Entrée en vigueur le 1 juin 2019
Modifié par : Ordonnance n°2018-1125 du 12 décembre 2018 - art. 1
I.-Le présent article s'applique au traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d'identification.
Pour l'application du présent article, on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la fourniture au public de services de communications électroniques.
II.-En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l'informatique et des libertés.
Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d'un abonné ou d'une autre personne physique, le fournisseur avertit également, sans délai, l'intéressé.
La notification d'une violation des données à caractère personnel à l'intéressé n'est toutefois pas nécessaire si la Commission nationale de l'informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation.
A défaut, la Commission nationale de l'informatique et des libertés peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d'informer également les intéressés.
III.-Chaque fournisseur de services de communications électroniques tient à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises pour y remédier et le conserve à la disposition de la commission.
S'agissant premièrement de la justification du quantum de la sanction, vous avez jugé qu'aucune disposition n'impose à la formation restreinte de la CNIL d'expliciter le montant des sanctions qu'elle prononce de sorte que celle-ci n'a ni à se prononcer sur l'ensemble des critères prévus par l'article 83 du RGPD pour décider du montant de l'amende administrative, ni à indiquer les éléments chiffrés relatifs au mode de détermination du montant de la sanction, […]
Lire la suite…Le projet de loi concernant la refonte de la LIL prévoit que l'amende peut atteindre 300 000 euros (article 14). […] Par conséquent, tout manquement à cette obligation constitue une infraction. […] Par ailleurs, le fait pour un fournisseur de services de communications électroniques ou pour un responsable de traitement de ne pas procéder à la notification d'une violation de données à caractère personnel à la CNIL, en méconnaissance des articles 33 et 34 du règlement (UE) 2016/679 du 27 avril 2016 ou des dispositions du II de l'article 83 et de l'article 102 de la loi n° 78-17 du 6 janvier 1978, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende (art. 226-17-1 code pénal). […]
Lire la suite…[…] André Boyer, Yvon Collin et M me Joëlle Dusseau, sénateurs, dans les conditions prévues à l'article 61, alinéa 2, de la Constitution, […] Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
[…] - la loi n° 78-17 du 6 janvier 1978 ; […] En vertu du 7° du IV de l'article 20 de la loi du 6 janvier 1978, la formation restreinte de la CNIL prend en compte, pour prononcer une amende administrative, les critères précisés à l'article 83 du RGPD. […]
[…] 108. L'article 20 de la loi n° 78-17 du 6 janvier 1978 modifiée prévoit que : " lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut […] saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, […] 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, […]
Article 226-17-1 Le fait pour un fournisseur de services de communications électroniques ou pour un responsable de traitement de ne pas procéder à la notification d'une violation de données à caractère personnel à la Commission nationale de l'informatique et des libertés ou à l'intéressé, en méconnaissance des articles 33 et 34 du règlement (UE) 2016/679 du 27 avril 2016 précité ou des dispositions du II de l'article 83 et de l'article 102 de la loi n° 78-17 du 6 janvier 1978, […]
Lire la suite…