L’agence de cyber-sécurité européenne Enisa a consulté les opérateurs télécoms et DPA en matière d’indications obligatoires de fuites de données, en préliminaire de la prise de mesures en 2011.
L’agence de cyber-sécurité européenne Enisa a consulté les opérateurs télécoms et DPA en matière d’indications obligatoires de fuites de données, en préliminaire de la prise de mesures en 2011.
Dans le rapport ‘Data Breach Notifications in the EU’, l’European Network and Information Agency (Enisa) s’intéresse aux préoccupations des opérateurs télécoms à propos de l’obligation imminente de mentionner les fuites de données, comme prévu dans la directive européenne 2009/136/EC (du 25 novembre 2009). Enisa y oppose les desiderata des Data Protection Authorities (DPA) nationales.
Les opérateurs expriment en particulier leur préoccupation, selon laquelle ce genre de mention causerait des dommages à leur image ou que le contenu de cette mention influencerait négativement la relation avec leurs clients. L’exigence de mentionner un acte de piratage dans les plus brefs délais se heurte en outre au souhait des opérateurs de consacrer en premier lieu leurs efforts à trouver la solution au problème.
De leur côté, les DPA – responsables du suivi des législations nationales en matière de respect de la vie privée et de la sécurisation des données – aspirent à des mentions intégrant toutes les informations nécessaires, et ce le plus rapidement possible. En outre, ils estiment qu’en ayant la compétence d’imposer des sanctions, ils pourraient mieux faire respecter les règles.
L’on évoque de plus le fait que la réaction à une fuite de données devrait être en rapport avec la gravité de la fuite, en vue d’éviter une ‘notification de lassitude’. Un autre problème, c’est que les autorités compétentes ont peut-être déjà d’autres priorités.
La directive prévoit que dans le cas d’une fuite de données, le fournisseur du service électronique doit en informer l’autorité nationale compétente, ainsi que les personnes concernées, si la fuite porte atteinte à leur vie privée. Ce dernier point ne s’avère cependant pas nécessaire, si l’opérateur peut démontrer qu’il a pris les mesures technologiques de protection appropriées. Durant cette année 2011, Enisa devra élaborer les directives relatives aux règles et aux procédures de mise en oeuvre technique. Il s’agira de vérifier aussi si la directive en matière de fuites de données doit s’étendre à d’autres secteurs, tels que le monde financier, les soins de santé ou les PME.
Actuellement, il existe des législations nationales prévoyant la mention obligatoire de fuites de données en Allemagne, en Espagne, en Grande-Bretagne et en Irlande.
