La faisabilité des schémas de certification de protection de la vie privée( Télécharger le fichier original )par Florence BONNET Institut Supérieur d'Electronique de Paris - Mastère gestion et protection des données à caractère personnel 2010 |
(2) La directive 95/46Dans sa communication du 04/11/2010, la commission européenne précise qu'elle examinera les modalités d'introduction d'une notification des failles de sécurité en lien avec le principe d'économie des DP et de contrôle effectif par la personne concernée sur ses propres données. En France, la proposition de loi du 6 novembre 2009 de M. Détraigne et Mme Escoffier, sénateurs vise « à mieux garantir le droit à la vie privée à l'heure du numérique » et propose également une obligation de notification des « atteintes aux traitements de données ». La proposition de loi envisage la publication des « Atteintes aux traitements de données à caractère personnel ». Les termes d'« atteinte » et de « notification » pourraient respectivement être remplacés par ceux de « violation » et « information ». Les auteurs de la proposition de loi Détraigne-Escoffier relèvent qu'en France, « La CNIL estime que le niveau de protection des données ne peut être jugé satisfaisant, comme en témoignent ses contrôles, tant auprès des entreprises que des administrations » et regrettent que « la sécurité des données ne constitue malheureusement pas encore une préoccupation majeure ». Il est vrai que le concept de sécurité n'est pas détaillé dans l'article 17 de la directive 95/46, ce qui rend sa mise en oeuvre d'autant plus disparate selon les pays et les organisations. (3) La directive vie privée et communication électroniqueElle porte sur la « violation » de données à caractère personnel « entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés de données à caractère personnel transmises, stockées ou traitées d'une autre manière en relation avec la fourniture de services de communications électroniques accessibles au public dans la Communauté » ; L'article 4 de la directive prévoit que : « En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit sans retard indu l'autorité nationale compétente de la violation. Lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d'un abonné ou d'un particulier, le fournisseur avertit également sans retard indu (...) le particulier concerné. La notification au particulier concerné n'est pas nécessaire si le fournisseur a prouvé, à la satisfaction de l'autorité compétente, qu'il a mis en oeuvre les mesures de protection technologiques appropriées rendant les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès. Si le fournisseur n'a pas déjà averti l'abonné ou le particulier, l'autorité nationale compétente peut, après avoir examiné les effets éventuellement négatifs de la violation, exiger du fournisseur qu'il s'exécute. Les autorités nationales compétentes peuvent adopter des lignes directrices et, le cas échéant, édicter des instructions précisant les circonstances dans lesquelles le fournisseur est tenu de notifier la violation de données à caractère personnel, le format applicable à cette notification et sa procédure de transmission. Lors de la fixation de règles détaillées, il convient de tenir dûment compte des circonstances de la violation, notamment du fait que les données à caractère personnel étaient ou non protégées par des mesures de protection techniques appropriées limitant efficacement le risque d'usurpation d'identité ou d'autres formes d'abus. Les fournisseurs tiennent à jour un inventaire des violations de données à caractère personnel et des mesures prises pour y remédier. La directive « vie privée et communications électroniques » prévoit l'avertissement de l'autorité nationale de toute violation accidentelle ou illicite de données personnelles ; elle impose la notification aux particuliers sauf à ce que des mesures préventives de protection appropriée aient été mises en oeuvre. En Europe la législation sur les failles de sécurité est déjà entrée en vigueur dans de nombreux pays. (*)REF _Ref278271812 \r \h \* MERGEFORMAT Vers une obligation générale de déclaration des failles de sécurité ? Les considérants de la directive sur les télécommunications préconisent l'extension de l'obligation de déclaration des violations de sécurité à l'ensemble des secteurs, en soulignant que « l'intérêt des utilisateurs à être informés ne se limite pas, à l'évidence, au secteur des communications électroniques, et il convient dès lors d'introduire de façon prioritaire, au niveau communautaire, des exigences de notification explicites et obligatoires, applicables à tous les secteurs». Le commissaire européen Peter Hustinx (CEPD) « prie instamment la Commission de faire des propositions multisectorielles sur les failles de sécurité » dans son rapport du 18/03/2010. Signalons enfin qu'en France, conformément aux dispositions de l'article R1111-14 du code de la Santé Publique, les hébergeurs de santé doivent fournir à l'appui de leur demande d'agrément une présentation de leur politique de confidentialité comprenant « Les procédures de signalement des incidents graves, dont l'altération des données ou la divulgation non autorisée des données personnelles de santé. * REF _Ref278271812 \r \h \* MERGEFORMAT
|
|