17/12/2015
The GDPR is finally coming: we're happy to offer an improved version of the text! (...détails...)
28/04/2014

La décision Conseil d'Etat "Foncia Groupe" du 12 mars 2014 consacre un important revirement d'analyse des relations "Informatique et Libertés" au sein d'un Groupe: la holding ou le siège, assurant la responsabilité réelle, in concreto, du traitement, n'est plus considéré comme sous-traitant, mais bien comme responsable légal du traitement pour l'ensemble de ses filiales.

(...détails...)
21/03/2014
Vous pouvez désormais louer RETIL, sans acquérir de licence ni l'installer sur vos serveurs.
(...détails...)
27/01/2014
Voici les supports de la présentation de ce 27 janvier 2014 à la toujours intéressante Université de l'AFCDP. Merci de votre attention durant cet atelier !
19/04/2013
La délibération CNIL 2013-075 du 28 mars 2013 labellise notre formation "Correspondant Informatique et Libertés".
(...détails...)

Toutes les news

Détail d'une Nouvelle ou d'un Article

01/03/2013

Cyber-Directive


La Commission européenne vient de publier un projet de Directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, dite
«Directive Cybersécurité».

Après la notification des violations de données à caractère personnelles, la notification des incidents de sécurité

Cette directive vise à améliorer le niveau de préparation et de coopération entre États membres en matière de sécurité. Elle oblige les opérateurs d'infrastructures critiques comme les réseaux d'énergie, de transports, les prestataires de services de la société de l'information et les administrations publiques à adopter des mesures appropriées pour gérer les risques de sécurité et à signaler les incidents graves aux autorités nationales.

La loi Informatique et Libertés impose déjà aux responsables de traitement d'adopter des mesures de sécurité adaptées aux risques présentés par le traitement afin d’assurer la protection des données à caractère personnel collectées (article 34 de la loi du 6 janvier 1978 modifiée).

Le Règlement européen relatif à la protection des données, actuellement en projet, devrait comporter l'obligation pour les responsables de traitement de notifier les violations de données à caractère personnel (article 31) aux autorités de protection des données.

L'article 15 du projet de Directive propose d'introduire une obligation de notification de certains autres incidents de sécurité, y compris lorsqu'ils n’entraîneraient pas une compromission de données à caractère personnel.

Quel type d'incident notifié ?

La Directive définit que seuls les incidents ayant « un impact significatif sur la sécurité des services essentiels » fournis par les « acteurs de marché » devront faire l'objet d'une notification auprès de l'autorité compétente (article 14, 2). La notion d'« impact significatif sur la sécurité des services essentiels » apparaît toutefois relativement floue. S'agit-il des faits susceptibles d'être qualifiés d'atteinte aux systèmes de traitement automatisé de données, déjà sanctionnés par les dispositions des articles 323-1 et suivants du code pénal ? La Commission n'apporte pas de précisions sur ce point.

Il convient également de souligner que cette nouvelle obligation n'incombe pas à l'ensemble des organismes comme la notification des violations de données à caractère personnel mais uniquement à certains acteurs identifiés, dont une liste non exhaustive figure en annexe de la directive. Il s'agit notamment des prestataires de services de la société de l'information comme les réseaux sociaux et les moteurs de recherche, et des opérateurs d'infrastructure critiques essentielles au maintien de fonctions vitales dans le domaine de l'énergie, des transports, des services bancaires, de la santé, etc.

Une double notification ?

Dès lors, cette nouvelle obligation pourrait conduire les organismes concernés à procéder à une double notification, ce qui s'avérerait lourd en termes administratifs. Afin de réduire ces formalités, la Directive précise que les « États membres doivent mettre en œuvre l'obligation de notifier les incidents de sécurité d'une manière qui réduise au minimum la charge administrative » lorsque l'incident porte aussi atteinte à des données à caractère personnel. La Commission suggère qu'un formulaire de notification unique soit mis en place. Or, autant le projet de Règlement détaille les informations à notifier lors de violation de données personnelles1, autant le projet de Directive est muet sur ce point. En outre, on peut s'interroger sur la pertinence de mettre en place un formulaire unique pour signaler des atteintes dont les impacts seront très différents.

Autres points d'ombre

La Directive ne précise pas non plus le délai dans lequel cette notification devra intervenir.

Enfin, s'agissant d'une Directive, elle devra faire l'objet de transpositions dans chacun des droits nationaux, susceptibles d'apporter des précisions. On pourrait dès lors voir surgir un problème d'harmonisation des législations européennes en la matière, et retrouver l’écueil des disparités du régime actuel en matière de protection des données.

 


1Article 31 de la proposition de Règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 25 janvier 2012 : la notification doit comporter au minimum : la description de la nature de la violation y compris les catégories et le nombre de personnes concernées par la violation et les catégories et le nombre d'enregistrement de données concernées, l'identité et les coordonnées du délégué à la protection des données, une description des éventuelles conséquences de cette violation et des recommandations quant aux mesures à prendre pour les atténuer, les mesures prises par le responsable de traitement pour remédier à cette violation.


Creative Commons License
Cette création est mise à disposition sous un contrat Creative Commons.

  • 3F
  • Alptis
  • ADREA
  • ATEN
  • Bosch
  • British Telecom
  • CE Ile de France
  • CCI Morbihan
  • CG Calvados, Seine-Maritime...
  • c-m-a
  • CNCC
  • Collège de France
  • Conseils Régionaux
  • Eiffage
  • EADS
  • ESSEC
  • Groupe Casino
  • Galeries Lafayette
  • ividence
  • Mutuelle.fr
  • Paris Habitat
  • Universités
  • UDAF 42
  • URSSAF 83
  • Vinci Energies
Membre de l'AFCDP
Membre de l'IAPP
Membre fondateur de Privacy Europe