Vols de données : les obligations des opérateurs

Une réglementation oblige les opérateurs à prévenir les autorités en cas de vol de données personnelles.

Depuis le 24 juin 2013, la «regulation data breach», un règlement européen sur le vol de données a été transposée en droit français. Conséquence, les opérateurs d'importance vitale (OIV) ont l'obligation d'informer la Cnil (Commission informatique et liberté) immédiatement en cas de vols de données personnelles. Derrière l'acronyme d'OIV se cachent les fournisseurs d'accès internet, mais aussi des acteurs de la santé, de la finance ou de l'assurance, des organismes d'État, comme Pôle emploi. «Pour cela, les OVI disposent d'une procédure en ligne, sécurisée et automatique», souligne Diane Mullenex, avocate associée au cabinet Pinsent Masons. Dans certains cas, le ministère de l'Intérieur doit être aussi alerté.

Victime d'un vol de données le 18 avril dernier, Orange avait donc le devoir d'en informer la Cnil. C'est à l'autorité de déterminer, avec l'opérateur, dans quel délai les particuliers doivent être informés. «Les OIV ont certes un devoir d'information, mais ils ont aussi un devoir de protection des données. Ils doivent mettre œuvre les moyens techniques et humains nécessaires», ajoute Diane Mullenex. Faute de quoi, la responsabilité de l'organisation victime d'un vol de données pourrait être mise en cause. Mais ce type de responsabilités est généralement difficile à démontrer.

Le site de l'Agence nationale de la sécurité et des systèmes d'information (ANSSI) permet de signaler les spams ou les contenus illicites. Il recense aussi les principales arnaques en cours. Ainsi, un communiqué daté du 2 mai fait état d'une «recrudescence de pourriels (spams) faisant croire à leurs destinataires qu'ils sont ciblés par des terroristes et qu'ils n'auront la vie sauve qu'en finançant leur cause (en versant de l'argent via un système de paiement international). Ces messages sont des arnaques adressées à des milliers d'internautes sans cibler une victime en particulier. Leurs destinataires ne doivent en aucun cas effectuer un versement d'argent ni répondre».

 

 

Le site de l'Agence nationale de la sécurité et des systèmes d'information (ANSSI) permet de signaler les spams ou les contenus illicites. Il recense aussi les principales arnaques en cours. Ainsi, un communiqué daté du 2 mai fait état d'une «recrudescence de pourriels (spams) faisant croire à leurs destinataires qu'ils sont ciblés par des terroristes et qu'ils n'auront la vie sauve qu'en finançant leur cause (en versant de l'argent via un système de paiement international). Ces messages sont des arnaques adressées à des milliers d'internautes sans cibler une victime en particulier. Leurs destinataires ne doivent en aucun cas effectuer un versement d'argent ni répondre».