Obligation de notification des violations de données à caractère personnel à la CNIL : le décret

Publié le 04/04/2012 Vu 3 371 fois 0
Légavox

9 rue Léopold Sédar Senghor

14460 Colombelles

02.61.53.08.01

Décret n° 2012-436 du 30 mars 2012 Afin de renforcer la protection des données personnelles des internautes, l’obligation de notification de failles de sécurités informatiques a été introduit en 2011 dans notre législation. Lorsque le fournisseur de services de communications électroniques accessibles au public constate une violation de données à caractère personnel, il doit avertir immédiatement la CNIL. Cela concerne les FAI mais pourrait également s’étendre à tous les acteurs du web qui détiennent des données à caractère personnel hébergées sur les réseaux sociaux …

Décret n° 2012-436 du 30 mars 2012 Afin de renforcer la protection des données personnelles des internau

Obligation de notification des violations de données à caractère personnel à la CNIL : le décret

Décret n° 2012-436 du 30 mars 2012 (modifiant le Décret n°2005-1309 du 20 octobre 2005)

Afin de renforcer la protection des données personnelles des internautes, l’obligation de notification de failles de sécurités informatiques a été introduit en 2011 dans notre législation.

Lorsque le fournisseur de services de communications électroniques accessibles au public constate une violation de données à caractère personnel, il doit avertir immédiatement la CNIL. Cela concerne les FAI mais pourrait également s’étendre à tous les acteurs du web qui détiennent des données à caractère personnel hébergées sur les réseaux sociaux …

 (Article 34 bis de la loi Informatique et Libertés Créé par Ordonnance n°2011-1012 du 24 août 2011 - art. 38)

 

Cette violation de données à caractère personnel vise toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la fourniture au public de services de communications électroniques.

 

De plus,  le fournisseur doit également en informer l’internaute lorsque cette violation peut porter atteinte à ses données à caractère personnel ou à sa vie privée ou d'une autre personne physique.

Mais si le fournisseur d’accès a pris des mesures de protection appropriées afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès, il n’est alors plus tenu d’en informer l’intéressé.

La CNIL a en charge de vérifier que ces précautions ont bien été prises par le fournisseur d’accès.

Le Décret n° 2012-436 du 30 mars 2012 vient préciser les conditions dans lesquelles le fournisseur de services de communications électroniques accessibles au public doit informer la CNIL.

  « Constitue une mesure de protection appropriée, au sens de l'article 34 bis de la loi du 6 janvier 1978, toute mesure technique efficace destinée à rendre les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès. »

Ces dispositions constituent des avancées dans la protection des données personnelles sur Internet, mais le constat reste toutefois en demi-teinte car seuls sont visés les « fournisseurs de services de communications électroniques accessibles au public ».

La révélation sur la place publique par des internautes de faille de sécurité suite à l’obligation de notification à la CNIL s’avèrerait plus dissuasive que les amendes…Une manière de responsabiliser fortement les différents acteurs, quand on sait la rapidité à laquelle les informations sont diffusées sur Internet.

 

Le projet règlement européen va beaucoup plus loin car il prévoit d’étendre ces mesures à tous les secteurs d’activité.

 

 

 Les sanctions :

Si le fournisseur omet de notifier les violations à la CNIL, celle-ci pourra le sanctionner, mais son pouvoir de sanction reste limité à une sanction pécuniaire de 150 000 euros ou 300 000 en cas de récidive.

Ces dispositions sont renforcées par une sanction pénale :

Depuis l'ordonnance du 24 août 2011, le code pénal prévoit que le non respect de la notification d’une violation de données à caractère personnel est puni de cinq ans d’emprisonnement et de 300 000 € d’amende. 

(Article 226-17-1 du Code Pénal)

 

Géraldine LALY
 
Avocat
 
 
 
  
Vous avez une question ?

Posez gratuitement toutes vos questions sur notre forum juridique. Nos bénévoles vous répondent directement en ligne.

Publier un commentaire
Votre commentaire :
Inscription express :

Le présent formulaire d’inscription vous permet de vous inscrire sur le site. La base légale de ce traitement est l’exécution d’une relation contractuelle (article 6.1.b du RGPD). Les destinataires des données sont le responsable de traitement, le service client et le service technique en charge de l’administration du service, le sous-traitant Scalingo gérant le serveur web, ainsi que toute personne légalement autorisée. Le formulaire d’inscription est hébergé sur un serveur hébergé par Scalingo, basé en France et offrant des clauses de protection conformes au RGPD. Les données collectées sont conservées jusqu’à ce que l’Internaute en sollicite la suppression, étant entendu que vous pouvez demander la suppression de vos données et retirer votre consentement à tout moment. Vous disposez également d’un droit d’accès, de rectification ou de limitation du traitement relatif à vos données à caractère personnel, ainsi que d’un droit à la portabilité de vos données. Vous pouvez exercer ces droits auprès du délégué à la protection des données de LÉGAVOX qui exerce au siège social de LÉGAVOX et est joignable à l’adresse mail suivante : donneespersonnelles@legavox.fr. Le responsable de traitement est la société LÉGAVOX, sis 9 rue Léopold Sédar Senghor, joignable à l’adresse mail : responsabledetraitement@legavox.fr. Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle.

A propos de l'auteur
Blog de Maître Géraldine LALY

Avocat en droit des affaires et propriété intellectuelle

Mes liens
Rechercher
Retrouvez-nous sur les réseaux sociaux et sur nos applications mobiles