Accès frauduleux à des données de santé, piratage de données personnelles, divulgation de photos hébergées sur le cloud portant atteinte à la vie privée, perte d’informations relevant du secret bancaire,…:les failles de sécurité des systèmes d’informations les plus performants défraient la chronique.

Par Christophe Clarenc (photo) et Merav Griguer, cabinet Dunaud, Clarenc Combles & Associés

Les organismes, entreprises ou établissements publics ont l’obligation légale de garantir la sécurité des données à caractère personnel qu’ils traitent ou qui sont traitées pour leur compte par des prestataires. Cette obligation résulte de la loi « Informatique et Libertés », selon laquelle « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient
accès » (1).

Sanctions administratives et pénales
La Cnil (2) a le pouvoir de contrôler, sur place, le respect de ces obligations de sécurité. Elle peut prononcer des sanctions administratives allant de l’avertissement (souvent publié) à la sanction pécuniaire pouvant atteindre 300.000 euros en cas de récidive.
Le manquement à cette obligation de sécurité est également sanctionné par le Code pénal d’une peine pouvant aller jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende (3). Depuis l’ordonnance «Communications électroniques » (4) de 2011 transposant les directives « Paquet télécom » (5) du 25 novembre 2009, la Cnil est compétente pour examiner les failles de sécurité des opérateurs télécoms (fixe ou mobile) et des fournisseurs d’accès à Internet (FAI). Ces failles de sécurité sont définies comme « toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques ».
La loi « Informatique et Libertés » impose à ces opérateurs télécoms et FAI – devant être déclarés devant l’Arcep (6) – de notifier à la Cnil les violations des données à caractère personnel (7). Or à ce jour, l’obligation de notification des violations de données personnelles ne concerne pas les grands acteurs de l’Internet qui fournissent pourtant au public des solutions de cloud régulièrement victimes de cyberattaques. Alors que les opérateurs télécoms et les FAI, eux, sont tenus de notifier à la Cnil (8)
– dans les 24 heures de la constatation de la violation – toute destruction, perte, altération, divulgation ou tout accès non autorisé à des données à caractère personnel, et ce quel que soit le niveau de gravité de la violation (accident, malveillance ou négligence). Les personnes dont les données à caractère personnel ont été violées doivent également être informées par leur fournisseur d’accès, sans retard injustifié après constat de la violation des données personnelles (9). Parmi les informations requises figurent :
• le nom du fournisseur ;
• l’identité et les coordonnées d’un point de contact en interne auprès duquel les personnes peuvent obtenir des informations supplémentaires, le cas échéant,
et dans la mesure où l’organisation interne le permet, ce point de contact pourrait
être le correspondant informatique et libertés ;
• le résumé de l’incident à l’origine de la violation ;
• la date estimée de l’incident ;
• la nature et la teneur des données concernées ;
• les conséquences vraisemblables de la violation pour la personne ;
• les circonstances de la violation ;
• les mesures prises pour remédier à la violation ;
• les mesures recommandées par le fournisseur pour atténuer les préjudices potentiels. La Cnil précise que « l’information doit être rédigée dans une langue claire et aisément compréhensible », et être distincte et autonome (10).

Notifications à la Cnil et à l’intéressé
En revanche, si le niveau de gravité de la violation est tel qu’il n’est pas susceptible de porter atteinte aux données ou à la vie privée des personnes concernées, le fournisseur n’a pas l’obligation d’en informer les personnes concernées. Il en va de même pour le fournisseur qui a mis en place des mesures techniques de protection préalables, telles que le chiffrement, rendant incompréhensibles les données à tous tiers non autorisées à y avoir accès (11).
Un inventaire des violations, dans lequel figure notamment les modalités de la violation, l’effet de la violation et les mesures pour y remédier, doit être mis à disposition de la Cnil. Si l’opérateur télécoms ou le FAI ne notifient pas à cette dernière ou à l’intéressé une violation de données personnelles, ils encourent cinq ans d’emprisonnement et
300 000 € d’amende (12). Trois années après l’entrée en vigueur en France de ce régime spécifique de notification applicable aux seuls fournisseurs de communications électroniques, celui-ci fait encore débat.

Extension à tous les acteurs du Net
La proposition de règlement européen – qui sera d’application directe – prévoit
un régime similaire, bien que non identique, pour l’ensemble des responsables
de traitements de données à caractère personnel (13). Seraient également mis
à contribution les sous-traitants, qui auraient l’obligation d’alerter et d’informer le responsable de traitement de la violation de données personnelles. Seraient ainsi concernés l’ensemble des services de la société d’informations : sites de e-commerce, réseaux sociaux, banques en lignes, téléservices des administrations, etc, ainsi que tout organisme qui traite des données personnelles, comme tout simplement pour la gestion de ses ressources humaines.
Or, il apparaît que le respect des obligations de notification de failles de sécurité présente un investissement volumineux, tant en termes de coût que de temps. Alors que les opérateurs télécoms et les FAI peinent à répondre aux obligations requises, il est à craindre que le régime à venir étendant l’obligation de notification des violations de données personnelles à tous les responsables de traitements, soit difficilement praticable pour les TPE et les PME. Le délai actuel de 24 heures ne paraît pas raisonnable, voire impraticable lorsque la violation de données personnelles s’est produite chez le prestataire. Dans le cadre du règlement européen à venir, le sous-traitant aurait donc l’obligation d’informer et d’alerter immédiatement le responsable
de traitement. Toutefois, compte tenu du temps nécessaire à l’identification, la circonscription, la mesure et la correction de la faille par le sous-traitant, puis le temps nécessaire au responsable de traitement pour procéder aux mesures de vérifications, de contrôle et pour notifier, il est à craindre que le délai de 24 heures ne soit dépassé. La proposition de règlement européen prévoit un régime plus souple que celui actuellement réservé aux opérateurs télécoms et FAI. Aussi, une question persiste :
le nouveau régime va-t-il se substituer à l’actuel régime pour ne créer qu’un seul et unique régime de notification des failles de sécurité ? Ou les deux régimes similaires, sans être identiques, vont-ils devoir se juxtaposer créant deux régimes distincts, inégaux et même contradictoires par certains égards ? Une modification de la loi
« Informatique et Libertés » paraît donc nécessaire, afin d’anticiper sur le règlement européen. Des incertitudes demeurent créant une certaine insécurité juridique. En effet, dans la mesure où aucun texte de loi contraignant ne fixe précisément des standards de sécurité à respecter, il est difficile d’identifier avec précision les manquements à la sécurité (par faute ou négligence) susceptibles d’être sanctionnés par la Cnil. Par ailleurs, la notification d’une faille de sécurité ou d’une attaque ayant porté atteinte aux données personnelles de ses clients (par perte, divulgation, accès frauduleux, etc) déclenche une procédure d’instruction par la Cnil. L’autorité administrative compétente dispose d’un large pouvoir de contrôle et de sanction, allant de l’avertissement aux sanctions pécuniaires, étant précisé que la Cnil publie souvent les sanctions qu’elle prononce. Une telle publication a pu être maintenue en page d’accueil du site de la
Cnil pendant plusieurs semaines, causant un préjudice particulièrement important au responsable de traitement en termes de réputation.
La Cnil reconnaît elle-même, dans ses FAQ, qu’« une faille de sécurité peut donner une très mauvaise réputation à une entreprise, dont l’impact économique pourra être bien supérieur à la valeur même des données perdues ». Ainsi, le dispositif actuel, comme
à venir, n’encourage pas les responsables de traitements à la transparence et à la notification à la Cnil des violations des données personnelles. En effet, une entreprise qui notifierait une faille de sécurité ou une attaque ayant porté atteinte aux données personnelles de ses clients, risque non seulement une sanction de la Cnil mais encore la perte de confiance de sa clientèle et l’atteinte à sa réputation et à son image auprès du grand public. Il est donc à craindre que ce dispositif de notification des violations de données personnelles dissuade in fine un certain nombre d’entreprises à jouer le jeu
de la transparence.

Politique de sanction contreproductive
Une politique d’accompagnement dans la mise en oeuvre de mesures de protection optimales et efficaces, mais aussi proportionnées aux risques, paraît devoir être privilégiée en lieu et place d’une politique de sanction. Et ce, dès lors que le responsable de traitement qui notifie la faille de sécurité dont il est victime justifie de diligences et d’efforts suffisants et raisonnables au regard des règles de l’art.
Il en résulterait que le taux de participation des entreprises au respect de ce dispositif de notification augmenterait de manière significative au bénéfice de l’amélioration et
du renforcement de la protection des données et de la vie privée de tous. @