Les pertes de données bientôt notifiées aux régulateurs et aux victimes
Selon un projet de règlement, dont nos confrères de PCINpact ont obtenu copie, la Commission Européenne s’apprête à rendre obligatoire la notification aux autorités de protection des données personnelles compétentes - la CNIL, en France - et aux victimes de toute perte de données.
La rumeur fait état d’un tel de projet de règlement encadrant les pertes de données personnelles depuis plusieurs semaines. Outre-Manche, le Financial Times a même, un temps, évoqué une éventuelle amende pour défaut de sécurisation des systèmes de traitement des données personnelles. Le document obtenu par nos confrères n’en fait pas état. Mais il prévoit une obligation d’information aux autorités de protection des données personnelles compétentes sous 24h, avec description de la nature et du volume des données perdues, ainsi que des conséquences potentielles de l’incident de sécurité. Le responsable du traitement devra parallèlement avertir les propriétaires des données concernées, à savoir les individus dont les données auront été dérobées ou égarées. Tout en leur suggérant des mesures visant à prévenir l’utilisation frauduleuse de ces données. Mais uniquement si des données sensibles accessibles en clair dans les fichiers sont concernées.
En France, la législation prévoit déjà des mesures comparables, mais elles ne concernent que les opérateurs de services de télécommunication. Là, la Commission Européenne vise une extension du principe à l’ensemble des acteurs traitant des données personnelles.
En lui-même, le projet ne comporte pas de surprise majeure : le 14 juillet dernier, Bruxelles avait ouvert une consultation sur les règles pratiques de notification des pertes de données personnelles. Consultation close le 9 septembre dernier.
Enfin, le 7 décembre, Viviane Reding, vice-présidente de la Commission Européenne et Commissaire à la Justice, évoquait le besoin d’un cadre réglementaire «qui protège les individus et stimule l’économie numérique.» En particulier, elle indiquait vouloir que les citoyens soient «toujours en capacité de prendre des décisions informées sur la manière dont leurs données personnelles sont utilisées. Les entreprises Internet doivent assurer la transparence.» Surtout, pour Viviane Reding, il apparaît essentiel que «les entreprises prennent la sécurité des données personnelles plus au sérieux. [...] Lorsque qu’une fuite de données survient, l’entreprise responsable devra en informer l’autorité compétente nationale immédiatement ainsi que les individus dont les données ont été compromises ou volées. [...] Rien ne peut excuser que l’on n'informe pas les personnes concernées de ce qui est arrivé à leurs données personnelles. Ce risque de fuites de données est préjudiciable à la confiance des personnes dans l’économie numérique.»