Un nouveau règlement européen va contraindre ces entreprises à notifier rapidement les pertes ou vols des données personnelles de leurs clients auprès des autorités compétentes, à savoir la CNIL et/ou l’ANSSI en France.

L’Europe durcit un peu plus les obligations en matière de protection de données personnelles. Depuis 2011, les opérateurs de télécommunications et fournisseurs d’accès internet doivent informer les autorités nationales compétentes et les abonnés en cas de perte ou de vol de données à caractère personnel. La Commission européenne vient maintenant d’élaborer un règlement qui obligera ces entreprises à faire un signalement dans un délai de 24 heures après la découverte de la violation des données.

Comme il s’agit d’un règlement, cette loi n’a pas besoin d’une transposition à l’échelon national : elle entrera en vigueur automatiquement deux mois après sa publication au Journal officiel de l’Union européenne. En France, les opérateurs télécoms et les FAI devront donc, à partir de ce moment-là, signaler auprès de la CNIL et/ou de l’ANSSI les éventuelles pertes ou vols de données, en fournissant une brève description des éléments d’information concernés et des mesures qui ont été prises ou qui seront prises. Sont concernés, en particulier, les données de nature financière, de localisation, de fichiers journaux internet, d’historiques de sites web, relatives au courrier électronique et de listes d’appels téléphoniques.

Pas de notification si chiffrement

Un moyen d’échapper à cette obligation de notification est de chiffrer la totalité de ces données personnelles. Dans ce cas, même en cas de perte ou de vol de données, l’entreprise sera dispensée de faire un signalement, car les informations personnelles ne seraient pas réellement révélées. La Commission publiera une « liste indicative » de mesures techniques permettant la mise en œuvre d’un tel chiffrement.

Il faut préciser que ce nouveau règlement n’est qu’une première étape dans un durcissement général de la protection de données personnelles. En effet, la Commission européenne compte aller beaucoup plus loin dans l’obligation de notification, qui devrait être étendue à un ensemble de secteurs économiques, et ne pas rester limitée aux seuls opérateurs et FAI. Un projet de loi européen a été présenté en ce sens en février dernier.   

Lire aussi:

Une directive européenne pour lutter contre la cybercriminalité, le 07/02/2013
Données personnelles : les nouvelles obligations des entreprises, le 03/05/2013

Source:

Le communique de la Commission européenne