Article 4 - ►M2  Sécurité du traitement ◄

1.  Le fournisseur d'un service de communications électroniques accessible au public prend les mesures d'ordre technique et organisationnel appropriées afin de garantir la sécurité de ses services, le cas échéant conjointement avec le fournisseur du réseau public de communications en ce qui concerne la sécurité du réseau. Compte tenu des possibilités techniques les plus récentes et du coût de leur mise en œuvre, ces mesures garantissent un degré de sécurité adapté au risque existant.

1 bis.  Sans préjudice des dispositions de la directive 95/46/CE, les mesures visées au paragraphe 1, pour le moins:

— garantissent que seules des personnes autorisées peuvent avoir accès aux données à caractère personnel à des fins légalement autorisées,

— protègent les données à caractère personnel stockées ou transmises contre la destruction accidentelle ou illicite, la perte ou l’altération accidentelles et le stockage, le traitement, l’accès et la divulgation non autorisés ou illicites, et

— assurent la mise en œuvre d’une politique de sécurité relative au traitement des données à caractère personnel.

Les autorités nationales compétentes en la matière sont habilitées à vérifier les mesures prises par les fournisseurs de services de communications électroniques accessibles au public, ainsi qu’à émettre des recommandations sur les meilleures pratiques concernant le degré de sécurité que ces mesures devraient atteindre.

2.  Lorsqu'il existe un risque particulier de violation de la sécurité du réseau, le fournisseur d'un service de communications électroniques accessible au public informe les abonnés de ce risque et, si les mesures que peut prendre le fournisseur du service ne permettent pas de l'écarter, de tout moyen éventuel d'y remédier, y compris en en indiquant le coût probable.

3.  En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit sans retard indu l’autorité nationale compétente de la violation.

Lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d’un abonné ou d’un particulier, le fournisseur avertit également sans retard indu l’abonné ou le particulier concerné de la violation.

La notification d’une violation des données à caractère personnel à l’abonné ou au particulier concerné n’est pas nécessaire si le fournisseur a prouvé, à la satisfaction de l’autorité compétente, qu’il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques rendent les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès.

Sans préjudice de l’obligation du fournisseur d’informer les abonnés et les particuliers concernés, si le fournisseur n’a pas déjà averti l’abonné ou le particulier de la violation de données à caractère personnel, l’autorité nationale compétente peut, après avoir examiné les effets éventuellement négatifs de cette violation, exiger du fournisseur qu’il s’exécute.

La notification faite à l’abonné ou au particulier décrit au minimum la nature de la violation de données à caractère personnel et les points de contact auprès desquels des informations supplémentaires peuvent être obtenues et recommande des mesures à prendre pour atténuer les conséquences négatives possibles de la violation de données à caractère personnel. La notification faite à l’autorité nationale compétente décrit en outre les conséquences de la violation de données à caractère personnel, et les mesures proposées ou prises par le fournisseur pour y remédier.

4.  Sous réserve des mesures techniques d’application adoptées en vertu du paragraphe 5, les autorités nationales compétentes peuvent adopter des lignes directrices et, le cas échéant, édicter des instructions précisant les circonstances dans lesquelles le fournisseur est tenu de notifier la violation de données à caractère personnel, le format applicable à cette notification et sa procédure de transmission. Elles doivent également être en mesure de contrôler si les fournisseurs ont satisfait aux obligations de notification qui leur incombent en vertu du présent paragraphe et infligent des sanctions appropriées si ces derniers ne s’y sont pas conformés.

Les fournisseurs tiennent à jour un inventaire des violations de données à caractère personnel, notamment de leur contexte, de leurs effets et des mesures prises pour y remédier, les données consignées devant être suffisantes pour permettre aux autorités nationales compétentes de vérifier le respect des dispositions du paragraphe 3. Cet inventaire comporte uniquement les informations nécessaires à cette fin.

5.  Afin d’assurer une mise en œuvre cohérente des mesures visées aux paragraphes 2, 3 et 4, la Commission peut, après consultation de l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA), du groupe de protection des personnes à l’égard du traitement des données à caractère personnel institué par l’article 29 de la directive 95/46/CE et du Contrôleur européen de la protection des données, adopter des mesures techniques d’application concernant les circonstances, le format et les procédures applicables aux exigences en matière d’information et de notification visées au présent article. Lors de l’adoption de ces mesures, la Commission associe toutes les parties prenantes concernées, notamment pour être informée des meilleures solutions techniques et économiques disponibles pour assurer la mise en œuvre du présent article.

Ces mesures, qui visent à modifier des éléments non essentiels de la présente directive en la complétant, sont arrêtées en conformité avec la procédure de réglementation avec contrôle visée à l’article 14 bis, paragraphe 2.