Cet article donne un aperçu du cadre juridique de l’Union européenne (UE) concernant les atteintes à la protection des données personnelles. Ensuite, Iprotego examinera pour vous les volontés de plusieurs Etats au niveau mondial de mettre en place des législations sur les atteintes à la protection des données.
Commet est utilisée votre identité numérique ?
Votre identité numérique peut s’étendre rapidement> et être utilisée de différentes manières. Cette utilisation peut porter sur vos interactions sur les réseaux sociaux via des publicités, films ou musique que vous y voyez ou vous diffusez. Ainsi, ces différentes traces peuvent permettre aux sociétés en ligne de connaître vos habitudes d’achat en ligne, parfois vos convictions politiques ou croyances religieuses.
Aujourd’hui, pour permettre aux internautes d’avoir un peu de contrôle sur leurs données personnelles contre les abus, l’UE et quelques pays ont décidé d’avoir.
Mettre en place une conformité de la loi sur la protection des données
Iprotego, comment traiter les atteintes à la protection des données
L’utilisation d’une technologie de plus en plus sophistiquée signifie qu’il devient compliqué de prévenir et de suivre les atteintes à la protection des données. Pour réduire les risques d’atteintes à la protection des données personnelles, un certain nombre de pays de l’Espace économique européen (EEE) élaborent des règles sur la notification des atteintes à la protection des données. Il s’agit des États membres comme l’Allemagne, la France, l’Autriche, le Danemark, la Norvège, les Pays-Bas, le Royaume-Uni, a Roumanie, la Suède, etc.
Que signifie le terme « violation de données » en Europe ?
En Europe, la violation des données signifie généralement les cas où des données à caractère personnel ont fait l’objet d’un accès, d’une collecte, d’une utilisation ou d’une divulgation sans autorisation. Ainsi, les atteintes à la protection des données peuvent être provoquées par des actions involontaires ou délibérées qui entraînent le vol, la perte ou la divulgation de données. Ces actions peuvent porter sur le vol de dispositifs de stockage, l’infiltration (piratage) de systèmes informatiques ou des pratiques illégales en matière de sécurité des données.
À quoi sert la notification d’une atteinte à la protection des données ?
En Europe, le but principal de la notification est de permettre aux autorités publiques d’exercer leurs fonctions de surveillance réglementaire. Il s’agit de prévenir ou de diminuer le risque de préjudice qui peut être causé par l’atteinte à la vie privée. Les entreprises travaillant dans plusieurs juridictions sont confrontées à la difficulté d’assurer le respect de nombreuses lois différentes. Cela nécessite souvent la mise en place de mécanismes internes pour traiter les infractions et minimiser les coûts.
Les coûts de traitement d’un préjudice peuvent être importants en raison de l’envoi d’avis, des enquêtes réglementaires ou de l’embauche de vérificateurs externes.
Si vous êtes aux États-Unis ou en Europe, les réponses varient. Aux États-Unis, diverses lois s’appliquent à des secteurs spécifiques, comme la santé et le crédit. Dans l’UE, la protection des données est considérée comme un droit fondamental.
Cadre juridique actuel de l’UE
La directive 95/46/CE relative à la protection des données (directive sur la protection des données) ne prévoit pas d’obligation générale de notification des violations. En 2009, à l’occasion de la révision du cadre réglementaire des télécommunications de l’U, une modification de la directive 2002/58/CE a été opérée sur la protection de la vie privée dans le secteur des communications électroniques (directive « vie privée et communications électroniques »). Dans cette directive, il est désormais inclus la notification obligatoire des violations de données pour les opérateurs de communications électroniques et les fournisseurs de services Internet.
En dehors des règles sectorielles, une proposition de règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (proposition de règlement général sur la protection des données) a été publiée par la Commission européenne le 25 janvier 2012.
Le règlement remplacerait la directive sur la protection des données et il ne nécessite aucune harmonisation des normes minimales au sein de l’UE. Les règlements de l’UE sont directement applicables et ne nécessitent pas de transposition dans les lois au niveau national.
Systèmes nationaux de notification des violations
Iportego : les législations sur les atteintes à la protection des données
Actuellement, il n’existe aucune obligation générale de notification des violations dans l’UE. En revanche, certains États membres ont adopté des approches différentes sur la question. Certains pays ont décidé de emttre en place des pbligations en termes de signalement des atteintes à la protection des données. Tandis que d’autres ont préféré mettre l’accent sur le volontariat.
Quelques exemples de pays où il existe l’obligation de signaler les atteintes à la protection des données :
Autriche
Depuis janvier 2010, les organisations des secteurs privés et public en Autriche sont tenues d’informer les personnes « sans retard injustifié » et « sous une forme adéquate » dès lors où l’organisation a connaissance d’une « utilisation abusive systématique et grave des données » susceptible de « causer un préjudice à la personne concernée ». (art. 24(2a) de la loi fédérale sur la protection des données (Datenschutzgesetz 2000)).
Allemagne
La notification des violations de données a été introduite en Allemagne en 2009 (article 42a de la loi fédérale sur la protection des données (Bundesdatenschutzgesetz) (BDSG)). La loi s’applique aux entreprises du secteur privé et à certaines agences fédérales (par exemple, les fournisseurs publics d’électricité). Les personnes et les autorités chargées de la protection des données doivent être notifiées immédiatement. La notification est requise pour les violations qui peuvent conduire à des « obstacles sérieux à la vie privée et à d’autres intérêts individuels ». Cette exigence s’applique aux données personnelles.
Norvège
La Norvège a été le premier pays de l’UE/EEE à introduire la notification obligatoire des violations pour les organisations publiques et privées (articles 2 à 6, Règlement sur la protection des données relatives au traitement des données à caractère personnel, 4 novembre 2005). L’obligation ne couvre que la divulgation non autorisée de données nécessitant un traitement confidentiel, y compris les données sensibles. L’autorité chargée de la protection des données doit toujours être informée.
Toutefois, il n’y a pas d’obligation d’informer les personnes, à moins que l’autorité de protection des données n’en donne pas l’instruction à l’organisation, sur la base de la nature et de la quantité de données personnelles divulguées. La loi ne prévoit pas de délai spécifique pour la notification, mais l’autorité attend une notification dans la semaine suivant l’incident. Les causes de la violation et les mesures prises pour l’atténuer doivent être documentées.
Espagne
Contrairement à d’autres pays, le droit espagnol (décret royal 1720/2007) prévoit une procédure obligatoire pour la gestion des violations de données, mais n’exige pas de notification à l’autorité de protection des données ou aux individus. Les responsables du traitement des données et les sous-traitants de tous les secteurs doivent établir un registre interne pour l’enregistrement :
Quelques exemples de pays où la déclaration des atteintes à la protection des données est volontaire :
Italie
En mai 2011, l’autorité italienne de protection des données, la Garante, a publié un guide adressé au secteur bancaire, conseillant aux banques de notifier rapidement à la Garante tout événement illicite significatif dans la gestion des données.
Danemark
La procédure danoise de notification des violations de données repose sur plusieurs décisions de l’autorité de protection des données. Si la violation concerne des données sensibles, des données sur des infractions criminelles, des problèmes sociaux graves ou des questions purement privées, la notification est très probablement nécessaire, à moins que les personnes concernées soient déjà au courant de la violation. Les violations de données non-sensibles ne sont pas toujours signalées dans la pratique.
Pour déterminer s’il y a lieu de notifier, les organisations doivent prendre en considération les effets possibles et l’étendue de la violation. Les organisations devraient informer toutes les personnes concernées dès qu’il est raisonnablement possible de le faire et, lorsque les données à caractère personnel sont devenues accessibles au public, veiller à ce qu’elles soient retirées de ces sources.
Pour plus d’informations rendez-vous sur le site uk.practicallaw.thomsonreuters.com