">

A l’occasion de l’atelier sur les Data Breach Notification qui s’est tenu les 5 et 6 avril 2017 à Bruxelles, dans le cadre du deuxième Fablab, des chiffres ont enfin été dévoilés concernant les notifications reçues par certaines autorités de contrôles.

Ainsi, l’autorité irlandaise a indiqué avoir reçu 142 notifications l’an dernier de la part des acteurs du secteur Telecom. Elle a également reçu en sus 2.224 notifications volontaires, dans le cadre du "Personal Data Security Breach Code of Practice".

L’autorité norvégienne reçoit, pour sa part, environ 200 notifications par an, principalement émises par les secteurs bancaires et les services financiers.

L’autorité néerlandaise indiquait qu’elle n’a reçu "que" 7.000 notifications en 2016, là où elle en attendait 60.000 selon ses estimations...

A titre de comparaison, la France n’indique recevoir que "quelques" notifications chaque année (le dernier rapport annuel est encore muet sur ce point).

Plusieurs des propositions formulées par l’AFCDP ont été partagées lors de cet atelier, comme celle qui demande au futur Comité européen de la protection des données de publier des statistiques sur les notifications de violation reçues par les "CNIL" européennes, afin de mettre à disposition des éléments de sinistralité sur lesquels les Délégués à la protection des données pourront s’appuyer pour conseiller leur responsable de traitement.

Nous verrons si cette idée est reprise dans le projet de lignes directrices qui devrait être publié prochainement par le G29.

Voici quelques autres points notables qui ont été abordés lors de cet atelier :

- Il est observé, au sein des entreprises, une tendance à conserver les informations relatives aux incidents de sécurité au sein des équipes chargées de les traiter, au détriment de la nécessaire prise en compte des mesures à prendre pour protéger les personnes concernées (en clair, le CIL est oublié...)
- Le risque de voir le responsable de traitement informé avec retard (rappel : le RGPD spécifie que les "72 heures" sont décomptées à partir du moment ou celui-ci prend connaissance de la violation...)
- L’éventuelle communication aux personnes devra bien être distincte de toute autre communication
- Il est craint - comme nous l’avions signalé il y a déjà bien longtemps - que les campagnes de communication auprès des personnes concernées soient mises à profit pour réaliser des opérations de phishing
- Si le règlement ePrivacy n’est pas implémenté le 25 mai 2018, les opérateurs et ISP seront de fait soumis à deux cadres : le RGPD et l’actuelle directive ePrivacy.

Bruno Rasle - Délégué général - delegue.general afcdp.net - Tel. 06 1234 0884 - www.afcdp.net





Agenda

3 octobre 2017
Réunion du groupe "Méditerranée"

6 octobre 2017
Réunion AFCDP à Toulouse

12 octobre 2017
Réunion du groupe "Données de Santé"

19 octobre 2017
Réunion du groupe "Normandie"

19 octobre 2017
Réunion du groupe "Poitou Charentes"