CONTACT

Protection renforcée du consommateur européen en cas de vol ou de perte de ses données électroniques à caractère personnel

17 juillet 2013 | Derriennic Associés|

(Règlement n°611/2013 du 24 juin 2013)

Ce règlement précise la procédure que doivent suivre les opérateurs de services de télécommunications et les fournisseurs de services internet en cas de perte, vol ou violation des données électroniques personnelles de leurs clients (telles que le nom, l’adresse, les coordonnées bancaires, l’historique des appels téléphoniques et des sites web). En effet, la directive « Vie privée et communications électroniques » (Directive n°2009/136) prévoyait déjà qu’en cas de violation de données à caractère personnel, ces sociétés doivent avertir l’autorité nationale compétente (en France la CNIL) et, dans certaines circonstances, l’abonné ou le particulier concerné. Aux termes du règlement, les sociétés doivent notamment désormais :

  • informer l’autorité nationale compétente de tout incident dans un délai de 24 heures après la découverte de la violation des données ;
  • fournir une brève description des éléments d’information concernés et des mesures qui ont été prises ou seront prises par la société ;
  • lorsqu’elles évaluent la nécessité d’informer les abonnés (par exemple, en utilisant comme critère le risque que la violation ait des conséquences dommageables pour les personnes en ce qui concerne leurs données à caractère personnel ou leur vie privée), examiner soigneusement le type de données ayant fait l’objet d’une violation, en particulier dans le secteur des télécommunications, selon qu’il s’agit d’informations de nature financière, de données de localisation, de fichiers journaux internet, d’historiques de sites web consultés, de données relatives au courrier électronique et de listes d’appels téléphoniques détaillées ;
  • utiliser un document harmonisé (par exemple un formulaire type en ligne, identique pour tous les Etats membres de l’UE) pour informer l’autorité nationale compétente.

Par ce règlement, la Commission encourage également les entreprises à crypter les données à caractère personnel : elle publie à cet effet une liste indicative de mesures techniques de protection, telles que les techniques de cryptage, qui rendent les données incompréhensibles pour toute personne non habilitée à en prendre connaissance et si une entreprise utilisant une telle technique devait subir une violation de données en sa possession, elle serait dispensée de l’obligation d’en informer l’abonné concerné, car une telle violation ne révélerait pas véritablement les données à caractère personnel de celui-ci.

Ce règlement est entré en vigueur automatiquement deux mois après sa publication au Journal officiel de l’Union européenne (26/06/2013), soit le 25 août 2013.

Lien vers la décision