5 septembre 2011

Failles de sécurité: entre modifications législatives et transposition en droit national

Que l'on pense à la Californie qui vient de modifier les articles 1798.82 et 1798.29 du California Civil Code, à la France (billet) ou dernièrement au Luxembourg qui vient de transposer dans la loi de 2005 concernant la protection des données dans le secteur des communications électroniques une des dispositions de la directive 2009/136/CE, force est de constater que les législateurs prennent de plus en plus des mesures pour encadrer la problématique "protection des renseignements personnels et failles de sécurité". 

Ainsi, en Californie où l'obligation de déclarer les failles de sécurité est en vigueur depuis 2003, le législateur vient de modifier les articles du California Civil Code

Cette modification vient notamment préciser quelles sont les informations qui doivent être contenues dans la déclaration: 
"Any [1798.29(d) - agency / 1798.829(d) - person or business] that is required to issue a security breach notification pursuant to this section shall meet all of the following requirements:
(1) The security breach notification shall be written in plain language.
(2) The security breach notification shall include, at a minimum, the following information:
(A) The name and contact information of the reporting agency subject to this section.
(B) A list of the types of personal information that were or are reasonably believed to have been the subject of a breach.
(C) If the information is possible to determine at the time the notice is provided, then any of the following: (i) the date of the breach, (ii) the estimated date of the breach, or (iii) the date range within which the breach occurred. The notification shall also include the date of the notice.
(D) Whether the notification was delayed as a result of a law enforcement investigation, if that information is possible to determine at the time the notice is provided. 
(E) A general description of the breach incident, if that information is possible to determine at the time the notice is provided.
(F) The toll-free telephone numbers and addresses of the major credit reporting agencies, if the breach exposed a social security number or a driver’s license or California identification card number.
(3) At the discretion of the agency, the security breach notification may also include any of the following:
(A) Information about what the agency has done to protect individuals whose information has been breached.
(B) Advice on steps that the person whose information has been breached may take to protect himself or herself." 
(Source: Senate Bill n°24
Elle oblige également à déclarer au procureur général toute faille de sécurité visant plus de 500 résidents californiens 
"Any [1798.29 - agency(e) / 1798.82(f) - person or business] that is required to issue a security breach notification pursuant to this section to more than 500 California residents as a result of a single breach of the security system shall electronically submit a single sample copy of that security breach notification, excluding any personally identifiable information, to the Attorney General. A single sample copy of a security breach notification shall not be deemed to be within subdivision (f) of Section 6254 of the Government Code."
Ces modifications entreront en vigueur le 1er janvier 2012 et, pour d'autres informations sur ces modifications, voir notamment:

Au Luxembourg, le législateur a modifié l'article 3 de la Loi de 2005 concernant la protection des données dans le secteur des communications électroniques afin que, 
"les fournisseurs de services de communications électroniques accessibles au public, comme les entreprises de téléphonie fixe ou mobile ou les fournisseurs d’accès à Internet, doivent avertir immédiatement la Commission nationale pour la protection des données en cas de survenance d’une violation de la sécurité et de la confidentialité de données à caractère personnel et d’informer de surcroît leurs abonnés dès lors que l’incident constaté est susceptible d’affecter défavorablement le niveau de la protection de leur vie privée et des données les concernant."
(Source: CNPD Actualité, 5 septembre 2011)
Ainsi, la modification de l'article 3 se lit comme suit:
"(3) En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit sans retard la Commission nationale pour la protection des données de la violation.
Lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d’un abonné ou d’un particulier, le fournisseur avertit également sans retard indu l’abonné ou le particulier concerné de la violation.
La notification d’une violation des données à caractère personnel à l’abonné ou au particulier concerné n’est pas nécessaire si le fournisseur a prouvé, à la satisfaction de la Commission nationale pour la protection des données, qu’il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques rendent les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès.
Sans préjudice de l’obligation du fournisseur d’informer l’abonné et le particulier concerné, si le fournisseur n’a pas déjà averti l’abonné ou le particulier de la violation de données à caractère personnel, la Commission nationale pour la protection des données peut, après avoir examiné les effets éventuellement négatifs de cette violation, exiger du fournisseur qu’il s’exécute.
La notification faite à l’abonné ou au particulier décrit au minimum la nature de la violation de données à caractère personnel et les points de contact auprès desquels des informations supplémentaires peuvent être obtenues et recommande des mesures à prendre pour atténuer les conséquences négatives possibles de la violation de données à caractère personnel. La notification faite à la Commission nationale pour la protection des données décrit en outre les conséquences de la violation de données à caractère personnel, et les mesures proposées ou prises par le fournisseur pour y remédier.
La Commission nationale pour la protection des données peut adopter des lignes directrices et, le cas échéant, édicter des instructions précisant les circonstances dans lesquelles le fournisseur est tenu de notifier la violation de données à caractère personnel, le format applicable à cette notification et sa procédure de transmission.
Lors d’un premier manquement aux obligations de notification, le fournisseur est averti par la Commission nationale pour la protection des données. En cas de manquement répété la Commission nationale peut prononcer une amende d’ordre qui ne peut excéder 50.000 euros.
Un recours en réformation est ouvert devant le tribunal administratif contre les décisions prises par la Commission nationale pour la protection des données dans le cadre du présent article.
(4) Les fournisseurs tiennent à jour un inventaire des violations de données à caractère personnel, notamment de leur contexte, de leurs effets et des mesures prises pour y remédier, les données consignées devant être suffisantes pour permettre à la Commission nationale pour la protection des données de vérifier le respect des dispositions du paragraphe (3). Cet inventaire comporte uniquement les informations nécessaires à cette fin.
(5) Quiconque contrevient aux dispositions des paragraphes (1), (2) et (4) est puni d’un emprisonnement de huit jours à un an et d’une amende de 251 à 125.000 euros ou d’une de ces peines seulement. La juridiction saisie peut prononcer la cessation du traitement contraire aux dispositions du présent article sous peine d’astreinte dont le maximum est fixé par ladite juridiction."
Cette disposition est en vigueur depuis le 1er septembre 2011 et, pour d'autres informations à ce sujet, voir notamment:

Aucun commentaire:

Enregistrer un commentaire

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.