Navigation path

Left navigation

Additional tools

Commission européenne – Communiqué de presse

Stratégie numérique: la Commission lance une consultation sur les règles pratiques de notification des violations de données à caractère personnel

Bruxelles, le 14 juillet 2011 – La Commission européenne invite les opérateurs de télécommunications, les fournisseurs de services internet, les États membres, les autorités nationales responsables de la protection des données, les organisations de défense des consommateurs et d’autres parties intéressées à s’exprimer sur la nécessité d’adopter des règles pratiques supplémentaires afin de s’assurer que les violations des données à caractère personnel sont notifiées de manière cohérente dans l’Union. La directive révisée «Vie privée et communications électroniques» (2009/136/CE), entrée en vigueur le 25 mai 2011, fait partie d’un paquet de nouvelles réglementations européennes dans le domaine des télécommunications. Elle exige des opérateurs et des fournisseurs de services internet qu’ils informent, sans retard indu, les autorités nationales compétentes ainsi que leurs clients de toute violation des données à caractère personnel qui se trouvent en leur possession (voir IP/11/622 et MEMO/11/320). La Commission compte sur les différents acteurs concernés pour l’éclairer sur les pratiques en vigueur et sur leur expérience concernant ces nouvelles règles. Elle pourrait ensuite proposer de nouvelles règles pratiques précisant quand, selon quelles procédures et sous quel format procéder à une notification. Les contributions peuvent être apportées jusqu’au 9 septembre 2011.

Mme Neelie Kroes, vice-présidente de la Commission européenne chargée de la stratégie numérique, a déclaré: «L’obligation de notifier toute violation de données est un élément important de la nouvelle réglementation européenne relative aux télécommunications. Une certaine cohérence doit cependant prévaloir au sein de l’Union pour éviter aux entreprises de se perdre dans un labyrinthe de régimes nationaux. Je souhaite instaurer des conditions équitables pour tous, fournir des garanties aux consommateurs et offrir aux entreprises des solutions concrètes».

La consultation porte sur les éléments suivants:

  • circonstances: description de la manière dont les organisations respectent, ou comptent respecter, la nouvelle obligation découlant de la réglementation relative aux télécommunications; description des types de violations qui entraîneraient l’obligation de notification à l’abonné ou au particulier, et exemples de mesures de protection susceptibles de rendre les données incompréhensibles;

  • procédures: délai de notification, modes de notification et procédure applicable à un cas particulier;

  • formats: contenu de la notification aux autorités nationales et aux particuliers, formats standard actuels et faisabilité d’un format européen standard.

La Commission s’intéresse par ailleurs aux violations transfrontalières et au respect des autres obligations européennes relatives aux violations de sécurité.

Contexte

Les opérateurs de télécommunications et les fournisseurs de services internet détiennent une série de données concernant leurs clients, telles que leur nom, leur adresse et leurs coordonnées bancaires, qui s’ajoutent à l’historique de leurs appels téléphoniques et des sites web qu’ils ont consultés. La directive «Vie privée et communications électroniques» dispose qu’ils sont tenus d’assurer la protection et la confidentialité de ces données. Il arrive cependant que des données soient volées ou égarées ou qu’elles soient consultées par des personnes non habilitées. C’est ce qu’on appelle des «violations de données à caractère personnel». En vertu de la directive «Vie privée et communications électroniques» révisée (2009/136/CE), le fournisseur est tenu de signaler toute violation de ce type à une autorité nationale spécifique – généralement l’autorité nationale responsable de la protection de données ou l’autorité de réglementation du secteur des communications. Il doit en outre en informer directement la personne concernée.

Pour garantir que les règles en vigueur en cas de violation de données sont mises en œuvre de manière cohérente entre les différents États membres, la directive autorise la Commission à proposer des «mesures techniques d’application», c’est-à-dire des règles pratiques complétant la législation existante, concernant les circonstances, les formats et les procédures applicables aux exigences en matière de notification.

Prochaines étapes

Si, sur la base des contributions reçues, la Commission décidait de proposer des mesures techniques d'application, elle devrait consulter l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA), le groupe de travail «article 29» sur la protection des données et le contrôleur européen de la protection des données. En tant qu’autorités compétentes pour les questions liées aux violations de données dans certains États membres, les autorités de réglementation du secteur des communications seraient également consultées.

Les mesures techniques d’application prendraient la forme d’une décision de la Commission adoptée dans le cadre de la «procédure de réglementation» (comitologie). Selon cette procédure, les États membres devraient d’abord approuver les propositions de la Commission au sein du comité des communications (COCOM). Le Parlement européen aurait alors trois mois pour examiner les mesures avant leur entrée en vigueur.

Cette consultation est totalement distincte du processus actuel [voir MEMO/10/542 (en anglais) et IP/10/1462] de révision de la directive générale sur la protection des données (95/46/CE).

Pour en savoir plus

Le document de consultation est disponible (en anglais) à l’adresse:

http://ec.europa.eu/information_society/policy/ecomm/library/public_consult/data_breach/index_en.htm

Site web de la stratégie numérique (en anglais):

http://ec.europa.eu/digital-agenda.

Site web de Mme Neelie Kroes (en anglais et en néerlandais):

http://ec.europa.eu/commission_2010-2014/kroes/.

Pour suivre Mme Kroes sur Twitter (en anglais):

http://twitter.com/neeliekroeseu.

Contacts:

Jonathan Todd (+32 2 299 41 07)

Linda Cain (+32 2 299 90 19)


Side Bar

My account

Manage your searches and email notifications


Help us improve our website