24 heures chronos

Le 26 juin, l’Union européenne s’est dotée d’un nouveau Règlement (611/2013) qui harmonise la manière dont les opérateurs de télécommunications des vingt-huit Etats membres doivent notifier les violations de données à caractère personnel. Si l’obligation de notification existe depuis 2012 en Belgique, les modalités pratiques restaient vagues et les notifications se faisaient souvent de manière non-coordonnée et informelle. Le Règlement permet à présent d’en préciser les contours.

Le 26 juin, l’Union européenne s’est dotée d’un nouveau Règlement (611/2013) qui harmonise la manière dont les opérateurs de télécommunications des vingt-huit Etats membres doivent notifier les violations de données à caractère personnel. Si l’obligation de notification existe depuis 2012 en Belgique, les modalités pratiques restaient vagues et les notifications se faisaient souvent de manière non-coordonnée et informelle. Le Règlement permet à présent d’en préciser les contours.

Qu’est ce qui doit être notifié?

Constitue une violation de données à caractère personnel, toute violation de la sécurité entrainant la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel (noms, adresses, emails de clients voire même leur adresse IP ou l’historique de sites consultés). Cela recouvre tant les situations de “hacking” que de fuites purement accidentelles.

A qui incombe l’obligation de notifier?

A ce stade, sont seuls visés les fournisseurs d’un service de communications électroniques accessible au public, à savoir essentiellement les opérateurs de télécommunications et les fournisseurs de services d’accès Internet. Toutefois, il ne fait aucun doute que la pratique établie par ce Règlement aura, à terme, une influence pour tous les secteurs de l’économie puisque la révision des règles européennes en matière de protection des données, actuellement en débats devant le parlement Européen, prévoit d’étendre l’obligation de notification à l’ensemble des entreprises.

A qui les notifications doivent-elles être adressées?

Trois types de destinataires sont à envisager:

D’abord, une notification doit toujours être adressée à l’autorité nationale compétente. En Belgique, il s’agit de l’IBPT. Notons que l’IBPT doit également être avertie des atteintes à la sécurité ou à l’intégrité des réseaux mais, ce uniquement dans certains cas ; un projet de décision de mai 2013 a proposé des seuils de notification à cet égard. A l’inverse, il n’existe pas de seuil pour les violations de données à caractère personnel, de sorte que toute violation même temporaire ou limitée à un utilisateur final doit être notifiée.

Ensuite, l’abonné dont les données ont été violées doit également être informé. Il existe toutefois deux dérogation à ce principe. D’une part, aucune notification ne doit lui être faite lorsque les données ont été cryptées en mode sécurisé, par exemple à l’aide d’un algorithme normalisé, de telle manière qu’elles deviennent incompréhensibles pour les tiers. D’autre part, la notification ne doit être faite que si violation est “susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’un particulier”. Le Règlement fournit une liste non-exhaustive de critère à prendre en compte afin de déterminer si tel est le cas: il s’agit notamment de la nature et la teneur des données concernées (données à caractère financier, de localisation, historiques de site web consultés, e-mails, etc.), des conséquences vraisemblables de la violation de données à caractère personnel (vol, usurpation d’identité, humiliation, atteinte à la réputation, etc.), et des circonstances de la violation de données à caractère personnel.

Enfin, dans l’hypothèse où le fournisseur n’est pas directement lié par un contrat avec les abonnés, ce dernier n’est pas contraint d’émettre les notifications susmentionnées. Il doit, néanmoins, en aviser le fournisseur qui dispose du contrat avec l’abonné.

Quelles informations doivent être fournies?
Plusieurs informations doivent être fournies dans les notifications. Celles-ci figurent aux Annexes I et II du Règlement. Ainsi, toute notification doit contenir l’identité du fournisseur et de sa personne de contact (en général son délégué à la protection des données), la date et les circonstances de la violation, la nature et la teneur des données concernées, les mesures prises par le fournisseur en vue de remédier à la situation, ainsi que les conséquences vraisemblables pour les abonnés. Les clients doivent en outre être informés des mesures à prendre pour atténuer les préjudices potentiels.

Dans quel délai la notification doit-elle être émise?
Concernant la notification destinée à l’autorité nationale, le Règlement établit un délai strict pour les opérateurs. Dans tous les cas, une notification initiale doit être faite au plus tard vingt-quatre heures après avoir constaté la violation. La fourniture de certaines informations peut être postposée (de maximum trois jours suivants la notification initiale) si celles-ci ne sont pas immédiatement disponibles.

Contrairement à la notification destinée à l’autorité nationale, aucune limite de temps précise n’est fixée pour la notification à l’abonné. Celle-ci devra être “effectuée sans retard injustifié”. Dans certains cas exceptionnels, lorsque la notification peut nuire à l’efficacité de l’enquête, le fournisseur peut être autorisé à retarder la notification à l’abonné moyennant l’accord préalable de l’IBPT.

Existe-il un support déterminé pour émettre une telle notification ?
A nouveau, il faut distinguer notifications destinées à l’IBPT et aux particuliers. L’IBPT a en effet l’obligation de mettre à disposition un moyen électronique sécurisé de notification de telles violations. Idéalement, cela devrait être un site Internet dédié. Un tel site Internet sécurisé est déjà prévu dans le projet décision de l’IBPT pour les atteintes à la sécurité des réseaux. Reste à voir si ce site pourra également être utilisé pour les violations de données à caractère personnel et s’il sera déjà en service à la fin des vacances…

La notification à l’abonné n’est soumis à aucune forme précise si ce n’est qu’elle doit être claire, aisément compréhensible, rapide et sécurisée. Elle ne peut servir à faire la publicité de services additionnels (par exemple de sécurité renforcée).

Des sanctions sont-elles prévues en cas non-respect des règles en matière de notification?

Le droit européen impose que des sanctions soient émises en cas de violation de l’obligation de notification. En Belgique, ces sanctions ressortent du pouvoir général de contrôle de l’IBPT qui peut, moyennant le respect de certaines procédures, imposer des sanctions pécuniaires.

Quelles mesures pratiques peuvent être envisagées?
La Règlement entrera en vigueur le 25 août 2013 et sera directement obligatoire. Par conséquent, les opérateurs disposent des vacances pour mettre en place les mesures internes qui permettront d’assurer que la notification des violations de données à caractère personnel soit faite dans les 24 heures de leurs détections.

Les opérateurs peuvent ainsi songer aux mesures suivantes:

Le développement de protocoles internes de signalements aux services juridiques (par exemple via l’Intranet)Pour les multinationales, l’adoption de règles et de procédures de notification paneuropéennes, à mettre ensuite en oeuvre au niveau national ou à travers un principe de guichet uniqueL’introduction d’une obligation de signalisation interne dans le programme de conformité des employés ; etL’introduction de termes contractuels dans les accords de sous-traitances afin d’assurer une communication de toute violation au service adéquat au sein de l’entreprise.