Pour gérer vos consentements :
Categories: Régulations

Données privées : l’Europe impose de nouvelles règles

À l’heure où le débat sur la protection des données fait l’objet d’un intense lobbying à Bruxelles, la Commission européenne promeut de nouvelles règles régissant la procédure que les prestataires techniques sont tenus de suivre en cas de perte, vol ou violation des données électroniques à caractère personnel de leurs clients.

Les mesures à mettre en œuvre par les opérateurs

Depuis 2011, les opérateurs de télécommunications et les fournisseurs d’accès et de services Internet ont l’obligation d’informer les autorités nationales et les abonnés en cas de violation de données personnelles. Le règlement rendu public lundi 24 juin par l’exécutif européen précise ces obligations, à savoir :

  • Informer l’autorité nationale compétente de tout incident dans un délai de 24 heures après la découverte de la violation des données ou fournir une partie de ces informations dans les 24 heures et transmettre le reste dans les trois jours ;
  • Donner une brève description des éléments d’information concernés et des mesures prises ou qui seront prises par l’entreprise ;
  • Examiner le type de données ayant fait l’objet d’une violation : données financières, données de localisation, logs, pages et sites web, courriers électroniques, appels téléphoniques… ;
  • Utiliser un document harmonisé – par exemple un formulaire type en ligne, identique pour tous les États membres de l’UE – pour informer l’autorité compétente.

Une approche paneuropéenne de la violation de données

À travers ces mesures, Bruxelles entend garantir que « tous les clients soient traités de la même façon dans l’ensemble de l’UE en cas de violation des données », et faire en sorte que les entreprises présentes dans plusieurs pays adoptent « une approche paneuropéenne » en la matière.

L’exécutif européen souhaite également encourager les organisations à utiliser le chiffrement des données personnelles. Dans ce but, la Commission, en coopération avec l’Agence européenne de la sécurité des réseaux et de l’information (ENISA), publiera prochainement une liste indicative de mesures techniques de protection.

Plus surprenant, Bruxelles estime que « si une entreprise utilisant une telle technique devait subir une violation de données en sa possession, elle serait dispensée de l’obligation d’en informer l’abonné concerné, car une telle violation ne révélerait pas véritablement les données à caractère personnel de celui-ci ». Pas vu, pas pris ?

« Ces nouvelles mesures d’ordre pratique assurent des règles du jeu équitables pour tous les acteurs concernés », déclare pourtant Neelie Kroes, vice-présidente de la Commission en charge de la stratégie numérique.

Distinctes des propositions de révision de la législation de 1995 relative à la protection des données et de directive sur la sécurité des réseaux et de l’information, ces mesures sont liées à la directive « vie privée et communications électroniques » de 2002. Elles ont été adoptées sous la forme d’un règlement de la Commission ayant un effet direct et ne nécessitant aucune transposition à l’échelon national.

Le règlement en question entrera en vigueur deux mois après sa publication au Journal officiel de l’UE.

crédit photo © shutterstock


Voir aussi

Quiz Silicon.fr – Connaissez-vous les inventeurs hi-tech européens ?

Recent Posts

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

16 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

16 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

20 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

23 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

1 jour ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

2 jours ago