L'obligation de notifier
des violations de données:
les Pays-Bas prennent
une longueur d'avance

A compter du 1er janvier 2016, les responsables du traitement  des données aux Pays-Bas seront tenus de notifier les violations de données importantes auprès de l’Autorité Néerlandaise
pour la protection des données (www.cbpweb.nl)
et des personnes affectées.

Les responsables du traitement des données sont les personnes ou les entreprises qui déterminent pour quels objectifs et de quelle manière les données personnelles sont ou doivent être traitées.

1.  Sur le plan européen: il existe déjà une obligation pour les fournisseurs de communications électroniques accessibles au public

Au niveau européen, une telle obligation de notifier les violations de données personnelles existait déjà pour les fournisseurs de communications électroniques accessibles au public. Conformément au Règlement (UE) n° 611/2013 du 24 juin 2013, les mesures applicables dans le cadre de la notification des violations de données à caractère personnel prévoient que les fournisseurs doivent notifier toutes les violations de données personnelles à l'autorité nationale compétente au plus tard 24 heures après la détection de la violation des données à caractère personnel, lorsque cela est possible.

2.    Cette obligation sera prochainement d’application à tous les responsables du traitement des données en Europe

Il existe déjà un projet de texte du nouveau règlement général de l'UE sur la protection des données.

Le projet de texte du nouveau règlement général de l'UE sur la protection des données prévoit la même obligation pour les responsables du traitement des données de tous les États membres de l'UE, mais n'est pas encore entré en vigueur.

3.   Aux Pays-Bas, une obligation pour tous les responsables du traitement des données est d’application à partir du 1er janvier 2016

Le gouvernement néerlandais n'a pas attendu la mise en vigueur du règlement général de la protection des données de l'UE (qui contient également une obligation de notification des violations de données).

Le législateur néerlandais a mis en œuvre dans l'article 34a de la loi sur la protection des données (applicable à partir du 1er janvier 2016), l'obligation pour les responsables du traitement des données de notifier à la Commission de la vie privée néerlandaise (CBP - www.cbpweb.nl) immédiatement après la survenance de tout manquement à la sécurité, lorsqu’il existe un risque considérable de conséquences négatives ou lorsqu’il y a des conséquences négatives pour la protection des données personnelles.

Le législateur néerlandais a également augmenté les amendes pour violation de la loi néerlandaise sur la protection des données jusqu'à 820.000 € ou jusqu'à 10% du chiffre d'affaires annuel net de la société.

La loi néerlandaise sur la protection des données peut exiger des responsables du traitement des données de mettre à jour leurs accords avec les responsables du traitement des données pour tenir compte des notifications de violation des obligations. Les responsables du traitement de données comme les processeurs de données peuvent encourir ces amendes. Les chefs d'entreprise peuvent également être soumis à des sanctions.

Les responsables du traitement des données doivent aviser le CBP d'une brèche de sécurité qui présente un risque important d’entraîner des conséquences négatives graves pour la protection des données personnelles. Ils peuvent également être requis d’avertir les personnes affectées, si la violation de la sécurité a, ou peut avoir, de graves conséquences pour la vie privée des individus.

L'obligation d’avertir le sujet des données dépend des conséquences négatives potentielles pour celui-ci en raison de la violation et des autres mesures de protection en place. Par exemple, s’il y a des mesures cryptographiques appropriées prévues par le responsables du traitement des données qui a souffert de la violation, qui rendent les données personnelles inaccessibles ou illisibles, une notification à la personne concernée pourrait ne pas être nécessaire.

La notification ne comprend pas seulement une «fuite» des données, mais toutes sortes de situations dans lesquelles des données personnelles sont compromises (y compris, par exemple, la perte d'une clé USB avec les données personnelles, un ordinateur portable volé, un piratage d'une base de données).

En cas de violation de la sécurité, le responsables du traitement des données doit être en mesure de faire rapidement une évaluation si une telle violation a ou est susceptible d'avoir des conséquences négatives graves sur la protection des données personnelles. Si tel est le cas, le responsables du traitement des données devra le notifier à l'autorité néerlandaise de protection des données personnelles et aux personnes affectées.

La commission de la vie privée néerlandaise a publié des lignes directrices pour assurer la conformité avec les dispositions en question. Ces recommandations prévoient que toute violation doit être notifiée immédiatement après la découverte, et au plus tard dans les 72 heures.

Le défaut d'aviser correctement ou à temps peut entraîner des sanctions assez sévères. Le montant de l’amende dépendra de si oui ou non la violation de l'article 34a de la loi néerlandaise sur la protection des données personnelles a été commise volontairement ou si elle est le résultat d'une négligence grave. La peine maximale qui peut être imposée par les autorités est de 820.000 €.

La notification d'une violation de données doit au moins contenir les informations suivantes:

la nature de la violation

les instances où on peut obtenir de plus amples informations concernant la violation

les mesures recommandées pour limiter les conséquences négatives de la violation.

4.  Les responsables du traitement des données dans l'ensemble de l'UE doivent se préparer en cas de violation de données

Le législateur néerlandais devance ses collègues européens, mais cette obligation de notifier une fuite de données est une obligation qui sera bientôt aussi d’application en Belgique dans le cadre du règlement général de l'UE sur la protection des données récemment signé.

Afin d'être prêt pour ces nouvelles dispositions et d'être en mesure de répondre rapidement à toute violation de données dans un délai limité, les responsables du traitement des données devront avoir des outils et politiques en place, qui leur permettent de prendre immédiatement les mesures nécessaires et appropriées.

➢  En premier lieu, il faut mettre en place une stratégie appropriée de prévention des fuites de données. Cependant, l'achat et la mise en œuvre d'un "outil de prévention de perte de données" ne seront bien sûr pas les seuls remèdes. En effet, une entreprise doit avant la mise en œuvre d'un système, réaliser un inventaire et un audit des données (analyse des risques).

Il est important qu'une entreprise sache:

où ses données se trouvent

qui sont ses propriétaires

si les données qu'elle conserve sont critiques ou non

le flux de données dans l'environnement informatique

quelles exigences réglementaires doivent être respectées

quels sont les privilèges sur la base d’un besoin d’en connaitre

➢  Deuxièmement, les employés devraient être éduqués sur les dangers de fraude, sur les éléments qu’il faut vérifier, sur ce sur quoi il ne faut pas cliquer et quand il faut demander une intervention. L’éducation et la connaissance des escroqueries sont aussi importantes que la technologie.

➢  Une fois qu’une violation se produit, les responsables du traitement des données doivent être en mesure de déterminer rapidement les conséquences et être en mesure de donner les renseignements demandés à l'autorité de protection des données. Par conséquent, la mise en œuvre d'un plan de réponse clair à une violation des données est également essentielle.

Nous vous tiendrons au courant dès que le nouveau règlement européen sur la protection des données entrera en vigueur.

Dans tous les cas, nous vous conseillons d'anticiper et de vous assurer que votre entreprise est prête à répondre adéquatement à une violation potentielle de données.

22 décembre 2015

Griet Verfaillie - griet.verfaillie@peeters-law.be
Lynn Pype - lynn.pype@peeters-law.be


En savoir plus sur ce sujet: inscrivez-vous à notre Newsletter

E-mail *