La Cnil a créé sa procédure en ligne de notification des violations de données personnelles le 23 août 2013 (1). Cette procédure, effective depuis le 25 août, fait suite à la publication du règlement européen 611/2013 du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel qui impose aux autorités de protection des données de mettre à disposition des fournisseurs de communications électroniques une procédure de notification des violations de données à caractère personnel.
Pour rappel, l’obligation de notification, qui incombe pour l’heure uniquement aux fournisseurs de communications électroniques, résulte de la ratification de la directive Paquet Telecom, qui a été transposée à l’article 34 bis de la loi Informatique et libertés.
Dès lors, si un fournisseur de communications électroniques constate une violation de données personnelles, il devra utiliser le formulaire téléchargeable sur le site internet de la Cnil, lequel pourra être adressé par la même voie. La Cnil met également à leur disposition un outil d’aide à l’analyse du degré de gravité de la violation de données personnelles.
Cette télé-procédure sera probablement étendue dans un futur proche, dans la mesure où le projet de règlement européen de protection des données à caractère personnel du 25 janvier 2012 prévoit l’extension de l’obligation de notification à tous les responsables de traitement.
Polyanna Bigle
Lexing Droit Sécurité des systèmes d’information
Caroline Macé
Lexing Droit Informatique et libertés contentieux
(1) Cnil, Rubrique Actualité, article du 23-8-2013