Un règlement publié au Journal Officiel de l’Union Européenne du 26 juin 2013, apporte des précisions sur les obligations des opérateurs de services de télécommunication en cas de violation de données à caractère personnel : le fournisseur doit avertir de cette violation l’autorité nationale compétente « au plus tard 24 heures après le constat de la violation« .

Dans certaines circonstances, « lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d’un abonné ou d’un particulier », le fournisseur doit avertir l’abonné ou le particulier concerné par ladite violation.

Les éléments à prendre en compte portent, notamment, sur la nature et la teneur des données, les conséquences de la violation pour la personne et les circonstances de la violation. Cette notification doit être effectuée « sans retard injusitifé après constat de la violaton de données à caractère personnel« . Cette notification peut être retardée si un risque de nuire à l’efficacité de l’enquête existe.

Une dérogation à cette notification existe toutefois, lorsque le fournisseur prouve qu’ « il a mis en oeuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation de sécurité ». Le texte précise que de telles mesures de protection représentent des données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès.

Il est dès lors difficile de concevoir, dans de telles circonstances, qu’un abonné ou un particulier puisse être directement et « sans retard » avisé de la violation de ses données électroniques personnelles.

Ce texte entre en vigueur le 25 août 2013 et est obligatoire dans tout Etat membre.

Règlement n° 611/2013 24 juin 2013 link