«Les droits de l’individu dans la révolution numérique» : l’Assemblée nationale française publie son rapport (5e et dernière partie)

Cet article constitue la cinquième et dernière partie d’un billet en cinq parties, une par semaine, chaque lundi.

  1. Les failles de sécurité, de la prévention à la notification : le droit des États-Unis
  2. Les failles de sécurité, de la prévention à la notification : le droit français
  3. Présentation du ‘nuage’
  4. Les dangers du ‘nuage’ pour les données personnelles
  5. What’s next ?
5. What’s next ?

Le droit change rapidement en ce domaine : depuis le début de la parution de ce billet, la loi française en matière de notification des failles de sécurité a déjà changé !

En effet l’Ordonnance 2011-1012 du 24 août 2011 relative aux communications électroniques vient de transposer  le « Paquet Télécom », un ensemble de réforme en matière de télécommunications adopté par le Parlement européen le 24 novembre 2009 et  entré en vigueur le 18 décembre 2009. Cette réforme de 2009 se compose en particulier de la Directive 2009/140/CE du 25 novembre 2009, qui a modifié les directives “cadre”, “accès” et “autorisation”, ainsi que la Directive 2009/136/CE du 25 novembre 2009, qui a modifié les directives  “service universel” et “vie privée”.

"Futur" (New York, NY, 2011) - Photo: Marie-Andrée Weiss

"Future" (New York, NY, 2011) - Photo: Marie-Andrée Weiss

Contrôle de sécurité et d’intégrité des installations des opérateurs

Les opérateurs peuvent désormais être soumis à un contrôle de sécurité et d’intégrité de leurs installations. En effet, l’article 6 de l’Ordonnance du 24 août  insère un article L. 33-10 dans le Code des postes et des communications électroniques :

” Le ministre chargé des communications électroniques peut imposer à tout opérateur de soumettre ses installations, réseaux ou services à un contrôle de leur sécurité et de leur intégrité effectué par un service de l’Etat ou un organisme qualifié indépendant désigné par le ministre chargé des communications électroniques et de lui en communiquer les résultats. A cette fin, l’opérateur fournit au service de l’Etat ou à l’organisme chargé du contrôle toutes les informations et l’accès à ses équipements, nécessaires pour évaluer la sécurité et l’intégrité de ses services et réseaux, y compris les documents relatifs à ses politiques de sécurité.

“Le coût du contrôle est à la charge de l’opérateur.

Le service de l’Etat ou l’organisme chargé du contrôle garantit la confidentialité des informations recueillies auprès des opérateurs.

“Un décret en Conseil d’Etat définit les conditions d’application du présent article et, notamment, les modalités de désignation de l’organisme chargé du contrôle.”

Espérons que le décret ne prendra pas trop de temps pour paraître. On se souvient que le Décret n° 2011-219 du 25 février 2011 fixant  les modalités de l’obligation de conservation des données, des fournisseurs d’accès à Internet et des hébergeurs, prévue par la Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, avait enfin été publié au Journal officiel le 1er mars 2011, soit  près de sept ans après la loi…

La nouvelle obligation des fournisseurs d’accès d’avertir la CNIL en cas de faille de sécurité

L’article  L. 33-1 (a) du Code des postes et des communications électroniques dispose désormais que :

“L’établissement et l’exploitation des réseaux ouverts au public et la fourniture au public de services de communications électroniques sont soumis au respect de règles portant sur :

Les conditions de permanence, de qualité, de disponibilité, de sécurité et d’intégrité du réseau et du service qui incluent des obligations de notification à l’autorité compétente des atteintes à la sécurité ou à l’intégrité des réseaux et services.”

En outre, l’article 38 de l’ordonnance insère un article 34 bis dans la Loi n°78-17 du 6 janvier 1978. Les fournisseurs d’accès  doivent désormais notifier « sans délai » à la Commission nationale de l’informatique et des libertés (CNIL) les failles de sécurité compromettant des données  personnelles. En outre, si la faille de sécurité peut porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique, le fournisseur doit également avertir  les personnes intéressées “sans délai”, à moins que la CNIL  ait constaté la mise en œuvre par le fournisseur  de “mesures de protection appropriées” rendant  les données incompréhensibles à toute personne non autorisée à y avoir accès, et que ces mesures aient effectivement  été appliquées par les  données concernées par la faille de sécurité.

“I. – Le présent article s’applique au traitement des données à caractère personnel mis en œuvre  dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification.

“Pour l’application du présent article, on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques.

“II. – En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l’informatique et des libertés.

” Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique, le fournisseur avertit également, sans délai, l’intéressé.

“La notification d’une violation des données à caractère personnel à l’intéressé n’est toutefois pas nécessaire si la Commission nationale de l’informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre  par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation.

“A défaut, la Commission nationale de l’informatique et des libertés peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d’informer également les intéressés.

III. – Chaque fournisseur de services de communications électroniques tient à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises pour y remédier et le conserve à la disposition de la commission.”

Le fait pour un fournisseur de services de communications électroniques de ne pas notifier la CNIL  ou les personnes intéressées, en méconnaissance du nouvel article 34 bis de la loi du 6 janvier 1978, est désormais puni par l’article  226-17-1 du Code pénal de cinq ans d’emprisonnement et de 300 000 € d’amende (article 39 de l’Ordonnance).

Vers une extension du devoir de notification pour les services bancaires et financiers

Il faut s’attendre à d’autres changements dans le domaine de notification des failles de sécurité. Madame Viviane Reding, Vice-présidente de la Commission européenne  a annoncé en mai 2011, dans un discours prononcé le 20 juin 2011 à Londres devant la Bankers’ Association son intention d’introduire une notification obligatoire des failles de sécurité, semblable à celle prévue pour les opérateurs de service de communications électroniques, mais cette fois pour les services bancaires et financiers.

I intend to introduce a mandatory requirement to notify data security breaches – the same as I did for telecoms and internet access when I was Telecoms Commissioner, but this time for all sectors, including banking and financial services”.

La Commission lance une consultation

En outre, la Commission européenne a lancé le 14 juillet dernier une consultation sur les règles pratiques de notification des violations de données à caractère personnel.  Selon le communiqué de presse , les opérateurs de télécommunications, les fournisseurs de services internet, les États membres, les autorités nationales responsables de la protection des données, les organisations de défense des consommateurs et les autres parties intéressées peuvent exprimer leur opinion sur la nécessité d’adopter des règles pratiques supplémentaires afin que les violations des données à caractère personnel soient notifiées de manière cohérente dans l’Union Européenne.

La consultation porte tout d’abord sur les circonstances des violations, et les organisations sont invitées à décrire les types de violations qui entraînent l’obligation de notification à l’abonné ou au particulier, et de donner des exemples de mesures de protection susceptibles de rendre les données incompréhensibles. En outre, les organisations sont invitées à décrire la manière dont elles respectent,  ou prévoient de respecter, la nouvelle obligation de notification.

La consulations porte également sur les procédures de notification, en particulier le délai de notification, les modes de notification et les procédures applicables à un cas particulier, ainsi que sur les formats, c’est à dire les informations contenues dans la notification aux autorités nationales et aux particuliers, les standards actuellement utilisés, ainsi que l’opinion des organisations sur la faisabilité d’un format européen standard.

Les contributions à cette consultation peuvent être apportées jusqu’au 9 septembre 2011.

Quelques souhaits…

Le contenu de la notification pourrait être précisé et élargi. Par exemple, la loi de l’État de Californie requiert désormais, depuis la promulgation le 31 août dernier  de la proposition de loi S.B. 24, que les notifications de failles de sécurité incluent la date à laquelle a eu lieu la violation de sécurité, ou du moins son estimation, la date de la notification, une description de l’incident et le numéro de téléphone gratuit permettant de contacter les credit reporting agencies si la faille implique un numéro de sécurité sociale. Aux États-Unis, ces agences collectent les données permettant d’établir un “score de crédit” (credit score). Il faut souhaiter qu’un tel numéro gratuit soit mis à la disposition des consommateurs français pour pouvoir contacter la CNIL, voire la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes.  En outre, les consommateurs français devraient pouvoir être largement informés de leurs nouveaux droits en matière de failles de sécurité.

Le champ d’application de la notification devrait être étendu à long terme. Cela se fera probablement par étapes, avec d’abord les services bancaires et financiers, selon le voeu de Viviane Reding, puis l’ensemble des responsables du traitement, selon les voeux du Contrôleur européen de la protection des données.

On peut également souhaiter que le correspondant “informatique et libertés” (CIL), oublié par l’ordonnance du 24 août, soit amené à jouer un rôle. On se souvient que  l’article 7 de la  proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique aurait modifié l’article 34 de la  loi du 6 janvier 1978 pour rendre obligatoire, pour les responsables de traitements de données à caractère personnel, d’informer le CIL.

La publication de la consultation de la Commission permettra sans doute de donner de nouvelles pistes de réflexion aux acteurs concernés. Nous continuerons de suivre les développements en la matière sur ce blog.

Marie-Andrée Weiss

Share

About these ads
Comments
One Response to “«Les droits de l’individu dans la révolution numérique» : l’Assemblée nationale française publie son rapport (5e et dernière partie)”
  1. $author Merci pour l’article

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

  • Blog authors

  • Copyright notice

    © Copyright 2010-2014 "Information Security Breaches & The Law".
    All rights reserved, unless noted otherwise under each author's post, page or other material.
    If you would like to discuss licensing terms, contact us at: info [at] security-breaches [dot] com.

  • Enter your e-mail address here to follow this blog and receive notifications of new posts by e-mail.

  • The “Global Information Security Breach Professionals” Group on Linkedin

  • Wordpress Blog Stats

    • 31,015 hits
Follow

Get every new post delivered to your Inbox.

Join 438 other followers

%d bloggers like this: