«Les droits de l’individu dans la révolution numérique» : l’Assemblée nationale française publie son rapport (2e partie)

Cet article constitue la seconde partie d’un billet en cinq parties, une par semaine, chaque lundi.

  1. Les failles de sécurité, de la prévention à la notification : le droit des États-Unis
  2. Les failles de sécurité, de la prévention à la notification : le droit français
  3. Présentation du ‘nuage’
  4. Les dangers du ‘nuage’ pour les données personnelles
  5. What’s next ?
2. Les failles de sécurité, de la prévention à la notification : le droit français
"The Switch" (photo by "Fifi LePew"; shot on Jan. 8, 2005). Available at http://www.flickr.com/photos/51035796522@N01/3120069/ (Creative Commons "Attribution-NonCommercial 2.0 Generic (CC BY-NC 2.0)" license.)

"The Switch" (photo by "Fifi LePew"; shot on Jan. 8, 2005).

Ni la Directive 95/46/CE, ni la loi “Informatique et Libertés” ne prévoient une notification obligatoire des failles de sécurité.

Principe de sécurité

Selon l’article 17 de la directive 95/46/CE :

« Les États membres prévoient que le responsable du traitement doit mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite. Ces mesures doivent assurer compte tenu de l’état de l’art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger. »

En France, le responsable de traitements de données à caractère personnel doit, au nom du principe de sécurité énoncé à l’article 34 de la loi du 6 janvier 1978, la loi “Informatique et Libertés”, «prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès». Il s’agit d’une obligation de moyens, et non de résultat. Afin de satisfaire une obligation de moyens, le débiteur de celle-ci s’oblige uniquement à utiliser tous les moyens possibles afin d’obtenir le résultat escompté, mais il n’est pas tenu d’atteindre ce résultat. Quels sont ces moyens que le responsable de traitement doit mettre en place afin de respecter cette obligation ?

Vers une notification obligatoire en droit français

Obligation de moyens… Et si, en dépit des meilleurs efforts du responsable de traitement, les données personnelles sont compromises par une faille de sécurité ? Le rapport de l’Assemblée nationale précise bien qu’ «aucune obligation légale précise ne s’impose au responsable de traitement, en dehors de l’obligation générale de sécurité posée à l’article 34…» (p. 198).

La France n’a pas encore de loi rendant obligatoire la notification des failles de sécurité. La Directive 2009/136/CE, entrée en vigueur le 19 décembre 2009, modifie la Directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications (la Directive “Service Universel”) et la Directive 2002/58/CE concernant le traitement des données personnelles et la protection de la vie privée dans le secteur des communications électroniques (la «directive sur la vie privée»). Ces deux directives font partie du “Paquet Télécom”, les cinq directives composant le cadre réglementaire pour les réseaux de communications électroniques et des services dans l’Union européenne (UE).

La Directive 2009/140/CE, entrée en vigueur le 26 novembre 2009, modifie  la Directive 2002/21/CE  relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques, 2002/19/CE relative à l’accès aux réseaux de communications électroniques et aux ressources associées, ainsi qu’à leur interconnexion, et 2002/20/CE relative à l’autorisation des réseaux et services de communications électroniques. Son article premier modifiant l’article 13 bis de la Directive 2002/21/CE demande clairement aux États membres de :

« veille[r] à ce que les entreprises fournissant des réseaux de communications publics ou des services de communications électroniques accessibles au public prennent des mesures techniques et organisationnelles adéquates pour gérer le risque en matière de sécurité des réseaux et des services de manière appropriéeEn particulier, des mesures sont prises pour prévenir ou limiter les conséquences des incidents de sécurité pour les utilisateurs et les réseaux interconnectés».

La Directive 2009/140/CE, qui aurait dû être transposée en droit français au plus tard le 25 mai 2011, ne l’a pas été. La proposition de loi «visant à mieux garantir le droit à la vie privée à l’heure du numérique» avait été adoptée par le Sénat le 23 mars 2010, et transmise  à l’Assemblée nationale. L’article 7 de cette proposition de loi prévoyait une obligation d’information sur les failles de sécurité, afin, selon un rapport de Monsieur Christian Cointrat déposé au Sénat en février 2010, « d’inciter les responsables de traitement des données personnelles à mettre en œuvre les mesures de protection adéquates. En effet, les conséquences pour la crédibilité d’une entreprise ou d’un organisme d’une telle information sont potentiellement importantes et peuvent donc l’amener à renforcer ses procédures de sécurité.»

Le gouvernement français a finalement décidé de transposer les deux directives, 2009/136/CE, et 2009/140/CE, par voie d’ordonnance.

L’article 6 du projet d’ordonnance insérerait un article L. 33-10 dans le Code des postes et des communications électroniques ainsi rédigé :

« Le ministre chargé des communications électroniques peut imposer à l’opérateur de se soumettre, aux frais de ce dernier, à un contrôle de sécurité effectué par un service de l’Etat ou un organisme qualifié indépendant désigné par le ministre chargé des communications électroniques et de lui communiquer les résultats. A cette fin, l’opérateur fournit au service de l’Etat ou à l’organisme chargé du contrôle toutes les informations et l’accès à ses équipements, nécessaires pour évaluer la sécurité et l’intégrité de ses services et réseaux, y compris les documents relatifs à ses politiques de sécurité. »

L’article du projet d’ordonnance insérait un article 32 bis dans la loi du 6 janvier 1978 :

«  I. Le présent article s’applique au traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification.

II. Pour l’application du présent article, on entend par violation de données à caractère personnel :

- toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération ou la divulgation de données à caractère personnel transmises, stockées ou traitées d’une autre manière en relation avec la fourniture au public de services de communications électroniques accessibles ;

- l’accès non autorisé à de telles données.

III – En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l’informatique et des libertés.

Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’un particulier, le fournisseur avertit également, sans délai, l’intéressé.

La notification d’une violation des données à caractère personnel à l’abonné ou au particulier concerné n’est toutefois pas nécessaire si la Commission nationale de l’informatique et des libertés a validé les mesures de protection technologiques mises en œuvre par le fournisseur pour remédier à la violation des données à caractère personnel et constaté que ces mesures ont été appliquées aux données concernées par ladite violation.

A défaut, la Commission nationale de l’informatique et des libertés peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d’informer également les intéressés. Si la mise en demeure n’est pas suivie d’effet dans le délai fixé par la Commission, celle-ci peut prononcer une sanction à l’encontre du fournisseur. »

La notification d’une faille de la sécurité se ferait ainsi à la CNIL, et également aux personnes intéressées si cette faille de sécurité peut porter atteinte à leur vie privée. Néanmoins, comme le note le rapport à la p. 199:

« ces dispositions ne s’imposent cependant qu’aux opérateurs de service de communications électroniques et non aux fournisseurs de contenus. Leur portée s’en trouve donc considérablement limitée ».

L’orientation numéro 25 du rapport de l’Assemblée nationale souhaite un large champ d’application pour l’obligation de notification des failles de sécurité, qui pourrait même s’étendre à tout détenteur d’une base de données personnelles déclarée à la CNIL :

« Orientation n° 25 : obliger tout responsable de traitements à notifier les failles de sécurité dans le cadre de la révision de la directive du 24 octobre 1995, consacrer l’obligation pour tout responsable de traitements de données à caractère personnel de notifier les failles de sécurité auprès de l’autorité nationale de protection des données personnelles – en France, la CNIL – et des particuliers concernés par ces violations. » (p. 330)

Le rapport note néanmoins que

« [l]e périmètre d’application de telles mesures demandera néanmoins à être évalué ; il ne faudrait pas que les organismes de contrôle soient submergés par des notifications de failles de sécurité très mineuresDe même, l’information personnelle de toutes les personnes concernées par une faille de sécurité risque, dans certains cas, de se révéler disproportionnée ou non réalisable.» (pp. 199-200)

Notons que le Guide 2010 de la commission nationale de l’informatique et des libertés (CNIL) sur la sécurité des données personnelles suggère déjà qu’ « en cas d’accès frauduleux à des données personnelles, le responsable de traitement devrait le notifier aux personnes concernées. » (Fiche numéro 8, p. 22), mais ce n’est bien sûr pas une obligation légale.

(À suivre : Présentation du ‘nuage’)

Marie-Andrée Weiss

Share

About these ads

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

  • Blog authors

  • Copyright notice

    © Copyright 2010-2014 "Information Security Breaches & The Law".
    All rights reserved, unless noted otherwise under each author's post, page or other material.
    If you would like to discuss licensing terms, contact us at: info [at] security-breaches [dot] com.

  • Enter your e-mail address here to follow this blog and receive notifications of new posts by e-mail.

  • The “Global Information Security Breach Professionals” Group on Linkedin

  • Wordpress Blog Stats

    • 29,344 hits
Follow

Get every new post delivered to your Inbox.

Join 402 other followers

%d bloggers like this: