Mesures concernant les violations de données à caractère personnel sur la vie privée et les communications électroniques

Règlement (UE) de la Commission concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE sur la vie privée et les communications électroniques

D023457/03  du 11/02/2013

Examen dans le cadre de l'article 88-4 de la Constitution

Texte déposé au Sénat le 19/02/2013
Examen : 23/04/2013 (commission des affaires européennes)


Justice et affaires intérieures

Texte E 8077

Mesures concernant les violations de données à caractère personnel sur la vie privée et les communications électroniques

(Procédure écrite du 23 avril 2013)

L'article 4 de la directive 2002/58/CE fait obligation aux fournisseurs de services de communications électroniques accessibles au public de notifier les violations de données à caractère personnel aux autorités nationales compétentes et, dans certains cas, aux abonnés et aux particuliers concernés. Ces violations dont définies comme étant des violations de sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés de données à caractère personnel transmises, stockées ou traitées d'une autre manière en relation avec la fourniture de services de communication électronique accessibles au public dans l'Union.

La Commission européenne propose de fixer les conditions de la notification des violations de données à caractère personnel. Le fournisseur devra notifier toutes les violations à l'autorité nationale compétente au plus tard 24 heures après le constat de la violation. La notification devra aussi être faite à un abonné ou à un particulier lorsque la violation porte atteinte à ses données ou à sa vie privée. L'autorité nationale compétente devra mettre à la disposition des fournisseurs un moyen électronique sécurisé de notification. Celle-ci pourra toutefois être retardée, avec l'accord de l'autorité nationale compétente, dans certains cas exceptionnels, s'il y a un risque que la notification à l'abonné ou au particulier nuise à l'efficacité de l'enquête sur la violation des données. En outre, la notification d'une violation de données ne sera pas nécessaire si le fournisseur a prouvé qu'il a mis en oeuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par la violation.

Une évaluation sera faite dans les trois ans suivant l'entrée en vigueur du texte et pourra donner lieu, le cas échéant, à un réexamen de ce dernier.

Sous le bénéfice de ces observations, la commission a décidé de ne pas intervenir plus avant.