Les notifications de violation de données en Europe - un nouveau rapport de l'agence européenne

BRUXELLES et HÉRAKLION, Grèce, January 14, 2011 /PRNewswire/ -- L'Enisa (European Network and Information Security Agency), l'agence européenne de cyber-sécurité, a publié aujourd'hui un rapport sur les notifications de violation de données. L'exigence européenne DBN (notifications de violation de données) pour le secteur des communications électroniques dans la ePrivacy Directive (2002/58/EC) est cruciale pour accroître le niveau de sécurité des données dans le long terme en Europe. L'Agence a étudié la situation actuelle et identifié les inquiétudes majeures, tant de la part des opérateurs de télécommunications que des Autorités de protection des données (DPA) dans son nouveau rapport.

Récemment, des incidents importants liés à la perte de données personnelles en Europe ont incité à une discussion plus large sur le niveau de sécurité appliqué aux informations personnelles partagées, traitées, stockées et transmises de manière électronique.

Le Prof. Udo Helmbrecht, Directeur Exécutif de l'Agence, remarque :

<< Gagner et garder la confiance des citoyens en ce qui concerne la sécurité et la protection de leurs données est un facteur important dans le développement futur et l'utilisation de services en ligne et de technologies novatrices à travers l'Europe. >>

L'introduction d'une exigence européenne DBN pour le secteur des communications électroniques dans la ePrivacy Directive (2002/58/EC) est importante pour améliorer la sécurité des données en Europe et rassurer les citoyens sur la protection de leurs données par des opérateurs de communications électroniques. L'Agence a examiné la situation actuelle en s'entretenant avec les DPA nationales ainsi que certaines sociétés représentatives. Le secteur des télécommunications reconnaît que DBN a un rôle important dans la protection et la confidentialité des données. Pourtant, les opérateurs recherchent des clarifications tant au niveau européen qu'au niveau local afin de se conformer à l'exigence DBN. Les attentes des DPA et des opérateurs se chevauchent dans la plupart des cas, mais il existe quelques divergences.

Les inquiétudes majeures soulevées par les opérateurs des télécommunications et les DPA incluent :

- La priorisation des risques - Le sérieux d'une violation devrait déterminer le niveau de réponse. Les violations devraient être classées en fonction de leurs niveaux de risques pour éviter une << fatigue des notifications >>.

- Les canaux de communication - Les opérateurs ont besoin d'être assurés que les exigences de notifications n'affecteront pas leurs marques de façon négative.

- Les ressources - Certaines autorités règlementaires ont déjà d'autres priorités.

- L'application de la loi - Les DPA ont indiqué qu'une autorité qui sanctionne leur permet de faire appliquer plus facilement les règlementations.

- Un retard excessif dans le reporting - Les régulateurs veulent des délais courts pour rapporter les violations. Les fournisseurs de services, cependant, souhaitent focaliser leurs ressources sur la résolution du problème.

- Le contenu des notifications - Les opérateurs souhaitent s'assurer que le contenu des notifications n'affecte pas de façon négative les relations avec les clients. Les régulateurs veulent toutes les informations nécessaires.

En 2011, l'Agence développera des directives pour les procédures et mesures d'implémentation technique, comme dans l'Art. 4 de la Directive 2002/58/EC ( http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0058:EN:HTML) et analysera la possibilité d'extension de l'obligation générale DBN à d'autres secteurs, comme les finances, les soins de santé, et les petites entreprises. Ceci sera traité lors d'un atelier ( http://www.enisa.europa.eu/act/it/data-breach-notification) que l'ENISA organise à Bruxelles le 24 janvier 2011.

Pour le rapport intégral : http://www.enisa.europa.eu/act/it/dbn/

(étant donné la longueur de cet URL, il peut être nécessaire de copier-coller cet hyperlien dans le champ d'adresse URL de votre navigateur Internet. Supprimez les espaces si vous en trouvez.)