Notification des incidents de sécurité...

lors que la Californie renforce sa législation sur la notification des incidents de sécurité, en particulier quand ils touchent des données personnelles, on introduit le concept en France. L'ordonnance 2011-1012 du 24 août dernier rend en effet obligatoire la déclaration à la CNIL, voire aux personnes affectées, de toute "violation de données à caractère personnel".

On serait tenté de pousser un grand ouf de soulagement, se fendre d'un "c'est pas trop tôt" de rigueur, mais ce serait probablement un tantinet prématuré. D'abord parce que cette obligation semble dépendre d'une injonction de la CNIL. Ensuite, parce qu'il faudra voir comment cette obligation s'accommode de la législation en vigueur, laquelle est censée punir les négligences ayant conduit aux violations ainsi avouées...

Cette ordonnance renforce donc, par ses articles 37, 38 et 39 la loi n°78-17 du 6 janvier 1978^[1], dite "Informatique et libertés". Pour ce qui nous intéresse ici, à savoir la notification des incidents de sécurité, ce sont aux articles 38 et 39 qu'il conviendra de s'intéresser.

Le premier nous explique en substance ce qu'on entend par "violation de données à caractère personnel" et précise que le cas échéant, je cite, "le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l'informatique et des libertés". De plus, si, je cite encore, la "violation peut porter atteinte aux données à caractère personnel ou à la vie privée d'un abonné ou d'une autre personne physique, le fournisseur avertit également, sans délai, l'intéressé". Cette obligation souffre cependant d'une exception notable puisque l'article 38 précise également que la "notification d'une violation des données à caractère personnel à l'intéressé n'est toutefois pas nécessaire si la Commission nationale de l'informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation". Ce n'est qu'à défaut que la commission pourra "mettre en demeure le fournisseur d'informer également les intéressés".

Et c'est bien là que le bât blesse à mon sens. Car pour que tout ceci ait un sens, la déclaration devrait se déroulait ainsi. Après avoir constaté l'incident et établi qu'il touchait des données à caractère personnel^[2], le fournisseur va devoir notifier la CNIL du problème. Cette dernière, sur la base des déclarations du fournisseur^[3], décidera si oui ou non il y a lieu de mettre ce dernier en demeure d'informer les personnes impactées. À défaut de mise en demeure, il ne se passera apparemment rien. La CNIL devra donc se montrer particulièrement motivée et réactive pour que ça fonctionne correctement. Or le moins qu'on puisse dire, c'est que c'est un zèle auquel cette commission ne nous a malheureusement pas encore habitués. Même si, reconnaissons-le, on en sent poindre la volonté...

Autre problème, celui de la sanction. Alors que d'aucuns jugent les sanctions actuelles ridicules au regard des investissements à consentir pour une sécurisation correcte des données, celles introduites par l'article 39 sus-mentionné ne diffèrent en rien. De plus, quand on regarde les incidents en question, on constate trop souvent qu'ils sont imputable à de la négligence. De fait, pour le fournisseur, en déclarer un reviendra souvent à admettre une négligence punie par la loi à hauteur de 5 cinq ans d'emprisonnement et 300 000EUR d'amende. Le défaut de déclaration d'incident étant soumis à la même sanction, il y a fort à parier que certains oublieront une déclaration dont les conséquences, ne serait-ce qu'en terme d'image, dépasseront largement la peine encourue. Enfin, quand on sait que, dans la pratique, personne ne se fait jamais taper sur les doigts, autant s'en donner à cœur joie...

Tout ça pour dire que si cette ordonnance va dans le bon sens, elle ne va pas encore assez loin pour réellement changer le paysage en matière de protection des données personnelles. Entre un processus reposant sur le bon vouloir d'un organisme débordé et des sanctions symboliques, il ne faut pas s'attendre à ce que les acteurs du secteur modifient leur façon d'aborder le problème. Que ce soit en investissant dans la protection des données en amont ou en jouant la transparence en cas de problème...

Notes

[1] C'est désormais la version consolidée que vous trouverez en ligne.

[2] Chose dont le fournisseur peut "ne pas s'apercevoir"...

[3] Déclarations qu'on pourrait ne pas avoir le temps et/ou les moyens de vérifier...