Incident de sécurité : de nouvelles règles de notification en matière de données personnelles.
Le règlement européen 611/2013 du 24 juin 2013 est entré en vigueur le 25 août.
Dans les 24H
Ce règlement s’applique immédiatement et impose aux opérateurs de communications électroniques de notifier la CNIL dans les 24h de la violation.
En cas d’impossibilité, il est possible d’y déroger en transmettant une première notification dans les 24h après le constat de la violation puis une seconde au plus tard dans les 72h après la première.
Ces délais sont impératifs.
Dans les 4 jours
Les opérateurs doivent adresser à la CNIL les informations suivantes : date et heure de l’incident et de sa constatation, circonstances de la violation, nature et teneur des données concernées, mesures techniques et organisationnelles appliquées, recours à d’autres fournisseurs pour fournir le service, résumé de l’incident à l’origine de la violation, nombre d’abonnés ou de particuliers concernés, conséquences et préjudices potentiels pour les abonnés ou particulier, mesures techniques et organisationnelles prises par le fournisseur pour atténuer les préjudices potentiels, contenu de l’information des personnes concernées, moyens de communication utilisés, nombre d’abonnés ou de particuliers informés, violation de données à caractère personnel concernant des abonnés ou des particuliers dans d’autres Etats membres, notification à d’autres autorités nationales compétentes.
A cet égard, la CNIL a mis en oeuvre un téléservice dédié.
La sécurité informatique est un sujet qui devient vraiment de plus en plus important aujourd’hui. Surtout au vu de l’utilisation de l’informatique aujourd’hui, dans tous les domaines de la société. La CNIL se doit de protéger au maximum les données personnelles des internautes, qui ne sont pas toujours en mesure de le faire eux-mêmes.