Actu
Les failles de sécurité s’étalent sur la place publique
mars 2010 par Emmanuelle Lamandé
La loi n° 93 (2009-2010) sur le respect des vies privées à l’heure des mémoires numériques, votée le 23 mars 2010 au sénat, vise à modifier sensiblement la loi Informatique et Libertés de 1978. L’un des objectifs majeurs de cette loi est d’accroître le niveau de sécurité des données, afin d’éviter leur fuite, altération ou destruction. De nouvelles mesures ont ainsi été pensées, comme la notification des atteintes au traitement de données personnelles. Quelles seront les impacts d’une telle mesure pour les entreprises françaises ? En amont de ce vote, l’AFCDP* s’était réunie hier pour en débattre, mais aussi annoncer la création d’un groupe de travail dédié.
* Association Française des Correspondants aux Données Personnelles
L’article 7 de la loi sur le respect des vies privées à l’heure des mémoires numériques prévoit qu’ « en cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant " informatique et libertés ", ou, en l’absence de celui-ci, la Commission nationale de l’informatique et des libertés. Le responsable du traitement, avec le concours du correspondant " informatique et libertés ", prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l’intégrité et de la confidentialité des données. Le correspondant " informatique et libertés " en informe la Commission nationale de l’informatique et des libertés. Si la violation a affecté les données à caractère personnel d’une ou de plusieurs personnes physiques, le responsable du traitement en informe également ces personnes, sauf si ce traitement a été autorisé en application de l’article 26. Le contenu, la forme et les modalités de cette information sont déterminés par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés. Un inventaire des atteintes aux traitements de données à caractère personnel est tenu à jour par le correspondant " informatique et libertés " ».
La notification des failles de sécurité est déjà obligatoire dans certains pays, notamment aux Etats-Unis , au Japon, en Allemagne,…, et fortement recommandée dans d’autres (Irlande,…), constate Pascale Gelly, Avocate. La France ne fait donc que surfer sur cette vague d’actualité internationale, y compris pour la commission européenne.
En tant que Director of Data Privacy chez Accenture et membre de l’IAPP, Bojana Bellamy a déjà quelques retours d’expérience sur ce sujet. Pour elle, il est important de savoir quels types de données personnelles doivent être notifiés. Certains pays ont, en effet, choisi de n’obliger cette notification que pour certaines données, le plus souvent très sensibles (données de santé, bancaires,…). Aux Etats-Unis, les données ayant été chiffrées ne rentrent pas dans le cadre de l’obligation. Ce n’est pas prévu dans la loi française, ce qui à ses yeux risque d’engendrer un nombre de cas considérables à notifier en France. Autre interrogation : quel doit-être le critère déclencheur de l’obligation de notification ? Aux USA par exemple, il faut pouvoir prouver qu’il y a eu atteinte aux données pour y être contraint. Il est parfois difficile de savoir si quelqu’un a réellement utilisé telle ou telle information. Dans la majorité des cas, la notification se doit, en outre, d’être très rapide, ce qui impose à l’entreprise une grande réactivité.
Un équilibre doit être trouvé entre sécurité et hyper-sécurisation
« Les autorités et les individus risquent d’être surpris du nombre de notifications des atteintes aux données » souligne-t-elle. Un phénomène qui risque de mettre une certaine pression sur les entreprises. Cette problématique doit être bien ficelée dans les contrats commerciaux et la réflexion de la répartition des responsabilités pensée en amont. En outre, l’entreprise se doit d’être réactive pour intervenir en cas de problème. Un centre de crise ouvert en continu, avec numéro dédié, a ainsi été mis en place chez Accenture. Toutefois, ce type de démarche et la procédure qui s’ensuit (expertise forensics,…) représentent un coût non négligeable pour une entreprise. D’autant plus qu’il faut également gérer l’après notification aux personnes physiques, qui généralement appellent pour avoir de plus amples informations sur ce qui s’est passé.
Il faut être vigilant car trop de notifications peut engendrer une « sur-notification », constate Bojana Bellamy, ce qui réduirait la sensibilisation aux risques d’une atteinte réellement grave. Toutefois, dans son retour d’expérience, elle estime que les entreprises ont depuis cette obligation compris qu’il valait mieux prévenir que guérir. Pour ce faire, il est conseillé de limiter le nombre de personnes ayant accès aux données personnelles, d’utiliser des solutions de chiffrement, ou encore de favoriser les technologies « privacy by design ».
L’obligation de notification des atteintes au traitement des données personnelles devrait donc entraîner une augmentation du niveau de sécurité, mais accroître, de fait, le niveau de surveillance des salariés, du réseau d’entreprise, des mails... souligne Pascale Gelly. La vigilance doit être de mise pour ne pas aller vers une « hyper-sécurisation ».
Le CIL ne doit pas avoir en charge la sécurité
Pour Gwendal Le Grand, Chef du service d’expertise informatique de la CNIL, de telles mesures étendent le rôle du Correspondant Informatique et Libertés. Cependant, il ne faut pas faire d’amalgame sur son champ de compétences. En cas de violation du traitement de données à caractère personnel, le CIL doit accompagner le Responsable du Traitement « pour permettre le rétablissement de la protection de l’intégrité et de la confidentialité des données », non pas lui suppléer. Ce n’est pas à lui d’endosser la casquette de responsable sécurité de l’entreprise. Eric Wiatrowski, CSO d’Orange Business Services, le confirme, le CIL et la protection des données doivent s’intégrer dans le cycle de management de la sécurité et des bonnes pratiques de l’entreprise. Il ne doit pas avoir en charge la sécurité. Concernant les mesures de prévention à mettre en œuvre, Gwendal Le Grand souligne que le chiffrement seul est réducteur. Il ne faut pas oublier toute la procédure de gestion de clés autour, ni l’aspect organisationnel dans son ensemble.
Christian Pardieu, CIL chez General Electric, est un fervent partisan de la notification et n’a pas attendu la loi pour le faire dans son entreprise. Toutefois, l’une de ses préoccupations serait de devoir notifier tout et n’importe quoi. A ses yeux, la CNIL n’a pas les moyens, ni les ressources de pouvoir tout assumer seule. Il recommande pragmatisme et équilibre pour gérer ce droit fondamental que représente la vie privée. Pour Jean-Marc Beignon, expert en Intelligence Economique, c’est avant tout la responsabilité individuelle de chacun et la sensibilisation qui importent.
Beaucoup de questions persistent en la matière… les avis divergent, toutefois, selon un rapide sondage effectué par l’AFCDP sur une cinquantaine de personnes, 62% seraient favorables à cette mesure, contre 18% opposés, voire hostiles. Plus que jamais la réflexion doit être ouverte face à ce nouveau « colosse. » La création du nouveau groupe de travail de l’AFCDP « Notification des violations de traitement des données personnelles » prend donc tout son sens. Pascale Gelly, Avocate, Eric Doyen, Crédit Immobilier de France, et Bernard Foray, DSSI du groupe Casino, auront en charge de mener ce débat. Prochain rendez-vous le 8 juin pour la 1ère réunion.
