Fuites de données perso : l’UE dévoile de nouvelles obligations pour les FAI

La Commission européenne a dévoilé hier de nouvelles « mesures techniques d’application » censées compléter la législation actuelle en matière de notification par les FAI de violations de données à caractère personnel. Il faut dire que ce nouveau pas était attendu : Bruxelles avait lancé dès 2011 une consultation publique à ce sujet. L’entrée en vigueur de ces mesures devrait se faire avant le mois de septembre.

Aujourd’hui, les fournisseurs d'accès à Internet (FAI) européens détiennent toute une batterie de données personnelles concernant leurs clients : nom, adresse, coordonnées bancaires, historiques de connexion, etc. « Ces sociétés sont soumises depuis 2011 à une obligation générale d'informer les autorités nationales et les abonnés en cas de violation de données à caractère personnel » rappelle cependant la Commission européenne. Les obligations ainsi faites aux opérateurs vont d'ailleurs être complétées par de nouvelles règles, formalisées au travers d’un règlement à effet direct et ne nécessitant aucune transposition sur un plan national (disponible ici en PDF - en anglais).

L’objectif de ces « mesures techniques d’application » ? Il s’agit selon Bruxelles de « garantir que tous les clients soient traités de la même façon dans l'ensemble de l'UE en cas de violation des données, et de faire en sorte que les sociétés présentes dans plusieurs pays puissent avoir une approche paneuropéenne en la matière ». En gros, il est question d’une harmonisation des règles, afin que les internautes d’un pays européen bénéficient des mêmes droits que les internautes situés dans un État membre voisin en cas de perte ou de vol de leurs données personnelles détenues par un FAI.

Plus concrètement, la Commission explique que les opérateurs seront par exemple tenus :  

• d'informer l’autorité nationale compétente (en France, la CNIL) de tout incident dans un délai de 24 heures après la découverte de la violation des données, afin de limiter autant que faire se peut l’ampleur de cette violation. Au cas où la communication de toutes les informations ne pourrait se faire dans le délai imparti, les entreprises concernées devront fournir dans les 24 heures les informations initiales en leur possession et transmettre le reste des informations dans les trois jours.
• de fournir une « brève description » des éléments d'information concernés et des mesures qui ont été prises ou qui seront prises par la société.
• lorsqu’elles évaluent la nécessité d’informer les abonnés, les entreprises doivent soigneusement examiner le type de données ayant fait l’objet d’une violation, en particulier dans le secteur des télécommunications, selon qu’il s’agit d'informations de nature financière, de données de localisation, de fichiers journaux internet, d’historiques de sites Web consultés, de données relatives au courrier électronique et de listes d'appels téléphoniques détaillées.
• d'utiliser un document harmonisé (par exemple un formulaire type en ligne, identique pour tous les États membres de l'UE) pour informer l'autorité nationale compétente.

Une dispense d’information obligatoire de l’abonné concerné est néanmoins prévue, dans l’hypothèse où l’opérateur utiliserait une mesure technique de protection (de cryptage par exemple), listée par la Commission en collaboration avec l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l'information).

L’entrée en vigueur de ce règlement, d’ores et déjà approuvé par un comité composé de représentants des États membres, se fera deux mois après sa publication au Journal officiel de l'Union européenne. Même si le texte n’a pas encore été publié, la Commission a assuré à PC INpact qu’il le serait « dans les jours à venir ». Bruxelles mise sur une entrée en vigueur de ces mesures pour la « fin août ».