La France va-t-elle se doter d’une loi rendant obligatoire les notifications des violations de sécurité ?

La proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique, présentée le 6 novembre 2009 au Sénat par les sénateurs Yves Détraigne et Anne-Marie Escoffier, a été adoptée par le Sénat et transmise à l’Assemblée nationale le 24 mars 2010. (Historique de la législation.) Elle devrait à nouveau être débattue à  l’automne.

"Security Breach" (Armdale, Halifax, Nova Scotia, Canada) - Photo by: meddygarnet; shot on January 28, 2010; available at http://www.flickr.com/photos/meddygarnet/4311972730/ (Creative Commons "Attribution 2.0 Generic" license)

"Security Breach" (Armdale, Halifax, Nova Scotia, Canada) - Photo by: meddygarnet (2010)

Une proposition de loi qui transpose la Directive européenne 2009/136/CE

Cette proposition de loi anticipait la publication le 25 novembre 2009 de la Directive 2009/136/CE modifiant la Directive 2002/58/CE “vie privée et communications électroniques”. Son article 2 (2)(4)(c) ajoute une obligation de notifier les violations de sécurité à “l’autorité nationale compétente” et aux personnes concernées par cette faille de sécurité, du moins si cette faille est “de nature à affecter négativement” leurs données à caractère personnel:

“En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit sans retard indu l’autorité nationale compétente de la violation.

Lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d’un abonné ou d’un particulier, le fournisseur avertit également sans retard indu l’abonné ou le particulier concerné de la violation.” (Article 2 (2)(4)(c))

Cette Directive doit être transposée par les États membres au plus tard le 25 mai 2011. (Article 4 de la Directive.)

L’article 7 de la proposition de loi actuellement examinée par l’Assemblée nationale modifie l’article 34 de la loi no. 78-17 du 6 janvier 1978 et rend obligatoire, pour les responsables de traitements de données à caractère personnel, d’informer le correspondant “informatique et libertés” ou, en l’absence de celui-ci, la Commission nationale de l’informatique et des libertés (CNIL), d’une violation de l’intégrité ou de la confidentialité de ces traitements, ainsi  que les personnes concernées par cette violation, sauf s’il s’agit d’un traitement autorisé en application de l’article 26, c’est-à-dire d’un fichier de police.

“En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant ‘informatique et libertés’ ou, en l’absence de celui-ci, la Commission nationale de l’informatique et des libertés. Le responsable du traitement, avec le concours du correspondant ‘informatique et libertés’, prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l’intégrité et de la confidentialité des données. Le correspondant ‘informatique et libertés’ en informe la Commission nationale de l’informatique et des libertés. Si la violation a affecté les données à caractère personnel d’une ou de plusieurs personnes physiques, le responsable du traitement en informe également ces personnes, sauf si ce traitement a été autorisé en application de l’article 26. Le contenu, la forme et les modalités de cette information sont déterminés par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés. Un inventaire des atteintes aux traitements de données à caractère personnel est tenu à jour par le correspondant ‘informatique et libertés’.

Le responsable du traitement met en œuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel traitées contre toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation, la diffusion, le stockage, le traitement ou l’accès non autorisés ou illicite.”

Tel qu’il est actuellement rédigé, l’article 34 de la loi no. 78-17 du 6 janvier 1978 dispose simplement que

“le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès”.

Le responsable a une obligation de mettre en oeuvre des mesures de sécurité, mais non de notifier d’éventuelles violations de sécurité.

La proposition de loi ne précise pas comment vérifier la sécurité des données

Selon le rapport du Sénateur Christian Cointat fait au nom de la commission des lois du Sénat, le but de l’obligation de notification, nouvelle en droit français, est d’inciter les responsables de traitement à mettre en œuvre des mesures de protection adéquates. (p. 16) Ce n’est pas tâche facile : le rapport d’information d’Yves Détraigne et d’Anne-Marie Escoffier sur le respect de la vie privée à l’heure du numérique, publié en mai 2009, notait que “la sécurité des données est en pratique difficile à vérifier, à moins de contrôler chaque système de sécurité par des attaques-test. (p. 99 du rapport) [en gras dans le texte]

Pourtant, bien que la sécurité des données soit “difficile à vérifier,” la proposition de loi ne précise pas quelles pourraient être les mesures adéquates pour la protéger. La délibération de la CNIL n°81-94 du 21 juillet 1981 relative aux mesures générales de sécurité des systèmes informatiques recommandait déjà la mise en place de telles mesures de sécurité, qui seraient :

  1. Une évaluation des risques et une étude générale de la sécurité systématique pour tous  les traitements informatiques;
  2. Un effort d’information et de sensibilisation auprès des catégories professionnelles concernées afin de les inciter à participation à l’application des mesures de sécurité;
  3. Une définition particulièrement soignée des dispositions destinées à assurer la sécurité et la confidentialité des traitements et des informations, qui doivent être consignées dans un document de référence, tenu  jour et dont il convient de veiller de manière permanente à son respect;
  4. Une définition claire des responsabilités des personnels participant au respect des mesures de sécurité.
La proposition de loi ne prévoit pas non plus l’obligation légale de garantir contractuellement la sécurité des données

Ces mesures de sécurité doivent en outre, selon la CNIL, par

“des actions concertées entre les pouvoirs publics, les groupements professionnels d’utilisateurs, les constructeurs, les ingéniéries et les fournisseurs de matériels et de logiciels concour[ir] à préciser les sécurités offertes, à les garantir contractuellement, et à œuvrer dans le sens d’une amélioration générale de la sécurité, qui doit être prise en considération dès la conception des produits matériels ou logiciels”.

Nous regrettons que les mesures de sécurité des données prises par les entreprises ne soient pas toujours clairement portées à la connaissance des usagers et des clients. C’est d’autant plus regrettable que la CNIL recommandait dès 1981 que de telles mesures soient garanties contractuellement. Pourtant, le considerant 25 de la Directive 2009/136/CE souhaite que

le contrat avec le client devrait aussi préciser le type de mesure éventuelle que le fournisseur pourrait prendre afin de réagir à un incident ayant trait à la sécurité ou à l’intégrité ou de faire face à des menaces ou à des situations de vulnérabilité”.

Par contre, elle prévoit l’obligation de notifier les violations de sécurité aux particuliers

La proposition de loi initiale présentée en novembre 2009 donnait uniquement à la CNIL le pouvoir d’exiger du responsable de traitement qu’il avertisse les personnes concernées par cette atteinte, “si cette atteinte est de nature à affecter les données à caractère personnel d’une ou de plusieurs personnes physiques”.

La proposition de loi a été modifiée au cours des travaux parlementaires au Sénat, et son article impose désormais au responsable du traitement d’informer les personnes dont les données personnelles peuvent avoir été compromises par une violation de la sécurité des données, à moins qu’il ne s’agisse d’un fichier de police autorisé par l’article 26 de la loi Informatique et libertés.

La première des lois rendant obligatoire la notification d’une infraction aux données, (“data breach”) le California Security Breach Notification Act, entrée en vigueur dès juillet 2003, a rendu obligatoire la notification des violations de sécurité aux consommateurs résidant en Californie, mais pas à une autorité administrative indépendante telle que la CNIL, alors que la Californie a pourtant depuis 2000 une agence gouvernementale dédiée à la protection de la vie privée des consommateurs, le California Office of Privacy Protection.

Any agency that owns or licenses computerized data that includes personal information shall disclose any breach of the security of the system following discovery or notification of the breach in the security of the data to any resident of California whose unencrypted personal information was, or is reasonably believed to have been, acquired by an unauthorized person.” (Cal. Civ. Code § 1798.29(a))

Elle semble suivre également la recommandation de la Directive 2009/136/CE de notifier aux particuliers les violations de sécurité pour tous les secteurs, pas seulement celui des communications électroniques

L’article 2(c) de la Directive 2009/136/CE prévoit une obligation pour le responsable de traitement  d’informer l’abonné ou le particulier concerné par une violation de données à caractère personnel si cette violation “est de nature à affecter négativement ses données à caractère personnel ou sa vie privée”. Le champ de cette directive ne concerne néanmoins que les fournisseurs de services de communications électroniques accessibles au public.

Il s’agit pourtant là d’une question d’intérêt général. Le considérant 59 de la Directive 2009/136/CE regrette que les exigences relatives à la notification des violations de données à caractère personnel figurant dans la Directive 2002/58/CE soient

“limitées aux violations de sécurité intervenant dans le secteur des communications électroniques” alors que “la notification des violations de sécurité traduit l’intérêt général des citoyens à être informés des violations de sécurité. (…) L’intérêt des utilisateurs à être informés ne se limite pas, à l’évidence, au secteur des communications électroniques, et il convient dès lors d’introduire de façon prioritaire, au niveau communautaire, des exigences de notification explicites et obligatoires, applicables à tous les secteurs.”

C’est pourquoi, selon le considérant 59,

“la Commission devrait prendre les mesures nécessaires afin que la Directive 2002/58/CE soit appliquée quels que soient le secteur ou le type de données concernés.”

Cette recommandation semble avoir été entendue par le législateur français: le rapport du Sénateur Christian Cointat souligne en effet la nécessité de promouvoir la diffusion d’une culture “Informatique et libertés”, dont l’un des points serait de rendre obligatoire les notifications des failles de sécurité, quel que soit le secteur ou le type de données concernés par la violation, avec la seule exception des données contenues dans les fichiers de police. (p. 16)

Affaire à suivre…

Un amendement déposé en février 2010 par le gouvernement devant le Sénat proposait de supprimer entièrement l’article 7. Le gouvernement arguait que cet article transposait la Directive 2009/136/CE de manière incomplète. En effet, selon le gouvernement, l’article 7 ne transpose pas les dispositions de cette directive relatives aux sanctions qui pourraient être prononcées contre le responsable de traitement qui n’aurait pas informé les personnes concernées par la faille de sécurité, ni les dispositions relatives à l’obligation pour le responsable du traitement de tenir un inventaire des violations de données à caractère personnel constatées. Cette obligation d’inventaire fut votée par le Sénat, sans toutefois voter l’amendement du gouvernement qui souhaitait la suppression totale de l’article 7 de la proposition de loi.

Nous ajoutons que la proposition de loi ne transpose pas la disposition de l’article 2 (4) (c) de la Directive 2009/136/CE selon laquelle il n’est pas nécessaire pour le fournisseur de notifier l’abonné d’une violation des données à caractère personnel si le fournisseur “a prouvé, à la satisfaction de l’autorité compétente, qu’il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques rendent les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès.”

Il sera intéressant de suivre à l’automne le cheminement de la proposition de loi devant l’Assemblée nationale, pour autant qu’elle inscrive les débats sur cette proposition de loi à son calendrier.

Marie-Andrée Weiss & Cédric Laurant

(La version en anglais de cet article est disponible ici.)

Share

About these ads
Comments
2 Responses to “La France va-t-elle se doter d’une loi rendant obligatoire les notifications des violations de sécurité ?”
Trackbacks
Check out what others are saying...
  1. [...] Will France adopt a law requiring the notification of security breaches? (August 6, 2010): A French bill “to better guarantee the right to privacy in the digital age” has implemented the European Directive 2009/136/EC by requiring the data controller to inform the “Data Protection Correspondent” or the French data protection authority, of a breach of integrity or confidentiality. Those involved in the breach must also be informed, at least if security breaches are “likely to adversely affect” their personal data. The bill follows the recommendation of the Directive to notify individuals of security breaches for all sectors, not just electronic communications. It was adopted by the French Senate on March 24, 2010 and is currently before the National Assembly. (A French version of this article is also available here.) [...]

  2. [...] Ainsi, récemment, la Directive 2009/136/CE modifiant la Directive 2002/58/CE a imposé aux Etats membres de prévoir dans leur droit national, une obligation de notifier les violations de sécurité à l’autorité compétente ainsi que, dans certains cas, aux personnes concernées (Voyez, par exemple, notre article: “La France va-t-elle se doter d’une loi rendant obligatoire les notifications des violat…) [...]



Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

  • Blog authors

  • Copyright notice

    © Copyright 2010-2014 "Information Security Breaches & The Law".
    All rights reserved, unless noted otherwise under each author's post, page or other material.
    If you would like to discuss licensing terms, contact us at: info [at] security-breaches [dot] com.

  • Enter your e-mail address here to follow this blog and receive notifications of new posts by e-mail.

  • The “Global Information Security Breach Professionals” Group on Linkedin

  • Wordpress Blog Stats

    • 31,004 hits
Follow

Get every new post delivered to your Inbox.

Join 438 other followers

%d bloggers like this: