Le fait : En cours de transposition, la directive européenne du 25 novembre 2009 met à la charge des fournisseurs de services de communications électroniques l’obligation de notifier à la Cnil, et éventuellement aux intéressés, les violations de données à caractère personnel.
Le Gouvernement doit prochainement transposer dans le droit français deux directives européennes de 2009 complétant le cadre règlementaire des communications électroniques dit « paquet télécom ». L’une d’elles met à la charge des entreprises fournissant des services de communications électroniques une nouvelle obligation de notification de toute « violation de données à caractère personnel ».
Obligation de notification à la charge des fournisseurs
La directive définit cette violation comme « une violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés de données à caractère personnel […)» Si une telle violation survient, le fournisseur doit en avertir l’autorité nationale compétente, en France la Cnil. Il doit également avertir l’abonné ou le particulier concerné, lorsque la violation est de nature à affecter négativement les données ou la vie privée de ce dernier. Cette notification n’est pas nécessaire si le fournisseur prouve avoir pris les « mesures de protection technologiques appropriées » et les avoir appliquées aux données concernées par la violation.
L’avis du Conseil national du numérique
Le projet d’ordonnance transposant ce dispositif fait actuellement l’objet de plusieurs consultations. Dans ce cadre, le Conseil national du numérique a considéré que « le dispositif prévu dans le projet d’ordonnance semble beaucoup plus contraignant que celui prévu dans la directive » et se dit favorable à une transposition plus fidèle. Selon le CNN, le projet d’ordonnance va au-delà de la directive en imposant que la Cnil valide les « mesures technologiques appropriées » prises par le fournisseur. Il constate également que, dans la directive, la notification à l’intéressé n’est exigée que si la violation des données lui porte préjudice et que cette notification doit être faite « sans retard indu », précision absente du projet d’ordonnance qui, de plus, exige une notification « sans délai ».
Les fournisseurs de services suivront avec intérêt les avis des autorités administratives saisies, dont la Cnil, pour tenter d’anticiper les conditions dans lesquelles ils devront, sous peine de sanctions, notifier les cas de violations de données.
Ce qu’il faut retenir : Le Conseil national du numérique a publié son rapport sur la transposition du « paquet télécom » et juge le dispositif sur la « violation de données à caractère personnel » plus contraignant que celui prévu par la directive.