Club des Directeurs de Sécurité & de Sûreté Des Entreprises

precédent Vers la fin des fouilles intégrales ? Le décret d’interdiction des fouilles intégrales avec mise (...) Refonte de la protection du potentiel scientifique de la Nation Par décret du 2 novembre 2011, la protection du (...)

Les opérateurs de télécommunication soumis à de nouvelles obligations en matière de fuites d’informations

Publié le 6 octobre 2011

Une ordonnance récemment parue au Journal Officiel renforce les obligations des fournisseurs de services de communications électroniques et des opérateurs télécoms. Elle oblige en particulier de révéler les fuites de données personnelles.
Le Journal Officiel a récemment publié l’ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques. Cette ordonnance transpose des dispositions de plusieurs directives européennes dans le droit français. Elle renforce notablement les obligations de sécurité des opérateurs et des fournisseurs de services. Elle institue entre autre une obligation de notification à la CNIL ou aux intéressés des fuites ou pertes de données personnelles.

Les premiers articles de l’ordonnance, ainsi que son titre II, sont relatifs à la régulation du marché des télécommunications. On y trouve notamment des dispositions sur de nouvelles obligations des opérateurs ou pour préciser les obligations existantes, comme l’accès aux infrastructures de tiers (article 9 notamment) ou les cessions significatives d’infrastructures. Rien, cependant, n’est ici révolutionnaire, à une exception près. En effet, le ministre en charge du secteur peut désormais imposer des audits de sécurité chez les opérateurs (article 6, modifiant les article L 33-9 et L 33-10 du Code des Postes et Communications Electroniques, le CPCE). Dans le même esprit, l’article 16 permet à l’ARCEP d’imposer des niveaux de service minimums aux opérateurs.

Le deuxième chapitre de l’ordonnance modifie des dispositions relatives aux contrats entre des fournisseurs de services de télécommunications (notamment d’accès à Internet) et les consommateurs. Il précise les modalités contractuelles sans remise en cause fondamentale. Le chapitre trois précise les dispositions relatives à la protection des données personnelles.

C’est à ce niveau, à l’article 39, qu’est instituée une obligation de notifier les « violations de données à caractère personnel à la Commission nationale de l’informatique et des libertés ou à l’intéressé ». L’absence de cette notification est punie de 300 000 euros d’amende et 5 ans de prison. Elle ne concerne cependant que les fournisseurs de services de communications électroniques.
La répression du piratage est également accrue. Le titre III renforce ainsi les sanctions concernant la commercialisation d’appareils servant à pirater les communications électroniques. Le titre IV facilite, quant à lui, le travail des autorités judiciaires et policières face aux opérateurs.

Pour plus d’informations : rapport au Président de la république.