S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

EU : les pertes de données bientôt notifiées aux CNIL et aux victimes

Comme pour le L34bis de la loi CNIL

Exclu. Dans un projet de réglement, les autorités européennes veulent définir un nouveau cadre juridique pour la protection des données personnelles dans l'UE. Dans ce document que PC INpact s’est procuré, l’Europe prépare une série de mesures pour encadrer la sécurisation informatique des données personnelles contre le piratage ou la perte de données.

directive européen protection données personnelles

Jusqu’à présent, les esprits s’étaient plutôt concentrés sur la sanction des atteintes aux systèmes informatisés. Avec ce projet de directive, on renverse la vapeur en obligeant les acteurs qui manipulent des données personnelles à implémenter des « mesures techniques appropriées » selon la nature des données personnelles à protéger. Le texte européen ne fixe pas de variable technique (qualité du chiffrement, etc.), il souligne cependant que ce niveau de sécurité sera en fonction de l’état de l’art et du coût d’implémentation. La Commission pourra néanmoins se pencher sur ces critères afin de mieux en préciser les paramètres.

En cas de faille, fuite, piratage, perte, etc. en Europe, deux actions seront à suivre. L’une auprès du gendarme des données personnelles, l’autre auprès de la personne mentionnée dans ces fichiers.

Le gestionnaire des fichiers devra d’abord alerter sans délai, et au plus tard dans les 24h, le gendarme des données personnelles, soit en France, la CNIL. Dans cette notification, il devra notamment décrire la nature et le volume des données personnelles mais également les conséquences de cette violation. Pour l’avenir, il devra aussi indiquer les mesures prises pour colmater la brèche.

directive européen protection données personnelles  directive européen protection données personnelles

Alerter les personnes désignées dans les données personnelles

Le texte va plus loin encore. En plus de notifier « sa » CNIL nationale, le responsable du traitement devra aussi alerter dans le même temps les victimes de cette brèche. À cette occasion, il devra les informer des mesures à prendre pour atténuer les effets du piratage ou de la perte de données (changer mot de passe, etc.).

Si la notification de la CNIL est obligatoire, celle aux victimes ne sera cependant pas automatique. Le responsable du traitement pourra l’éviter s’il démontre à la CNIL avoir pris les fameuses mesures techniques appropriées. « Ces mesures techniques de protection rendent les données incompréhensibles à toute personne non autorisée à y accéder » prévient le projet de directive. Faute de réponse satisfaisante, chaque CNIL pourra toujours obliger le responsable du traitement à des mesures de publicités auprès des victimes.

La France et les opérateurs télécoms

La France déjà mis en œuvre un tel dispositif dans le cadre de l'ordonnance transposant le Paquet Télécom. Nous l'avions évoqué à l'égard de la problématique des FADET.

Le dispositif entré en application ne concerne cependant que les données des opérateurs. En cas de violation de données à caractère personnel ou touchant à la vie privée, l’article 34 bis de la loi CNIL oblige alors les acteurs des télécoms à avertir sans délai la Commission Informatique et libertés. Ils sont aussi tenus d'informer l'abonné-victime sauf si la CNIL constate que « les mesures de protection appropriées » ont été finalement mises en œuvre. Dans tous les cas, la Commission nationale de l'informatique et des libertés peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d'informer également les intéressés.
Marc Rees

Journaliste, rédacteur en chef

Publiée le 26/12/2011 à 11:55

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 5 commentaires

Avatar de ErGo_404 INpactien
ErGo_404 Le lundi 26 décembre 2011 à 12:02:33
Inscrit le lundi 16 mai 05 - 3903 commentaires
Très bien.
Un peu tard vu les récentes fuites de données de toute l'industrie vidéoludique, mais très bien.
Avatar de Khalev INpactien
Khalev Le lundi 26 décembre 2011 à 13:21:11
Inscrit le mercredi 1 avril 09 - 5605 commentaires
Avant quand il y avait une exclu c'était marqué en rouge, gras. Maintenant juste un petit "Exclu."

Marc, deviendrais-tu blasé de faire des exclus?
champion.gif
Avatar de Vellou INpactien
Vellou Le lundi 26 décembre 2011 à 16:21:08
Inscrit le vendredi 18 mai 07 - 781 commentaires
A voir comment ça sera dans les textes, mais à priori ça va dans le bon sens.
Avatar de sr17 INpactien
sr17 Le lundi 26 décembre 2011 à 17:13:30
Inscrit le lundi 26 décembre 05 - 12039 commentaires
Des mesures vaines et inutiles. De l'administratif pour de l'administratif.

A quand un vrai plan de lutte contre les hackers chinois qui tentent de pénétrer tous les jours sur les serveurs des entreprises françaises ?

En France, on se rassure avec de la paperasserie administrative et tout l'argent passe la dedans au lieu de servir à des actions réellement utiles.

Commentaire de xiaolaool supprimé le 27/12/2011 à 14:29:52 : Réponse à un commentaire supprimé

Il y a 5 commentaires

;