Notification de violation de données à caractère personnel dans le secteur des communications électroniques: explications

La Loi du 13 juin 2005 relative aux communications électronique oblige les entreprises fournissant des services de communications électroniques accessibles au public à notifier les violations de données à caractère personnel auprès de l'Autorité.
Qu’est-ce qu’une violation de données à caractère personnel ?
Qui doit notifier une violation à l'Autorité ?
Dans quel délai doit-on procéder à la notification ?
A qui notifier ?
Notification à l'Autorité
Notification aux abonnés et particuliers
Comment apprécier si la violation est de nature à porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’un particulier ?
Dans quels cas l’entreprise ne doit-elle pas notifier la violation aux abonnés et aux particuliers ?

L’article 2, 68° de la Loi du 13 juin 2005 relative aux communications électroniques (la "LCE") définit une violation de données à caractère personnel comme une violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés de données à caractère personnel transmises, stockées ou traitées d'une autre manière en relation avec la fourniture de services de communications électroniques accessibles au public.

Dès lors, trois éléments doivent être réunis pour être en présence d’une violation de données à caractère personnel (une "violation") :

  • il existe un ou plusieurs traitements de données à caractère personnel ;
  • ces données sont traitées en relation avec la fourniture de services de communications électroniques accessibles au public ;
  • une atteinte à la disponibilité (destruction, perte,…), l’intégrité (modification, altération,…) ou la confidentialité (divulgation, accès non autorisé,…) de ces données est constatée.

Il en résulte qu’une atteinte à la sécurité ou une perte d’intégrité d’un réseau ayant un impact sur le fonctionnement des réseaux ou services, mais sans impliquer de données à caractère personnel ne constituent pas des violations au sens de l’article 2, 68° de la LCE. Toutefois, ces dernières sont susceptibles de devoir être notifiées à l’IBPT en vertu de l’article 114/1, §2 de la LCE. 

L’article 114/1 §3 de la LCE prévoit que les entreprises fournissant des services de communications électroniques accessibles au public  doivent  notifier l'Autorité de cette violation.

Les entreprises fournissant des services de communications électroniques accessibles au public doivent en principe notifier leurs activités à l’IBPT. La liste de ces entreprises est publiée sur le site de l’Institut.

Les autres personnes impliquées dans la fuite de données ne doivent pas notifier cette dernière à l'Autorité. Toutefois, l’article 5 du Règlement n°611/2013 de la l’Autorité de protection des données européenne du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel indique que, le cas échéant, les fournisseurs non liés par un contrat avec les abonnés doivent informer immédiatement celui qui l’a engagé en cas de violation de données à caractère personnel. 

Les autres entreprises et personnes, constatant une fuite de données ne répondant pas à la définition de l’article 2, 68° de la LCE, peuvent toutefois notifier cette fuite de données au moyen du formulaire mis à leur disposition sur le site internet de la l’Autorité de protection des données.

 L’article 114/1 §3 de la LCE prévoit que les entreprises fournissant des services de communications électroniques accessibles au public  doivent sans délai notifier l'Autorité de cette violation ainsi que les abonnés et let particuliers concernés par la violation.

Les délais dans lesquels doit intervenir la notification à l'Autorité sont précisés par l’article 2 du Règlement n°611/2013 de la l’Autorité de protection des données européenne du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques. Cet article précise que:

  • la notification doit être transmise à l'Autorité dans les 24 h qui suivent le constat de violation, si possible ;
  • si l’entreprise ne peut pas fournir toutes les informations requises dans le délai de 24 heures précité, elle peut procéder à une notification en deux étapes :
    • dans une première notification intervenant dans les 24 heures, l’entreprise notifie les informations dont elle dispose et identifiées dans le formulaire de notification,  puis
    • dans une seconde notification intervenant dans les 72 heures après la notification initiale, l’entreprise complète les informations déjà communiquées.

En outre, l’article 3.3 du Règlement n°611/2013 stipule que la notification aux particuliers et aux abonnés doit avoir lieu sans retard injustifié après le constat de la violation de données à caractère personnel.

Dans tous les cas, les notifications sont adressées à l'Autorité, qui en transmet une copie à l’IBPT.

En outre, dans certains cas, il faudra dans certains cas envoyer une notification aux personnes concernées par la violation, à savoir les abonnés et les particuliers. 

La notification à l'Autorité se fait par le biais d'un formulaire, qui doit être envoyé par le biais de l'application e-forms. Il s’agit d’un formulaire sécurisé qui sera également communiquée à l’IBPT, lequel partage avec l'Autorité la compétence de contrôler le respect de la règlementation en vigueur. De plus amples informations sont disponibles dans le mode d'emploi e-forms.

Lorsque la violation est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’un particulier, le fournisseur notifie également l’abonné ou le particulier, sans délai après le constat de violation.

  • Le fournisseur notifie la violation de données à caractère personnel à l’abonné ou au particulier par des moyens de communication qui garantissent une réception rapide de l’information et qui sont sécurisés conformément aux règles de l’art. S’il est impossible d’identifier les personnes préjudiciées par la violation de données, l’entreprise peut informer les personnes par le biais des médias, tout en cherchant à retrouver l'identité de ces personnes afin de les informer individuellement ;
  • La notification à l’abonné ou au particulier est rédigée dans un langage clair et aisément compréhensible. Les informations suivantes doivent au moins être notifiées aux abonnés ou aux particuliers :
    • nom du fournisseur,
    • identité et coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des  informations supplémentaires peuvent être obtenues,
    • résumé de l’incident à l’origine de la violation de données à caractère personnel,
    • date présumée de l’incident,
    • nature et teneur des données à caractère personnel concernées, conformément à l’article 3, paragraphe 2 du Règlement 611/2013,
    • conséquences vraisemblables de la violation de données à caractère personnel pour l’abonné ou le particulier concerné, conformément à l’article 3, paragraphe 2,
    • circonstances de la violation de données à caractère personnel, conformément à l’article 3, paragraphe 2,
    • mesures prises par le fournisseur pour remédier à la violation de données à caractère personnel,
    • mesures recommandées par le fournisseur pour atténuer les préjudices potentiels.

Déterminer si la violation est de nature à porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’un particulier est primordial, puisque dans la négative, l’entreprise ne devra pas notifier la violation aux abonnés et aux particuliers. Pour évaluer l’impact de la violation sur la protection de la vie privée des individus, l’entreprise pourra notamment prendre en considération les éléments suivants :

a) la nature et la teneur des données concernées, en particulier s’il s’agit de données relatives à des informations financières, de catégories de données sensibles visées aux articles 6 à 8 de la LVP ainsi que de données de localisation, fichiers journaux internet, historiques de sites web consultés, données relatives au courrier électronique et listes d’appels téléphoniques détaillées ;

b) les conséquences vraisemblables de la violation de données à caractère personnel pour l’abonné ou le particulier concerné, notamment les cas où la violation pourrait entraîner un vol ou une usurpation d’identité, une atteinte à l’intégrité physique, une souffrance psychologique, une humiliation ou une atteinte à la réputation ; et

c) les circonstances de la violation de données à caractère personnel, en particulier l’endroit où les données ont été volées ou le moment auquel le fournisseur sait que les données sont en possession d’un tiers non autorisé.

La notification aux abonnés et particuliers n’est pas requise si au moins l’une des deux hypothèses suivantes est rencontrée :

  • il ressort des circonstances que la violation des données n’est pas de nature à affecter négativement les données à caractère personnel ou la vie privée d’un abonné ou d’un particulier. Pour apprécier l’impact sur la protection des données ou la vie privée des individus, il sera notamment tenu compte des critères dégagés par le Règlement n°611/2013 de la l’Autorité de protection des données européenne, à savoir : la nature et la teneur des données concernées, les conséquences vraisemblables de la violation de données à caractère personnel pour l’abonné ou le particulier concerné, et les circonstances de la violation de données à caractère personnel.
  • lorsque l’entreprise a démontré qu’elle a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques rendent les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès. Dans ce dernier cas, l’entreprise mentionne à l’occasion de la notification tous les éléments qui permettront à l’IBPT d’apprécier si les mesures prises sont appropriées. En vertu de l’article 4.2 du Règlement n°611/2013, les données sont considérées comme incompréhensibles si:

    a) elles ont été cryptées en mode sécurisé à l’aide d’un algorithme normalisé et la clé utilisée pour les décrypter n’a été compromise dans aucune violation de sécurité et a été générée de façon à ne pouvoir être trouvée, par aucun moyen technologique existant, par quelqu’un qui n’est pas autorisé à l’utiliser ; ou

    b) elles ont été remplacées par leur valeur hachée, calculée à l’aide d’une fonction de hachage normalisée à clé cryptographique, et la clé utilisée pour les hacher n’a été compromise dans aucune violation de sécurité et a été générée de façon à ne pouvoir être trouvée, par aucun moyen technologique existant, par quelqu’un qui n’est pas autorisé à l’utiliser.

En outre, lorsque, dans des cas exceptionnels, il existe un risque que la notification à l’abonné ou au particulier nuise à l’efficacité de l’enquête sur la violation de données à caractère personnel, l’entreprise peut être autorisée à retarder la notification. Dans ce cas, l’entreprise indique dans le formulaire de notification qu’elle sollicite une telle autorisation et en précise les raisons.