Obligation de communication en cas de perte de données

Plusieurs exemples récents de perte de données à grande échelle par des administrations publiques ou des entreprises privées démontrent que le phénomène des ‘data breaches’ – entendez la diffusion accidentelle de données (personnelles) – tend à devenir structurel, même en Europe.

Plusieurs exemples récents de perte de données à grande échelle par des administrations publiques ou des entreprises privées démontrent que le phénomène des ‘data breaches’ – entendez la diffusion accidentelle de données (personnelles) – tend à devenir structurel, même en Europe.

C’est pourquoi l’Union européenne planche sur une approche cohérente, définie notamment dans le cadre de la récente journée d’étude organisée à Bruxelles par l’European Data Protection Service (EDPS) et la European Network & Information Security Agency (ENISA). A cette occasion, les participants ont analysé ce phénomène et abordé la manière de s’y attaquer, tout en se penchant sur l’information des parties concernées (pouvoirs pubics, victimes, …).

Il est apparu clairement qu’à terme, la Commission va généraliser l’obligation de communication en cas de perte de données, même hors du secteur des télécoms. Cette obligation doit s’inscrire dans un cadre plus vaste, englobant la gouvernance, la responsabilisation et la protection des données. La journée d’étude visait également à collecter davantage d’informations factuelles, à définir des bonnes pratiques, etc. dans le but de mettre en place un cadre légal et technologique. L’un des principes dégagés consiste à contraindre tout qui a un intérêt aux données à prendre ses responsabilités pour minimiser les risques de perte de données. La Commission entend en tout cas lancer d’ici 2010 une initiative majeure en matière de réseaux et de sécurité de l’information.