en tout état de cause modifier les conditions d’utilisation de son site pour remplir son devoir d’information, en intégrant les nouvelles dispositions imposées par l’ordonnance. Ces modifications devront être portées à l’attention de l’internaute et expressément acceptées par ce dernier (et non tacitement), et ce avant même « toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ».

Il conviendra de suivre l’évolution des recommandations techniques, conseils et mentions d’informations types publiées par la CNIL, laquelle ne semble pas encore avoir mis à jour son site internet.

L’obligation de notification
L’article 38 de l’ordonnance du 24 août 2011 intègre un article 34 bis dans la Loi n°78-17 du 6 janvier 1978 qui institut une obligation de notification en cas de violations de données personnelles (Data Security Breach).

·        Qui est concerné ?

L’obligation de notification concerne les données traitées dans le cadre de la « fourniture de services de communications électroniques ouverts au public », ce incluant également les fournisseurs « prenant en charge les dispositifs de collecte de donnée et d’identification ».

Pour rappel, on entend par « services de communications électroniques » les prestations consistant entièrement ou principalement en la fourniture de communications électroniques. Ne sont pas visés les services consistant à éditer ou à distribuer des services de communication au public par voie électronique.

·        Que recouvre la notion de « violation de données personnelles » ?

Selon l’ordonnance, la violation de données personnelles constitue toute situation de violation de la sécurité du système d’information entraînant, de façon accidentelle ou illicite :

–         la destruction,
–         la perte,
–         l’altération,
–         la divulgation, ou encore
–         l’accès non autorisé à des données personnelles par un tiers.

Ces éléments ne sont pas cumulatifs.

·        Quand notifier ?

L’obligation de notification doit être faite « sans délai ».

·        A qui notifier ?

En cas de violation, l’ordonnance prévoit une notification sans délai :

–           à la CNIL
–           aux intéressés (clients, membres, …)

L’obligation sans délai de notification aux intéressés par le fournisseur est obligatoire dès lors que cette violation est susceptible de porter atteinte aux données personnelles ou à la vie privée de l’abonné ou d’une autre personne physique.

Exceptions :

L’obligation de notification à l’intéressé n’est pas nécessaire si la CNIL a constaté que des mesures de protections appropriées ont été mises en œuvre par le fournisseur (cryptage des données par exemple, rendant les données incompréhensibles). A défaut de telles mesures, la CNIL peut mettre en demeure le fournisseur d’informer également le ou les intéressés de la violation constatée.

·         Quelles sont les modalités de forme et de fond des notifications ?

Le texte de l’ordonnance ne précise pas les modalités de la notification. Il convient donc de se référer à l’article 3 la directive 2002/58/CE du 12 juillet 2002, sur ce point plus précis :
La notification faite à l’abonné ou à la personne physique doit indiquer, au minimum :

–         la nature de la violation de données personnelles
–         les points de contact auprès desquels des informations supplémentaires peuvent être obtenues
–         une recommandation des mesures à adopter afin d’atténuer les conséquences négatives éventuelles de la violation de données personnelles.

La notification faite à la CNIL doit, selon la directive, décrire les conséquences de la violation de données personnelles, et les mesures proposées ou prises pour y remédier.

·        Quelles obligations associées ?
Le fournisseur doit désormais établir un inventaire des violations constatées qu’il tient à disposition de la CNIL.

Cet inventaire doit comprendre :
–         les modalités des violations constatées ;
–         les effets provoqués par cette violation ;
–         les mesures entreprises pour y remédier.

·        Quelles sanctions en cas de défaut de notification ?
L’absence de notification est punie d’une peine pouvant aller jusqu’à 5 ans de prison et 300.000 euros d’amende (insertion d’un nouvel alinéa à l’article 226-17 du code pénal).

Les autres apports de l’ordonnance du 24 août 2011

Outre les modifications de la loi n°78-17 du 6 janvier 1978 Informatiques, Fichiers et Libertés, l’ordonnance 2011-1012 du 24 août 2011 modifie également certaines dispositions du code de la consommation et du code des postes et des communications électroniques (par exemple : les opérateurs de communications électroniques ont désormais l’obligation de réduire les délais de mise en œuvre de la portabilité des numéros ; sur un autre sujet, l’ordonnance met en place des garanties supplémentaires sur l’indépendance de l’Autorité de régulation des communications électroniques et des postes (ARCEP) et étend ses compétences).

[1] Directive 2009/136/CE du 25 novembre 2009 du parlement européen et du conseil, modifiant :

– la directive 2002/22/CE du 7 mars 2002 concernant le service universel et les droits des utilisateurs au regard des réseaux et des services de communications électroniques,

– la directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques

– le règlement (CE) no 2006/2004 du 27 octobre 2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs

 Article L32 du code des postes et des télécommunications

Fondé en 1969, Courtois Lebel est un cabinet d’avocats d’affaires qui offre à ses clients des services dans les principaux domaines du droit des affaires avec une réelle ouverture internationale. Les avocats sont spécialistes des dossiers complexes, mais enracinés dans la réalité économique et à la recherche de solutions pratiques. Le cabinet est organisé autour de 8 pôles d’expertise : Corporate et M&A, Concurrence distribution et droit commercial, Fiscal, Social, Propriété Intellectuelle, Réglementation bancaire et assurance, Informatique et réseaux, Contentieux des affaires. Courtois Lebel est membre d’AEL, réseau de cabinets d’avocats européens, et d’ALFA, réseau international regroupant 9500 avocats dans le monde.

 

Source : Zataz