2014
L'Autorité lance des formulaires de notification pour les fuites de données
Suite à une adaptation de la loi télécoms, les entreprises de télécommunications sont désormais obligées de notifier les fuites de données à caractère personnel dans les 24h à l'Autorité et à l'IBPT. Pour faciliter la notification de ces fuites, l'Autorité a publié un formulaire de notification sur son site Internet. Étant donné que des fuites de données se produisent de plus en plus souvent, l'Autorité lance également un formulaire de notification pour les fuites de données à caractère personnel en dehors du secteur des télécoms. Elle trouve en effet important de pouvoir évaluer correctement l'impact de telles fuites et, au besoin, de formuler des recommandations. En outre, un tel formulaire de notification oblige les responsables de traitements de données à s'interroger sur les données qu'ils traitent et sur la manière de les protéger.
La loi oblige les entreprises de télécommunications à notifier une fuite de données (ce qu'on appelle une "violation de données à caractère personnel") dans les 24h de leur constat. Si d'entrée de jeu, l'entreprise ne dispose d'aucune information ou ne dispose que de peu d'informations, la notification peut toutefois se faire en deux phases. Il importe surtout bien sûr d'indiquer précisément quelles données ont été touchées, la quantité de données dont il est question ainsi que les conséquences que peut avoir la fuite de données pour les personnes concernées. Ensuite, il faut indiquer les mesures de sécurité que l'entreprise de télécommunications avait prises avant la fuite de données, ce qu'elle a fait pour colmater la fuite et quelles mesures viseront à prévenir une telle fuite à l'avenir. Enfin, il faut également mentionner sur le formulaire si les personnes dont les données ont fait l'objet de la fuite sont/ont été informées de l'incident et si oui, de quelle manière.
Il convient d'indiquer les mêmes informations sur le formulaire de notification pour les fuites de données en dehors du secteur des télécoms. Dans ce cas, le délai de notification maximal est de 48 heures. Au sens strict, la notification d'une fuite de données en dehors du secteur des télécoms n'est (pas encore) imposée légalement, mais elle est plus que conseillée. Ainsi, l'Autorité peut en effet évaluer l'impact de la fuite de données avec le responsable du traitement des données ayant fait l'objet de la fuite. Elle peut aussi émettre des recommandations sur les règles légales relatives aux traitements de données et sur la sécurisation de ceux-ci. Une telle notification présente en outre l'avantage qu'elle oblige le responsable à réfléchir sur la manière dont il organise et sécurise son traitement de données, aujourd'hui et à l'avenir.
Tant le formulaire général de notification que celui pour le secteur des télécoms sont disponibles sur le site Internet de l'Autorité, assortis d'un mode d'emploi. On peut également y consulter la recommandation de l'Autorité visant à prévenir les fuites de données.
Vous avez des questions ? Contactez Eva Wiertz, responsable communication.
+32 (0)2 274 48 08 ou +32(0)473 85 15 97