Déposé le 23 mars 2010 par : MM. Türk, Amoudry.
Alinéa 3, deuxième phrase
Remplacer cette phrase par deux phrases ainsi rédigées :
« Le responsable du traitement, avec le concours du correspondant « informatique et libertés », prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l'intégrité et de la confidentialité des données. Le correspondant « informatique et libertés » en informe la Commission nationale de l'informatique et des libertés. »
L'article 7 de la proposition de loi crée une obligation de notification des failles de sécurité. Il opère une distinction selon que la faille de sécurité concerne un organisme doté ou non d'un Correspondant Informatique et Libertés (CIL).
Ainsi, si un CIL a été désigné, il devra être averti sans délai par le responsable de traitement de la violation de traitement de données à caractère personnel. Le CIL devra prendre les mesures nécessaires pour rétablir la situation et ensuite en informer la CNIL. Le CIL devra également tenir un inventaire des atteintes aux traitements de données à caractère personnel.
En revanche, si aucun CIL n'a été désigné, c'est la CNIL que le responsable de traitement devra avertir sans délai.
Si, dans ces circonstances, il est souhaitable que le CIL soit effectivement informé des failles de sécurité survenant dans l'organisme par lequel il a été désigné et qu'il en conserve l'historique, il apparaît en revanche excessif de lui confier la responsabilité de prendre les mesures nécessaires pour permettre le rétablissement de la sécurité des données. En effet, cette tâche incombe au premier chef au responsable de traitement et doit rester de sa compétence. Il est proposé de modifier cette disposition en ce sens.
Aucun commentaire n'a encore été formulé sur cet amendement.