Violations de données à caractère personnel / Obligation de notification / Règlement / Publication

Le règlement 611/2013/UE concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE sur la vie privée et les communications électroniques a été publié, le 26 juin dernier, au Journal officiel de l’Union européenne. Ce règlement constitue une mesure technique d’application de l’article 4 de la directive 2002/58/CE en vertu duquel les opérateurs de services de télécommunications et les fournisseurs de services Internet sont tenus de notifier les violations de données à caractère personnel aux autorités nationales compétentes et, dans certains cas, aux abonnés et aux particuliers concernés. Dans ce cadre, le règlement vise à assurer une mise en œuvre cohérente de cette disposition concernant les circonstances, le format et les procédures relatives aux exigences en matière d’information et de notification. Ainsi, les entreprises sont, notamment, tenues d’informer l’autorité nationale compétente de tout incident dans un délai de 24 heures après la découverte de la violation des données et de fournir une brève description des éléments d’information concernés, ainsi que des mesures qui ont été prises ou qui seront prises par l’entreprise. En outre, lorsqu’elles évaluent la nécessité d’informer les abonnés, les entreprises doivent soigneusement examiner le type de données, en particulier dans le secteur des télécommunications, ayant fait l’objet d’une violation selon qu’il s’agit, notamment, d’informations de nature financière, de données de localisation ou de données relatives au courrier électronique. (SC)