|
Outre le tronc commun du droit des données personnelles, les Fournisseurs d’accès internet (FAI) et les opérateurs de téléphonie sont soumis, depuis l’Ordonnance n°2011-1012 du 24 août 2011 (article 34 bis de la loi informatique et libertés), à certaines obligations spécifiques en matière de protection des données des abonnés. Sécurité des données personnelles des abonnés Toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel (données des abonnés), doit être notifiée sans délais par le FAI (ou l’opérateur) à la CNIL. Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique, le FAI doit également avertir, sans délai, l’abonné. La notification à l’abonné n’est toutefois pas nécessaire si la CNIL a constaté que des mesures de protection appropriées ont été mises en œuvre par le FAI afin de rendre les données incompréhensibles (cryptage) à toute personne non autorisée à y avoir accès. Selon les services de la CNIL, seraient constitutifs d’une violation de données personnelles : i) Un accès non autorisé dans la base de données de gestion clientèle d’un FAI ; ii) Une faille de sécurité sur le site marchand d’un opérateur de téléphonie mobile permettant de récupérer des numéros de cartes de crédits ; iii) Un courrier électronique confidentiel destiné à un client d’un FAI diffusé par erreur à un tiers ou à un autre abonné ; iv) La perte d’une version imprimée d’un contrat client par un commercial d’une boutique de téléphonie mobile. N’entre toutefois pas dans le cadre du dispositif légal d’alerte, l’attaque du PC de l’abonné par un virus informatique (même si ce dernier a collecté des données personnelles). Intérêt du système d’alerte Une violation des données personnelles d’un abonné, risque, si elle n’est pas traitée à temps et de manière appropriée, d’engendrer une perte économique et des dommages sociaux substantiels, y compris une usurpation d’identité, pour l’abonné concerné. Journal des incidents Chaque FAI / Opérateur a l’obligation de tenir à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises pour y remédier. Cette inventaire est conservé par le FAI / Opérateur et mis à la disposition de la CNIL, en cas de demande. Gravité des atteintes La notification à la CNIL ne présuppose pas un certain degré de gravité, toutes les violations devant être notifiées. Au sens de la directive 2002/58/CE du 12 juillet 2002, une violation de données personnelles est considérée comme affectant la vie privée d’un abonné (et donc donner lieu à une notification de ce dernier) lorsqu’elle est susceptible d’entraîner, par exemple, le vol ou l’usurpation d’identité, une atteinte à l’intégrité physique, une humiliation grave ou une réputation entachée en rapport avec la fourniture de services de communications. Forme de la notification à la CNIL La notification se fait par lettre remise contre signature. Elle doit contenir les mentions suivantes : – Nature et conséquences de la violation ; Forme de la notification aux abonnés La notification aux abonnés comprend les mentions suivantes : – Nature de la violation ; Sanctions applicables L’absence de notification expose le FAI / Opérateur à des sanctions pénales (cinq ans d’emprisonnement et 300 000 € d’amende selon l’article 226-17-1 du code pénal) et des sanctions administratives (jusqu’à 300 000 € de sanction financière).
|
S’abonner
Connexion
0 Commentaires
Le plus ancien