Pour lire l'article en pdf.
01 Business & Techno - 10 mai 2012
Le
fait : Un décret a été publié le 31 mars dernier afin de
compléter la transposition de deux directives européennes de 2009 et définir le
nouveau cadre réglementaire français des communications électroniques.
Ce
décret vient compléter une première transposition du cadre européen des
communications intervenue grâce à l'ordonnance du 24 août 2011. Consulté sur un
projet de décret, l'avis du Conseil national du numérique (CNNum) a été suivi
sur de nombreux points. Exception toutefois : l'obligation faite aux hébergeurs
de conserver « les données permettant de vérifier le mot de passe ou de le
modifier » des utilisateurs de leurs services ayant contribué à la création d'un
contenu mis en ligne a été maintenue.
La notification des violations de
données personnelles
Le
décret précise la procédure de notification des violations de données à
caractère personnelle à la Cnil. Le fournisseur de services de communication
électronique doit adresser à la Commission, par lettre remise contre signature,
la nature et les conséquences de la violation ainsi que les mesures déjà prises
ou proposées pour y remédier. Sauf si la Cnil l'en dispense - car les mesures
prises sont appropriées et efficacement appliquées - le fournisseur devra
également en informer la personne intéressée. L'ordonnance de 2011 avait déjà
défini la notion de violation comme « toute
violation de la sécurité entraînant accidentellement ou de manière illicite la
destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à
des données à caractère personnel ».
Nouvelles obligations pour les
opérateurs
Le
décret impose aussi de nouvelles obligations aux opérateurs. Complété, l'article
D98-7 du Code des postes et des communications électroniques (CPCE) précise que
les dispositifs nécessaires aux interceptions de communications électroniques sont
mis en place uniquement sur le territoire national et que seuls des agents
qualifiés peuvent utiliser et contrôler ces systèmes et accéder aux données
produites.
Enfin,
le décret modifie plusieurs articles du CPCE. Il renforce les obligations des
opérateurs en cas de cession d'une partie substantielle des actifs de réseau
d'accès local avec une nouvelle obligation de notifier le projet de cession au
ministre chargé des communications électroniques ainsi qu'à l'Arcep. Il précise
également les modalités selon lesquelles l'Arcep peut imposer « aux opérateurs exerçant une influence
significative sur un marché du secteur des communications électroniques »
la séparation fonctionnelle de leurs activités.
Ce qu'il
faut retenir : Ce décret est entré en vigueur au lendemain de sa
publication. Toutefois certaines dispositions relatives au renforcement de la
sécurité des interceptions de communications électroniques n'entreront en
vigueur qu'au 1er juillet 2012.
|
