Les Lois prévoient également plus de diligences à la charge des responsables de système d’information. Cela signifie par exemple la généralisation de ce que l’on a appelé la notification d’une faille de sécurité. Prévue pour la première fois dans le dernier Paquet Télécom européen transposé en droit français par une Ordonnance n°2011-1012 du 24 aout 2011, cette obligation ne concernait à l’origine que les violations de données à caractère personnel et les seuls « fournisseurs de services de communications électroniques ». Ces fournisseurs semblaient correspondre aux opérateurs de communications électroniques (les ex-opérateurs télécoms) et à tous ceux qui offrent un accès aux réseaux numériques (boutiques avec un accès Wi-fi offert aux clients et accès publics notamment). On se demandait bien pourquoi une telle obligation ne concernait qu’une seule catégorie d’acteurs économiques. Cette anormalité est désormais corrigée. Désormais, le RGPD prévoit que tout responsable de traitement de données personnelles est concerné par cette notification d’une violation de données personnelles. Et comme nous l’avons évoqué précédemment, toute entreprise est désormais potentiellement « responsable de traitement de données personnelles », ne serait-ce que dans le cadre de l’élaboration des salaires… Bien évidemment pour rendre cette obligation de notification obligatoire, le défaut de notification est puni de 5 ans d’emprisonnement et de 300.000 euros d’amende4. S’agissant de la Directive NIS, elle prévoit que cette notification est même étendue au-delà des seules données personnelles, lorsque l’attaque concerne un « opérateur de services essentiels » ayant subi une cyberattaque. Dans la même idée, le RGPD a promu de nouveaux concepts juridiques aux doux noms d’accountability et de privacy design. Là encore, le responsable de traitement doit montrer très tôt qu’il a fait diligence. Le premier des deux concepts signifie « L’obligation pour les entreprises de mettre en oeuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données » selon la définition donnée par la CNIL, tandis que le second concept signifie que dès la conception de son système d’information les questions de protection de la vie privée ont été prises en compte. Davantage d'information sur le thème en surfant sur le site web de l'Agence SEO 59.
