«Les droits de l’individu dans la révolution numérique» : l’Assemblée nationale française publie son rapport (1re partie)

Nous publierons ce billet en cinq parties, une par semaine, chaque lundi.

  1. Les failles de sécurité, de la prévention à la notification : le droit des États-Unis
  2. Les failles de sécurité, de la prévention à la notification : le droit français
  3. Présentation du ‘nuage’
  4. Les dangers du ‘nuage’ pour les données personnelles
  5. What’s next ?
1. Les failles de sécurité, de la prévention à la notification : le droit des États-Unis

Un rapport de l’Assemblée nationale sur “Les droits de l’individu dans la révolution numérique” a été adopté le 22 juin 2011.

Ce rapport est l’œuvre de la “mission d’information commune sur les droits de l’individu dans la révolution numérique”, présidée par M. Jean-Luc Warsmann (UMP, Ardennes) qui avait été créée le 7 avril 2010 à l’initiative de la Commission des Lois et la Commission des Affaires culturelles et de l’éducation de l’Assemblée Nationale, afin de répondre à cette question : quelles sont les conséquences de la révolution numérique sur les droits de l’individu ?

Rapport de l’Assemblée nationale sur “Les droits de l’individu dans la révolution numérique” (22 juin 2011).

Rapport de l’Assemblée nationale sur “Les droits de l’individu dans la révolution numérique” (22 juin 2011).

La mission d’information a procédé à 45 auditions, et a entendu une centaine de personnes. En outre, les rapporteurs se sont rendus aux États-Unis en février 2011, et la mission  a également organisé en janvier 2011 une réunion par visioconférence avec la commission d’enquête du Bundestag allemand sur “Internet et la société numérique”.  La mission d’information et la commission d’enquête du Bundestag ont ensuite adopté une déclaration commune.

Le rapport est divisé en quatre titres. Le titre Premier traite de l’Internet au service des droits de l’individu, le titre Deuxième traite du droit à une protection dans l’univers numérique, le titre Troisième du droit à l’accès à Internet, et le titre Quatrième pose une question, quelle gouvernance au service de ces droits ?

Le titre deuxième du rapport rappelle dans ses premières lignes que :

“La protection des données à caractère personnel et, plus largement, de la vie privée, fait partie intégrante des libertés et droits fondamentaux reconnus à chaque citoyen”.

La deuxième partie du titre Deuxième, qui nous intéressera plus particulièrement, traite de la sécurité des échanges de données sur les réseaux.

Plutôt que de faire une liste de propositions, la mission d’information a fixé 54 orientations stratégiques. L’une de ces orientations, l’orientation numéro 25, traite de la notification des failles de sécurité. L’orientation numéro 34 traite du cloud computing.

Le rapport note “la multiplication des failles de sécurité” (p. 199). Les failles de sécurité posent un problème particulier pour les responsables de traitement de données car elles peuvent compromettre la sécurité des données à caractère personnel. Une seule faille dans un système informatique hébergeant des bases de données personnelles peut avoir des répercussions pour des centaines de milliers, voire des millions de personnes, à travers le monde. On se souvient que Playstation, le réseau de jeux vidéo de Sony, a été la victime d’une attaque informatique de grande envergure en avril 2011 qui avait compromis les données personnelles de 25 millions d’utilisateurs.

"Untitled" (photo by Thomas Grospiron; shot on Oct. 9, 2008). Available at http://www.flickr.com/photos/tominou/2935634476/ (Creative Commons "Attribution-NonCommercial-ShareAlike 2.0 Generic (CC BY-NC-SA 2.0)" license.)

"Untitled" (photo by Thomas Grospiron; shot on Oct. 9, 2008).

On le voit, une seule faille de sécurité peut avoir un impact sur des milliers de personnes, qui ne doivent pas ignorer que la sécurité de leurs données personnelles a été compromise. C’est pourquoi les  législateurs américains ont fait de la notification de ces failles une obligation. Aux États-Unis, seuls quatre des États, l’Alabama, le Kentucky, le Nouveau Mexique et  le Dakota du Sud n’ont pas de lois rendant obligatoire la notification des failles de sécurité. S’il n’y a pas encore de loi fédérale américaine, une proposition de loi du Sénateur Mark Prior, S.1207, le Data Security and Breach Notification Act of 2011, rendrait obligatoire la notification des failles de sécurité. En effet, selon la section 3 de la proposition de loi :

” [t]oute entité qui possède ou à qui il appartient des données sous forme électronique contenant des données personnelles doit, après la découverte d’une faille de la sécurité d’un  système  maintenu par cette entité qui contient ces données personnelles,(1) informer chaque personne citoyen ou résident des États-Unis dont les données personnelles ont été compromises ou bien accédées par des tiers non autorisés du fait de cette faille de sécurité et (2) notifier la Federal Trade Commission”.

Une autre proposition de loi, le Secure and Fortify Electronic Data Act” ou “SAFE Data Act”, a été introduite en juillet 2011 par la Députée Mary Bono Mack. Le SAFE Data Act obligerait toute personne faisant du commerce entre les différents états des États-Unis et possédant des données personnelles en rapport avec cette activité commerciale, y compris des informations acquises auprès de “data brokers”, à mettre en place et mettre en œuvre des politiques et des procédures “raisonnables” (“reasonable policies and procedures”) de sécurité des données. La Federal Trade Commission (FTC), l’agence fédérale américaine dont la mission est de protéger les consommateurs, serait en charge de faire respecter cette loi.

Notons également l’initiative récente d’une ONG américaine (Privacy Rights Clearinghouse), qui propose depuis peu sur son site une “chronologie des failles de sécurité” (plus de ressources similaires dans notre “Bibliothèque” (Library)) qui permet à tout un chacun de s’informer sur les failles de sécurité survenues aux États-Unis depuis 2005, leur date, le nombre de personnes affectées, et qui permet même de créer un document sur Excel permettant d’analyser les différentes failles. Un tel site ne serait pas possible sans lois rendant obligatoire la notification des failles de sécurité.

(À suivre : Le droit français en matière de failles de sécurité)

Marie-Andrée Weiss

Share

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

  • Blog authors

  • Copyright notice

    © Copyright 2010-2014 "Information Security Breaches & The Law".
    All rights reserved, unless noted otherwise under each author's post, page or other material.
    If you would like to discuss licensing terms, contact us at: info [at] security-breaches [dot] com.

  • Enter your e-mail address here to follow this blog and receive notifications of new posts by e-mail.

  • The “Global Information Security Breach Professionals” Group on Linkedin

  • Wordpress Blog Stats

    • 42,622 hits
%d bloggers like this: