Cette obligation est prévue par l’article 38 de  l’Ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques qui transpose en droit français la directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009, modifiant notamment la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.

Le nouvel article 34 bis de la loi Informatique et Libertés du 6 janvier 1978 est ainsi rédigé:

« I.  Le présent article s’applique au traitement des données à caractère personnel mis en Å“uvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification.
« Pour l’application du présent article, on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques.
« II.  En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l’informatique et des libertés.
« Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique, le fournisseur avertit également, sans délai, l’intéressé.
« La notification d’une violation des données à caractère personnel à l’intéressé n’est toutefois pas nécessaire si la Commission nationale de l’informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en Å“uvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation.
« A défaut, la Commission nationale de l’informatique et des libertés peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d’informer également les intéressés.
« III.  Chaque fournisseur de services de communications électroniques tient à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises pour y remédier et le conserve à la disposition de la commission.»

 

L’actualité démontre l’importance de cette obligation pour les FAI.

En effet, des chercheurs argentins ont découvert récemment une faille critique dans pratiquement tous les sites Web utilisant le protocole de sécurité SSL (Secure Sockets Layer) comme PayPal et Gmail.

L’exploitation de cette faille permettrait de déchiffrer les cookies d’authentification des comptes utilisateurs d’un site Web ciblé.

Elle constituerait donc une faille entraînant a minima l’accès non autorisé à des données à caractère personnel des abonnés des FAI et pourrait donc devoir faire l’objet d’une notification.

La vigilance est de mise.

Raphaël RAULT, Avocat et Martine RICOUART-MAILLET, Avocat associé