9 avril 2018
Publication | Data Protection | Le Magazine des Affaires
Article rédigé par Thierry Dor, associé de la ligne de métiers Propriété Intellectuelle, Télécoms, Médias & Technologies, spécialisé dans le droit des nouvelles technologies et des données personnelles, publié dans Le Magazine des Affaires de mars 2018.
Après Uber, c'est Facebook qui fait la une des journaux pour une affaire de faille de sécurité, concernant des millions d'utilisateurs, révélée très tardivement. La question est à la fois celle de la sécurité et de la confidentialité des données des utilisateurs mais aussi celle de la transparence vis-à-vis de ces utilisateurs lorsque les mesures de sécurité et de confidentialité n'ont pas permis d'éviter une faille entraînant la violation de leurs données.
Pour remédier à cette situation, de nombreux Etats américains dès 2001, l'Australie depuis le 22 février 2018 et maintenant l'Union européenne, ont décidé de mettre en place différents régimes organisant la transparence en matière de violation des données personnelles.
En France, il existait déjà dans la loi Informatique et Libertés une obligation générale de sécurité et de confidentialité des données personnelles. Ainsi, dans sa délibération remarquée sanctionnant un opérateur télécom en 2014, l'autorité française de protection des données (la CNIL) rappelait à l'opérateur son obligation de « mettre en oeuvre des moyens propres à assurer la sécurité des données de ses clients et notamment des mesures adaptées pour que ces données ne soient pas communiquées à des tiers non autorisés. »
Désormais, avec le Règlement Général sur la Protection des Données ("RGPD"), applicable à partir du 25 mai 2018 dans l'ensemble des pays de l'Union européenne, il conviendra aussi de communiquer en présence d'une violation de données avérée.
L'article 4-12 du RGPD définit de façon large ce type d'atteinte comme toute « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. »
Que les données n'existent plus, aient été corrompues, divulguées ou ne soient plus sous le contrôle du responsable de traitement, les articles 33 et 34 du RGPD introduisent non seulement une obligation de notification à l'autorité de protection des données compétente, mais également une obligation d'information des personnes dont les données ont été compromises, obligations lourdement sanctionnées.
Cet article revient notamment sur les aspects suivants :
Pour lire l'intégralité de l'article, cliquez sur le pdf ci-dessous.