La notification des violations de données à caractère personnel
RSS CNIL - , 28/05/2012
Qu'est-ce qu'une "violation de données à caractère personnel " ?
Les 3 conditions préalables et cumulatives
Pour qu'il y ait violation, trois conditions préalables et cumulatives doivent être réunies (art. 34 bis de la loi informatique et libertés) :- Il faut qu'il y ait un traitement de données à caractère personnel ;
- mis en œuvre par un fournisseur de services de communications électroniques ;
- dans le cadre de son activité de fourniture de services de communications électroniques : par exemple, lors de la fourniture de son service de téléphonie ou d'accès à d'internet.
Quelques exemples
Seraient constitutifs d'une violation :- Une intrusion dans la base de données de gestion clientèle d'un fournisseur d'accès internet (FAI) ;
- Une faille dans la boutique en ligne d'un opérateur mobile permettant de récupérer les numéros de cartes de crédits des clients ayant commandé un nouveau téléphone associé à un forfait (car ce sont les données clients collectées en tant qu'opérateur) ;
- Un email confidentiel destiné à un client d'un FAI, diffusé par erreur à d'autres personnes ;
- La perte d'un contrat papier d'un nouveau client par un agent commercial d'un opérateur mobile dans une boutique.
Les contre-exemples
En revanche, ne seraient pas des violations de données à caractère personnel au sens de l'article 34 bis :- Toute violation ne concernant pas un traitement du FAI comme un virus informatique qui s'attaque aux PC des abonnés du FAI pour collecter des données personnelles ;
- Toute activité ne concernant pas la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public tel que le piratage du fichier des ressources humaines du FAI.
La gravité de la violation a-t-elle des conséquences sur l'obligation de notifier ?
Vis à vis de la CNIL, toutes les violations doivent lui être notifiées quelle que soit la gravité de la violation. Seules les violations portant "atteinte aux données à caractère personnel ou à la vie privée" doivent faire l'objet d'une notification aux personnes concernées. Ainsi, selon la directive 2002/58/CE modifiée, "une violation devrait être considérée comme affectant les données à caractère personnel ou la vie privée d'un abonné ou d'un particulier lorsqu'elle est susceptible d'entraîner, par exemple, le vol ou l'usurpation d'identité, une atteinte à l'intégrité physique, une humiliation grave ou une réputation entachée en rapport avec la fourniture de services de communications accessibles au public dans la Communauté". Cela pourrait, par exemple, être le piratage de bases de données du fournisseur d'accès contenant des adresses email ou des données de facturation. Le fournisseur doit donc analyser les conséquences de la violation sur les personnes afin d'en déterminer la gravité, puis vérifier s'il a appliqué les mesures de protection technologiques requises.Qui doit notifier?
L'article 34bis vise les "fournisseurs de services de communications électroniques accessibles au public". Il s'agit des opérateurs devant être déclarés auprès de l'ARCEP (article L33-1 alinéa 1 du code des postes et des communications électroniques).Exemples : les fournisseurs d'accès à internet ou de téléphonie fixe et mobile.
Les "services de la société d'information " (selon une expression utilisée dans les avis du G29) tels que les banques en ligne, les sites d'e-commerce ou les téléservices des administrations, etc., ne sont pas concernés.Quand et comment notifier la CNIL ?
La notification à la CNIL est systématique et sans délai (art.34 bis II). Elle se fait par lettre remise contre signature et contient les éléments suivants :- nature et conséquences de la violation ;
- mesures déjà prises ou proposées pour remédier à la violation ;
- personnes auprès desquelles des informations supplémentaires peuvent être obtenues ;
- si possible, estimation du nombre de personnes susceptibles d'être concernées.
Que sont des mesures de protection appropriées rendant les données incompréhensibles aux personnes non autorisées à y avoir accès (Art.91-3 du décret) ?
Il s'agit de toute mesure technique efficace destinée à rendre les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès. Par exemple, le fait de chiffrer les données permettrait de rendre les données incompréhensibles à des tiers. Toutefois, si la clé de chiffrement est compromise et qu'un tiers y a accès, il pourrait déchiffrer les données et faire en sorte que cette mesure s'avère inefficace.Comment faire constater par la CNIL que des mesures appropriées ont bien été prises ?
- Si le fournisseur a mis en œuvre des mesures de protection, il doit en informer la CNIL par tout moyen en précisant les éléments suivants :
- nom, prénom, adresse et coordonnées téléphoniques du responsable de traitement ;
- description des mesures de protection ;
- dispositions prévues et appliquées pour conférer une pleine efficacité à ces mesures ;
- les cas échéant, les références des dossiers de formalités accomplies auprès de la CNIL ;
- l'accomplissement ou non de la formalité de notification aux personnes, et si non, les raisons justifiant l'absence de notification.
- Dès lors que le dossier est complet, la CNIL a deux mois pour se prononcer sur les mesures qui ont été prises.
- En cas de silence de la CNIL, les mesures sont considérées comme ne répondant pas aux exigences de l'article 34 de la loi de 1978-17 modifiée.
Comment notifier aux personnes ?
La notification aux personnes se fait par tout moyen permettant d'apporter la preuve de l'accomplissement de cette formalité et contient les éléments suivants :- la nature de la violation ;
- les personnes auprès desquelles des informations supplémentaires peuvent être obtenues ;
- les mesures recommandées par le fournisseur pour atténuer les conséquences négatives.
Faut-il notifier aux personnes systématiquement ?
Non, la notification aux personnes ne doit être réalisée qu'en cas de risque d'atteinte aux données à caractère personnel ou à la vie privée de la personne. En outre, si le fournisseur décide de ne pas notifier aux personnes, il doit faire constater par la CNIL que les mesures de protection appropriées ont été mises en œuvre et efficacement appliquées aux données concernées par la violation.Quand faut-il notifier aux personnes ?
Lorsqu'elle est nécessaire, la notification aux personnes doit être effectuée sans délai (art. 34 bis II al.2). Lorsqu'elle est imposée par la CNIL, l'information les personnes doit être réalisée dans un délai fixé par la Commission qui ne peut excéder un mois.La CNIL peut-elle obliger un fournisseur à avertir les personnes ?
Oui, la CNIL peut mettre en demeure le fournisseur d'avertir les personnes si elle estime que la violation est grave.Quels sont les risques pris par le fournisseur qui ne notifierait pas ?
Le fournisseur encourt des sanctions pénales car le fait pour un fournisseur de services de communications électroniques de ne pas procéder à la notification d'une violation de données à caractère personnel à la Commission nationale de l'informatique et des libertés ou à l'intéressé est puni de cinq ans d'emprisonnement et de 300 000 € d'amende (art. 226-17-1 du code pénal).En outre, tout manquement à la loi "informatique et libertés" est passible de sanctions administratives, notamment financières pouvant aller jusqu'à 300 000€.
En cas de violations, le fournisseur a-t-il d'autres obligations que la notification?
Oui, il doit tenir à jour un inventaire des violations qui doit "notamment " contenir- "leurs modalités" : ce qui s'est passé
- "leur effet " : quelles en sont les conséquences
- "les mesures prises pour y remédier " : quelles sont les actions correctives mises en œuvre.
Ce recensement des violations peut être réalisé sous format papier ou numérique.
Attention ! Cet inventaire doit être conservé à la disposition de la CNIL.