Actu
Refonte de la Loi Informatique et Libertés : La sécurité des données personnelles va-t-elle être enfin prise au sérieux ?
mars 2010 par Bruno Rasle
La proposition de Loi déposée le 6 novembre 2009 par les Sénateurs Yves Détraigne et Anne-Marie Escoffier va passer en première lecture le 23 mars 2010. Ce texte, qui modifierait la loi relative à « l’informatique, aux fichiers et aux libertés » propose de rendre obligatoire le Correspondant Informatique et Libertés (le CIL), prône le renforcement des sanctions de la Cnil et envisage la publication des « failles de sécurité » - ce qui correspond plus exactement à la notification des Data Breach promulguée en Californie depuis déjà plusieurs années-. Si cette dernière mesure est adoptée, quels en seraient les impacts ?
Bruno Rasle
Ecrit par Bruno Rasle, l’initiateur de la conférence qui va se dérouler le 23 mars au matin, au Palais du Luxembourg, justement consacrée à cette éventuelle obligation de notifier les atteintes aux traitements de données personnelles, ce long article dresse le panorama de cette approche qui risque fort de constituer un véritable changement de paradigme en matière de sécurisation des données personnelles... et par extension dans le domaine de la sécurité informatique tout court !
Mille questions très opérationnelles se posent : Quelle est la définition d’une « atteinte aux traitements de données » ? Le texte concernera-t-il le support papier ? Devra-t-on informer également les clients des fuites de données ? Quelles seraient les sanctions pour ceux qui voudraient « masquer » ces incidents ? Sur quels critères objectifs faudrait-il notifier et avec quelle rapidité le faire ? Le chiffrement permettrait-il d’échapper à cette obligation ? Qui informera l’autorité de contrôle, la grande direction, les syndicats, le personnel et les actionnaires… et en quels termes ? Qui rédigera et signera la lettre adressée aux clients ? La diffusion d’un email comportant des données personnelles et envoyé par erreur par l’un de nos collaborateurs à des destinataires erronés constituerait-t-elle une Data Breach, avec obligation de notification ? Les accès involontaires de nos collaborateurs à des données personnelles seraient-ils considérés comme des atteintes ?
La proposition lève également la question de la nécessaire coopération entre RSSI et CIL… et d’ailleurs, au vu de la proposition de loi, les RSSI n’ont-ils pas tout intérêt à devenir CIL ?
Ce texte fait un tour du Monde des nombreux pays qui se sont dotés d’une telle mesure, ou qui sont en train d’y réfléchir. Après l’Allemagne, c’est l’Autriche qui vient de basculer, et les Pays-Bas s’y préparent. D’ailleurs Les FAI et les opérateurs de télécommunications sont en première ligne. Les deux directives européennes qui les concernent (directive cadre 2002/21/CE, dénommée « Paquet Telecom »), et la directive 2002/58/CE (dite « Vie privée et communications électronique ») les contraint à informer leurs abonnés en cas de risque de violation de la sécurité des réseaux. La transposition en droit français doit intervenir en mai 2011 au plus tard. Et qui sait que les hébergeurs de données de santé y sont déjà contraints ?
Au final, si cette loi est promulguée, pour les professionnels français de la sécurité informatique, cet évènement sera à marquer d’une pierre blanche.
Pour lire l’intégralité de cet article :
