Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), est le nouveau texte de référence en matière de protection des données à caractère personnel au sein de l’Union Européenne. Il entre en vigueur le 25 mai 2018.

L’obligation de notifier les failles de sécurité constitue le point névralgique de ce règlement, puisqu’elle va entrainer de considérables bouleversements au sein des organismes concernés. Toutefois, cette obligation n’est pas novatrice, puisqu’elle avait déjà été envisagée par d’autres textes comme le fameux « Paquet télécom » avec l’ordonnance du 24 août 2011, mais son périmètre était limité aux fournisseurs de services de communications électroniques.
A présent, l’obligation de notifier les failles de sécurité s’applique à tous les responsables de traitement de données ainsi qu’aux sous-traitants. Elle se présente en deux parties : tout d’abord, il y a l’obligation de notifier toute faille de sécurité, survenue de manière accidentelle ou illicite, à l’autorité nationale de contrôle, (formulaire disponible sur le site de la CNIL) puis, selon les cas, la communication de la faille de sécurité aux personnes concernées pourra éventuellement être nécessaire. Le fonctionnement de cette obligation est très similaire à l’article 34 bis de la loi Informatique et Libertés du 6 janvier 1978.

Le but de cette obligation est d’apporter davantage de sécurité, de transparence et de traçabilité dans les traitements de données à caractère personnel. Ainsi, le règlement a vocation à lutter efficacement et durablement contre la cybercriminalité, en essayant de responsabiliser au maximum les organismes privés et publics.
 

A propos de Sophie GIRARD