Petit-déjeuner du 5 octobre 2011 – Alain Bensoussan et Céline Avignon ont animé un petit-déjeuner débat consacré à la nouvelle obligation de notification d’une faille de sécurité introduite par l’Ordonnance du 24 août 2011 de transposition du nouveau « Paquet télécom ».
S’agissant de la protection de la vie privée et des données personnelles dans le cadre des services de communications électroniques, l’ordonnance complète la loi relative à l’informatique, aux fichiers et aux libertés par de nouvelles obligations figurant à l’article 34 bis.
Cet article est une véritable révolution juridique qui s’applique à « toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques ».
L’article 34 bis crée quatre obligations :
- d’information générale de la Cnil en cas de violation de sécurité ;
- de notification aux clients dans un certain nombre de cas ;
- de réaction immédiate pour remédier à la violation ;
- d’inventaire visant à tenir à jour la liste des violations identifiées, leurs effets et les mesures prises pour y remédier.
Il confère également un nouveau pouvoir à la Cnil puisqu’il prévoit que cette dernière peut, après avoir examiné la gravité de la violation, mettre en demeure l’intéressé de procéder à une notification du client.
Ce nouvel article pose une série de questions dont la résolution est d’importance puisque le non-respect de l’obligation de « notification » est sanctionné pénalement.
Quelles sont les personnes soumises à ces nouvelles obligations ? Qu’est ce qu’une violation de sécurité : une faille ou un défaut ? Comment informer la Cnil et notifier les clients ? Quelles sont les « mesures de protection appropriées » qui permettent d’éviter une notification client ?
Que l’on soit ou non directement et immédiatement soumis à ces nouvelles dispositions, la réponse à ces questions intéresse tout un chacun dès lors que les objectifs posés tant par les instances nationales qu’européennes sont d’étendre cette obligation à tous les responsables de traitement quels qu’ils soient.
Nous vous avons proposé, à l’occasion d’un petit-déjeuner, de faire le point sur ces nouvelles dispositions.
Le petit-déjeuner débat a eu lieu le 5 octobre 2011 dans les locaux de ALAIN BENSOUSSAN sis 29, rue du Colonel Avia 75015 Paris.