Données privées : l’Europe impose de nouvelles règles

À l’heure où le débat sur la protection des données fait l’objet d’un intense lobbying à Bruxelles, la Commission européenne promeut de nouvelles règles régissant la procédure que les prestataires techniques sont tenus de suivre en cas de perte, vol ou violation des données électroniques à caractère personnel de leurs clients.

Les mesures à mettre en œuvre par les opérateurs

Depuis 2011, les opérateurs de télécommunications et les fournisseurs d’accès et de services Internet ont l’obligation d’informer les autorités nationales et les abonnés en cas de violation de données personnelles. Le règlement rendu public lundi 24 juin par l’exécutif européen précise ces obligations, à savoir :

• Informer l’autorité nationale compétente de tout incident dans un délai de 24 heures après la découverte de la violation des données ou fournir une partie de ces informations dans les 24 heures et transmettre le reste dans les trois jours ;
• Donner une brève description des éléments d’information concernés et des mesures prises ou qui seront prises par l’entreprise ;
• Examiner le type de données ayant fait l’objet d’une violation : données financières, données de localisation, logs, pages et sites web, courriers électroniques, appels téléphoniques… ;
• Utiliser un document harmonisé – par exemple un formulaire type en ligne, identique pour tous les États membres de l’UE – pour informer l’autorité compétente.

Une approche paneuropéenne de la violation de données

À travers ces mesures, Bruxelles entend garantir que « tous les clients soient traités de la même façon dans l’ensemble de l’UE en cas de violation des données », et faire en sorte que les entreprises présentes dans plusieurs pays adoptent « une approche paneuropéenne » en la matière.

L’exécutif européen souhaite également encourager les organisations à utiliser le chiffrement des données personnelles. Dans ce but, la Commission, en coopération avec l’Agence européenne de la sécurité des réseaux et de l’information (ENISA), publiera prochainement une liste indicative de mesures techniques de protection.

Plus surprenant, Bruxelles estime que « si une entreprise utilisant une telle technique devait subir une violation de données en sa possession, elle serait dispensée de l’obligation d’en informer l’abonné concerné, car une telle violation ne révélerait pas véritablement les données à caractère personnel de celui-ci ». Pas vu, pas pris ?

« Ces nouvelles mesures d’ordre pratique assurent des règles du jeu équitables pour tous les acteurs concernés », déclare pourtant Neelie Kroes, vice-présidente de la Commission en charge de la stratégie numérique.

Distinctes des propositions de révision de la législation de 1995 relative à la protection des données et de directive sur la sécurité des réseaux et de l’information, ces mesures sont liées à la directive « vie privée et communications électroniques » de 2002. Elles ont été adoptées sous la forme d’un règlement de la Commission ayant un effet direct et ne nécessitant aucune transposition à l’échelon national.

Le règlement en question entrera en vigueur deux mois après sa publication au Journal officiel de l’UE.

crédit photo © shutterstock

Voir aussi

Quiz Silicon.fr – Connaissez-vous les inventeurs hi-tech européens ?