L’ordonnance (2011 – 1012 du 24 août 2011) composant le troisième « paquet télécom » a été promulgué le 26 août dernier. Elle vise notamment à transposer les directives européennes 2009/140/CE et 2009/136/CE, du 25 novembre 2009.

 

Les principaux points – présentés comme des « aménagements du cadre juridique » et non comme un « bouleversement » – s’articulent autour de 4 axes :

–      assurer une meilleure régulation du secteur des communications électroniques ;

–      permettre une gestion du spectre plus efficace et faciliter l’accès des différents utilisateurs aux fréquences radioélectriques ;

–      renforcer la sécurité des réseaux et des services : les opérateurs de communications électroniques ont dorénavant l’obligation de notifier les atteintes à la sécurité  ou à l’intégrité des réseaux et services (article 5) et l’obligation de les soumettre, à la demande du ministre, à un contrôle de sécurité qui sera réalisé par un tiers (article 6) ;

–      renforcer la protection des consommateurs, leur vie privée et leurs données personnelles.

 

S’agissant de la protection de la vie privée et des données personnelles dans le cadre des services de communications électroniques, le code des postes et des communications électroniques, le code de la consommation et la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés sont complétés par de nouvelles obligations.

Par exemple :

a) les opérateurs sont dorénavant contraints de notifier les éventuelles violations de données personnelles (articles 7 et 38) :

Il faut comprendre « par violation de données à caractère personnel » : « toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques »

Les opérateurs doivent ainsi :

  • avertir la CNIL sans délai dès qu’ils constatent une violation de données à  caractère personnel ;
  • avertir les utilisateurs concernés en cas de violation pouvant porter atteinte aux données à caractère personnel ou à la vie privé sauf si la CNIL constates que « des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à tout personne non autorisée » ;
  • tenir à jour un inventaire des violations de données à caractère personnel.

Le non-respect par les opérateurs de cette nouvelle obligation de notification est sanctionné par 5 ans d’emprisonnement et de 300 000 € d’amende.s

b) aucun logiciel qui observe la navigation sur Internet d’un internaute  (cookies) ne peut être mis en place avant que cet internaute ait donné son accord (article 37)

c) un dispositif visant à lutter contre les communications non sollicitées est institué (articles 8 et 32) : le régime de l’opt-in/opt-out est « clarifié ».

Cette ordonnance sera complétée par des dispositions réglementaires… cet aménagement du cadre juridique relatif aux communications électroniques est donc à suivre !!!

… il ne vous reste plus qu’à mettre à jour vos CGU, CGV et être attentif dans la négociation de vos contrats avec vos partenaires e-commerce ….


Claudia Weber, Avocat Associé
ITLAW Avocats – www.itlaw.fr

Nous contacter