L’édito de la Lettre juristendance Informatique et libertés est consacré à la nouvelle téléprocédure mise en oeuvre par la Cnil pour la notification des violations de données par les fournisseurs de communications électroniques. Cette procédure, effective depuis le 25 août, fait suite à la publication du règlement européen 611/2013 du 24 juin 2013 (1) qui impose aux autorités de protection des données (en France, la Cnil) de mettre à disposition des fournisseurs de communications électroniques une telle procédure.
Rappelons que tout fournisseur de communications électroniques doit utiliser cette procédure de notification dans les 24 heures de la constatation d’une violation de données personnelles. A cet effet, la Cnil a mis en ligne un formulaire téléchargeable sur son site internet, ainsi qu’un outil d’estimation du degré de gravité de la violation à l’usage des fournisseurs. Ces derniers doivent ainsi noter de 1 à 4 le caractère identifiant des données et le caractère préjudiciable pour les personnes concernées.
Selon le résultat obtenu, une note sera attribuée à la violation qui sera considérée comme négligeable (résultat < à 5), limitée (résultat = 5), importante (résultat =6) ou maximale (résultat > à 6) et les fournisseurs pourraient avoir l’obligation d’informer les personnes victimes de ces failles…
Ce numéro traite également du bilan dressé par la Cnil de l’audit qu’elle a réalisé dans le cadre de l’« Internet Sweep Day » (« Journée de balayage de l’internet ») auprès de 250 sites internet pour apprécier le niveau d’information des internautes et renforcer la protection de leur vie privée. Un bilan pas entièrement négatif…
Informatique et libertés N°53 Septembre-octobre 2013
(1) Règlement (UE) n ° 611/2013 de la Commission du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques