Navigation path

Left navigation

Additional tools

Commission européenne

Communiqué de presse

Bruxelles, le 24 juin 2013

Stratégie numérique: nouvelles règles spécifiques pour la protection des consommateurs en cas de perte ou de vol de données électroniques à caractère personnel dans l’UE

La Commission européenne met en place de nouvelles règles régissant la procédure que les opérateurs de services de télécommunications et les fournisseurs de services internet (ISP) sont tenus de suivre en cas de perte, de vol ou de violation des données électroniques à caractère personnel de leurs clients. L'objectif de ces «mesures techniques de mise en œuvre» est de garantir que tous les clients soient traités de la même façon dans l'ensemble de l'UE en cas de violation des données, et de faire en sorte que les sociétés présentes dans plusieurs pays puissent avoir une approche paneuropéenne en la matière.

Les opérateurs de télécommunications et les fournisseurs de services internet détiennent une série de données concernant leurs clients, leur nom, leur adresse et leurs coordonnées bancaires, outre l’historique de leurs appels téléphoniques et des sites web qu’ils ont consultés. Ces sociétés sont soumises depuis 2011 à une obligation générale d'informer les autorités nationales et les abonnés en cas de violation de données à caractère personnel (IP/11/622).

Grâce au règlement élaboré par la Commission, les sociétés disposeront d'instructions plus claires sur la manière de se conformer à ces obligations et les clients bénéficieront d’un degré de certitude plus grand quant à la manière dont leur problème sera traité. Les entreprises sont par exemple tenues:

  • d'informer l’autorité nationale compétente de tout incident dans un délai de 24 heures après la découverte de la violation des données, afin de limiter autant que faire se peut l’ampleur de cette violation.Si la communication de toutes les informations ne peut se faire dans ce délai, elles doivent fournir dans les 24 heures les informations initiales dont elles disposent et transmettre le reste des informations dans les trois jours;

  • de fournir une brève description des éléments d'information concernés et des mesures qui ont été prises ou qui seront prises par la société;

  • lorsqu’elles évaluent la nécessité d’informer les abonnés (par exemple en utilisant comme critère le risque que la violation ait des conséquences dommageables pour les personnes en ce qui concerne leurs données à caractère personnel ou leur vie privée), les entreprises doivent soigneusement examiner le type de données ayant fait l’objet d’une violation, en particulier dans le secteur des télécommunications, selon qu’il s’agit d'informations de nature financière, de données de localisation, de fichiers journaux internet, d’historiques de sites Web consultés, de données relatives au courrier électronique et de listes d'appels téléphoniques détaillées.

    d'utiliser un document harmonisé (par exemple un formulaire type en ligne, identique pour tous les États membres de l'UE) pour informer l'autorité nationale compétente.

La Commission souhaite également encourager les entreprises à crypter les données à caractère personnel. C’est pourquoi, en collaboration avec l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l'information), la Commission publiera également une liste indicative de mesures techniques de protection, telles que les techniques de cryptage, qui rendent les données incompréhensibles pour toute personne non habilitée à en prendre connaissance. Si une entreprise utilisant une telle technique devait subir une violation de données en sa possession, elle serait dispensée de l’obligation d’en informer l’abonné concerné, car une telle violation ne révélerait pas véritablement les données à caractère personnel de celui-ci.

Mme Neelie Kroes, vice-présidente de la Commission européenne, a déclaré à ce sujet: «Les consommateurs doivent être informés en cas de violation de leurs données à caractère personnel, de manière à pouvoir prendre les mesures nécessaires, le cas échéant; par ailleurs, les entreprises ont besoin de règles simples. Ces nouvelles mesures d'ordre pratique assurent des règles du jeu équitables pour tous les acteurs concernés».

La Commission met ces règles en place pour donner suite à la consultation publique qu'elle avait organisée en 2011 et qui avait révélé un large soutien des parties prenantes en faveur d'une harmonisation des pratiques dans ce domaine. Ces règles ont été approuvées par un comité composé de représentants des États membres et elles ont fait l'objet d'un examen approfondi par le Parlement européen et le Conseil. Elles ont été adoptées sous la forme d'un règlement de la Commission ayant un effet direct et ne nécessitant aucune transposition à l'échelon national; ce règlement entrera en vigueur deux mois après sa publication au Journal officiel de l'Union européenne.

Contexte

La directive «Vie privée et communications électroniques» de 2002 dispose que les opérateurs de services de télécommunications et d'internet sont tenus d’assurer la protection et la confidentialité des données à caractère personnel. Il arrive cependant que des données soient volées, égarées ou consultées par des personnes non habilitées. C’est ce que l’on appelle des «violations de données à caractère personnel». En vertu de la directive «Vie privée et communications électroniques» révisée (2009/136/CE), le fournisseur est tenu de signaler toute violation de données à caractère personnel à une autorité nationale spécifique — généralement l’autorité nationale de protection des données ou l’autorité de réglementation du secteur des communications. Le fournisseur est également tenu d'informer directement ses abonnés lorsque la violation en question risque de porter atteinte à leurs données à caractère personnel ou à leur vie privée. Pour garantir que les règles en vigueur en cas de violation de données sont mises en œuvre de manière cohérente dans tous les États membres, la directive autorise la Commission à proposer des «mesures techniques d’application», c’est-à-dire des règles pratiques complétant la législation existante, en ce qui concerne les circonstances, les formats et les procédures applicables aux exigences en matière de notification.

La directive prévoit qu'en vue d’élaborer ces mesures, la Commission doit «consulter toutes les parties concernées». Cela a été fait au moyen d'une consultation publique organisée en 2011. Les réponses reçues émanaient d'un large éventail de parties prenantes, y compris des autorités nationales, des prestataires de services et de la société civile. Celles-ci ont manifesté un large soutien en faveur d'une harmonisation des pratiques dans ce domaine et ont permis de mettre en évidence certaines divergences dans les approches au niveau national. Pour élaborer ces mesures, la Commission a également consulté les groupes suivants: l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA), le groupe de travail sur la protection des données (groupe de travail «Article 29»), ainsi que le Contrôleur européen de la protection des données (CEPD).

Les mesures adoptées sont distinctes de la proposition de révision de la législation de l'UE relative à la protection des données et de la proposition de directive sur la sécurité des réseaux et de l'information, présentées par la Commission.

Liens utiles

Règlement de la Commission relatif aux mesures applicables à la notification de violations de données à caractère personnel au titre de la directive «Vie privée et communications électroniques»:

The ePrivacy Directive (en anglais).

Online privacy in the Digital Agenda (confidentialité des données électroniques et stratégie numérique).

Directive relative à la protection des données à caractère personnel

Mot-clé: #eprivacy

Donnez votre avis (en anglais)

Digital Agenda

Neelie Kroes Suivez Mme Kroes sur Twitter

Contacts :

Ryan Heath (+32 2 296 17 16), Twitter: @RyanHeathEU

Linda Cain (+32 2 299 90 19)


Side Bar

My account

Manage your searches and email notifications


Help us improve our website