Fuites de données : les opérateurs télécoms et FAI vont devoir informer leurs clients

Le Conseil de l'Union Européenne a approuvé le 23 octobre une série de dispositions visant à renforcer la protection de la vie privée des utilisateurs de l'Union. Un amendement à la directive sur le service universel et les Télécoms va ainsi contraindre les Opérateurs et FAI à avertir leurs abonnés en cas de violation à la sécurité, qui aurait entrainé la perte ou la compromission d'informations et de données les concernant.

Le Conseil de l'Union Européenne a approuvé le 23 octobre une série de modifications à la directive européenne sur le service universel et les Télécoms (directive 2002/22/CE) ainsi qu'une modification de la directive sur la protection de la vie privée dans le secteur des communications électroniques (directive 2002/58/CE). Pour les utilisateurs, la principale nouveauté en matière de protection de la vie privée est que les opérateurs télécoms et fournisseurs d'accès Internet seront désormais contraints d'informer leurs abonnés de toute violation à la sécurité qui aurait entrainé la perte ou la compromission d'informations et de données les concernant. Les mêmes opérateurs et FAI auront de plus l'obligation d'assister leurs abonnés afin de minimiser les conséquences de telles fuites de données.

Suite aux décisions du Conseil, l'article 4 de la directive 2002/58/CE sur la vie privée et les communications électroniques se trouve ainsi modifié : "En cas de violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés de données à caractère personnel transmises, stockées ou traitées d’une autre manière en relation avec la fourniture de services de communications accessibles au public dans la Communauté, le fournisseur de services de communications électroniques accessibles au public informe sans retard indu l’abonné concerné et l’autorité réglementaire nationale de cette violation. La notification faite à l’abonné décrit au minimum la nature de la violation et recommande des mesures à prendre pour en atténuer les conséquences négatives possibles. La notification faite à l’autorité réglementaire nationale décrit en outre les conséquences de la violation et les mesures prises par le fournisseur pour y remédier."

L'article 5 de la même directive est aussi modifié pour ce qui concerne les traitements des informations résidant sur le terminal de l'abonné par les opérateurs : "Les Etats membres garantissent que le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur reçoive, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement, et que le droit de refuser un tel traitement lui soit donné par le responsable du traitement des données. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer ou à faciliter la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires à la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur."

Les sanctions pour les opérateurs en cas de violation ainsi que le suivi du respect de la directive sont laissés pour l'instant à l'appréciation des états membres et à leurs autorités compétentes respectives.

En savoir plus sur le site Europa de l'UE:

Le texte des modifications approuvées par le Conseil

La décision du Conseil en date du 23 octobre 2009

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)

Close