Notification des violations de données personnelles : régime juridique bientôt élargi, source d’incertitudes

Accès frauduleux à des données de santé, piratage de données personnelles, divulgation de photos hébergées sur le cloud portant atteinte à la vie privée, perte d’informations relevant du secret bancaire,…:les failles de sécurité des systèmes d’informations les plus performants défraient la chronique.

Par Christophe Clarenc (photo) et Merav Griguer, cabinet Dunaud, Clarenc Combles & Associés

Les organismes, entreprises ou établissements publics ont l’obligation légale de garantir la sécurité des données à caractère personnel qu’ils traitent ou qui sont traitées pour leur compte par des prestataires. Cette obligation résulte de la loi « Informatique et Libertés », selon laquelle « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient
accès » (1).

Sanctions administratives et pénales
La Cnil (2) a le pouvoir de contrôler, sur place, le respect de ces obligations de sécurité. Elle peut prononcer des sanctions administratives allant de l’avertissement (souvent publié) à la sanction pécuniaire pouvant atteindre 300.000 euros en cas de récidive.
Le manquement à cette obligation de sécurité est également sanctionné par le Code pénal d’une peine pouvant aller jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende (3). Depuis l’ordonnance «Communications électroniques » (4) de 2011 transposant les directives « Paquet télécom » (5) du 25 novembre 2009, la Cnil est compétente pour examiner les failles de sécurité des opérateurs télécoms (fixe ou mobile) et des fournisseurs d’accès à Internet (FAI). Ces failles de sécurité sont définies comme « toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques ».
La loi « Informatique et Libertés » impose à ces opérateurs télécoms et FAI – devant être déclarés devant l’Arcep (6) – de notifier à la Cnil les violations des données à caractère personnel (7). Or à ce jour, l’obligation de notification des violations de données personnelles ne concerne pas les grands acteurs de l’Internet qui fournissent pourtant au public des solutions de cloud régulièrement victimes de cyberattaques. Alors que les opérateurs télécoms et les FAI, eux, sont tenus de notifier à la Cnil (8)
– dans les 24 heures de la constatation de la violation – toute destruction, perte, altération, divulgation ou tout accès non autorisé à des données à caractère personnel, et ce quel que soit le niveau de gravité de la violation (accident, malveillance ou négligence). Les personnes dont les données à caractère personnel ont été violées doivent également être informées par leur fournisseur d’accès, sans retard injustifié après constat de la violation des données personnelles (9). Parmi les informations requises figurent :
• le nom du fournisseur ;
• l’identité et les coordonnées d’un point de contact en interne auprès duquel les personnes peuvent obtenir des informations supplémentaires, le cas échéant,
et dans la mesure où l’organisation interne le permet, ce point de contact pourrait
être le correspondant informatique et libertés ;
• le résumé de l’incident à l’origine de la violation ;
• la date estimée de l’incident ;
• la nature et la teneur des données concernées ;
• les conséquences vraisemblables de la violation pour la personne ;
• les circonstances de la violation ;
• les mesures prises pour remédier à la violation ;
• les mesures recommandées par le fournisseur pour atténuer les préjudices potentiels. La Cnil précise que « l’information doit être rédigée dans une langue claire et aisément compréhensible », et être distincte et autonome (10).

Notifications à la Cnil et à l’intéressé
En revanche, si le niveau de gravité de la violation est tel qu’il n’est pas susceptible de porter atteinte aux données ou à la vie privée des personnes concernées, le fournisseur n’a pas l’obligation d’en informer les personnes concernées. Il en va de même pour le fournisseur qui a mis en place des mesures techniques de protection préalables, telles que le chiffrement, rendant incompréhensibles les données à tous tiers non autorisées à y avoir accès (11).
Un inventaire des violations, dans lequel figure notamment les modalités de la violation, l’effet de la violation et les mesures pour y remédier, doit être mis à disposition de la Cnil. Si l’opérateur télécoms ou le FAI ne notifient pas à cette dernière ou à l’intéressé une violation de données personnelles, ils encourent cinq ans d’emprisonnement et
300 000 € d’amende (12). Trois années après l’entrée en vigueur en France de ce régime spécifique de notification applicable aux seuls fournisseurs de communications électroniques, celui-ci fait encore débat.

Extension à tous les acteurs du Net
La proposition de règlement européen – qui sera d’application directe – prévoit
un régime similaire, bien que non identique, pour l’ensemble des responsables
de traitements de données à caractère personnel (13). Seraient également mis
à contribution les sous-traitants, qui auraient l’obligation d’alerter et d’informer le responsable de traitement de la violation de données personnelles. Seraient ainsi concernés l’ensemble des services de la société d’informations : sites de e-commerce, réseaux sociaux, banques en lignes, téléservices des administrations, etc, ainsi que tout organisme qui traite des données personnelles, comme tout simplement pour la gestion de ses ressources humaines.
Or, il apparaît que le respect des obligations de notification de failles de sécurité présente un investissement volumineux, tant en termes de coût que de temps. Alors que les opérateurs télécoms et les FAI peinent à répondre aux obligations requises, il est à craindre que le régime à venir étendant l’obligation de notification des violations de données personnelles à tous les responsables de traitements, soit difficilement praticable pour les TPE et les PME. Le délai actuel de 24 heures ne paraît pas raisonnable, voire impraticable lorsque la violation de données personnelles s’est produite chez le prestataire. Dans le cadre du règlement européen à venir, le sous-traitant aurait donc l’obligation d’informer et d’alerter immédiatement le responsable
de traitement. Toutefois, compte tenu du temps nécessaire à l’identification, la circonscription, la mesure et la correction de la faille par le sous-traitant, puis le temps nécessaire au responsable de traitement pour procéder aux mesures de vérifications, de contrôle et pour notifier, il est à craindre que le délai de 24 heures ne soit dépassé. La proposition de règlement européen prévoit un régime plus souple que celui actuellement réservé aux opérateurs télécoms et FAI. Aussi, une question persiste :
le nouveau régime va-t-il se substituer à l’actuel régime pour ne créer qu’un seul et unique régime de notification des failles de sécurité ? Ou les deux régimes similaires, sans être identiques, vont-ils devoir se juxtaposer créant deux régimes distincts, inégaux et même contradictoires par certains égards ? Une modification de la loi
« Informatique et Libertés » paraît donc nécessaire, afin d’anticiper sur le règlement européen. Des incertitudes demeurent créant une certaine insécurité juridique. En effet, dans la mesure où aucun texte de loi contraignant ne fixe précisément des standards de sécurité à respecter, il est difficile d’identifier avec précision les manquements à la sécurité (par faute ou négligence) susceptibles d’être sanctionnés par la Cnil. Par ailleurs, la notification d’une faille de sécurité ou d’une attaque ayant porté atteinte aux données personnelles de ses clients (par perte, divulgation, accès frauduleux, etc) déclenche une procédure d’instruction par la Cnil. L’autorité administrative compétente dispose d’un large pouvoir de contrôle et de sanction, allant de l’avertissement aux sanctions pécuniaires, étant précisé que la Cnil publie souvent les sanctions qu’elle prononce. Une telle publication a pu être maintenue en page d’accueil du site de la
Cnil pendant plusieurs semaines, causant un préjudice particulièrement important au responsable de traitement en termes de réputation.
La Cnil reconnaît elle-même, dans ses FAQ, qu’« une faille de sécurité peut donner une très mauvaise réputation à une entreprise, dont l’impact économique pourra être bien supérieur à la valeur même des données perdues ». Ainsi, le dispositif actuel, comme
à venir, n’encourage pas les responsables de traitements à la transparence et à la notification à la Cnil des violations des données personnelles. En effet, une entreprise qui notifierait une faille de sécurité ou une attaque ayant porté atteinte aux données personnelles de ses clients, risque non seulement une sanction de la Cnil mais encore la perte de confiance de sa clientèle et l’atteinte à sa réputation et à son image auprès du grand public. Il est donc à craindre que ce dispositif de notification des violations de données personnelles dissuade in fine un certain nombre d’entreprises à jouer le jeu
de la transparence.

Politique de sanction contreproductive
Une politique d’accompagnement dans la mise en oeuvre de mesures de protection optimales et efficaces, mais aussi proportionnées aux risques, paraît devoir être privilégiée en lieu et place d’une politique de sanction. Et ce, dès lors que le responsable de traitement qui notifie la faille de sécurité dont il est victime justifie de diligences et d’efforts suffisants et raisonnables au regard des règles de l’art.
Il en résulterait que le taux de participation des entreprises au respect de ce dispositif de notification augmenterait de manière significative au bénéfice de l’amélioration et
du renforcement de la protection des données et de la vie privée de tous. @

 

Streaming illicite : l’aveu de faiblesse de l’Hadopi

En fait. Le 12 septembre, l’Hadopi a publié une délibération de son collège datée de la veille sur la lutte contre les sites de streaming et de téléchargement direct illicites. L’Hadopi approuve le rapport « MIQ » (implication des intermédiaires du Net) mais ne peut le mettre en oeuvre « à droit constant ».

En clair. La délibération de l’Hadopi datée du 11 septembre est, en creux, un aveu de faiblesse face aux sites de streaming et de direct download (DDL) pour lesquels la loi éponyme de 2009 ne l’a pas « mandatée » pour lutter contre – à la différence des sites de peer-to-peer (P2P) visés, eux, par la réponse graduée. Le collège de l’Hadopi estime en effet qu’« une partie des recommandations du rapport (1) de Mireille Imbert- Quaretta [« MIQ », ndlr] peut être mise en oeuvre à droit constant ». Autrement dit, l’autorité de la rue de Texel ne peut instruire de dossiers de contrefaçon liés au streaming et au téléchargement direct – qu’il s’agisse de particuliers ou de sites Internet. Car sa commission de protection des droits (CPD) – présidée par MIQ
elle-même – n’est pas habilitée par la loi actuellement en vigueur à le faire.
Résultat : l’Hadopi n’apparaît toujours pas comme une menace directe pour non seulement les internautes, dont certains vont sur les sites de streaming ou de DDL illicites pour notamment leurs films et séries (2), mais aussi les éditeurs de ces sites soupçonnés de violation « massive » des droits d’auteur. La délibération du 11 septembre s’en tient donc à une phase préparatoire, sans conséquence immédiate pour les sites pirates relevant du streaming ou du DDL. C’est pourquoi Eric Walter, secrétaire général de l’Hadopi, est limité à ce stade à : « mettre en place un recensement fiable [des sites pirates] », « définir des protocoles décrivant les actions pour assécher [de ces sites] », « établir une cartographie des différentes technologies de reconnaissance de contenus », « développer la coopération avec les divers services de l’Etat ».

Il ne s’agit donc pas du lancement d’une action de lutte, par l’Hadopi, contre ces
sites « massivement contrefaisants ». Le plus important réside en fait dans la
« coopération » que va apporter l’Hadopi aux « divers services de l’Etat compétents », comprenez : des juridictions compétentes et/ou spécialisées pour des actions au pénal pour contrefaçon, qui peuvent à leur tour saisir des services d’enquête spécialisés de l’Etat comme l’OCLCTIC, la gendarmerie ou encore la douane judiciaire (SNDJ). Mais, comme l’a constaté le rapport MIQ, « la répression pénale montre ses limites au regard du [faible] nombre de condamnations prononcées » et « se heurtent à la difficulté particulière de lutter contre des faits commis sur Internet ». @

L’Hadopi remet en cause le statut d’hébergeur

En fait. Le 25 février, Mireille Imbert-Quaretta, présidente de la Commission de la protection des droits (CPD) de l’Hadopi, a remis à la présidente de cette dernière son rapport sur « les moyens de lutte contre le streaming et le téléchargement direct illicites ». Elle y critique le statut d’hébergeur.

En clair. « Le statut d’hébergeur a (…) favorisé le développement des actes de contrefaçon à grande échelle. Il est ainsi devenu un espace de protection pour les sites qui fondent leur activité sur la mise à disposition non autorisée de contenus. Cet espace
a été préservé par la jurisprudence, qui a consacré une acception large de la notion d’hébergement mais une appréciation stricte de l’obligation de retrait », critique Mireille Imbert-Quaretta, dans son rapport daté du 15 février (http://lc.cx/MIQ).
Si la Cour de cassation a reconnu le 17 février 2011 la qualité d’hébergeur à Dailymotion (1) (*) (**) et à un site d’hébergement de liens hypertextes (à l’époque Bloobox/Fuzz), elle a en revanche écarté le 3 mai 2012 le bénéfice de ce statut protecteur au site d’enchères eBay et au site musical Radioblog. « (…) C’est l’existence d’une capacité d’action sur les contenus ou d’un rôle actif du site de nature à lui donner une connaissance effective des contenus illicites qui peut permettre d’écarter le régime limitatif de responsabilité de l’hébergeur. La présence d’un contenu illicite sur un site ne suffit pas à engager sa responsabilité, mais les sites qui ont un rôle actif sur les mises à disposition de contenus illicites ne peuvent pas se retrancher derrière le statut d’hébergeur ». Ainsi, pour lutter contre le streaming et le téléchargement direct illicites, la magistrate estime que les sites web concernés devraient généraliser la pratique volontaire de la suppression définitive (« take down and stay down ») des contenus piratés. Or, pour l’instant, les hébergeurs ne doivent retirer ou empêcher l’accès aux contenus illicites que s’ils en ont eu effectivement connaissance (2). Les outils d’empreintes numériques, tels que Content ID de YouTube, permettent pourtant ce retrait systématique et définitif. Or, le rapport «MIQ » rappelle que la directive européenne de 2000 sur le commerce électronique donne la possibilité aux Etats membres de « prévoir une série d’obligations à la charge des intermédiaires [hébergeurs, fournisseurs d’accès Internet, fournisseurs de « cache », publicitaires, financiers, …], destinées à faire cesser ou prévenir les atteintes liées à des contenus illicites ». Selon Mireille Imbert-Quaretta, si la législation peut l’imposer contre le blanchiment d’argent sale, alors elle devrait pouvoir le faire contre le piratage en ligne. @

Le traité ACTA en Europe : entre vote et justice

En fait. Le 26 janvier, l’Union européenne et 22 de ses Etats membres – France comprise – ont officiellement signé au Japon l’Accord commercial anti-contrefaçon (ACTA). Et ce, malgré l’opposition à ce traité international controversé qui devra maintenant être ratifié – ou rejeté – par les eurodéputés.
A moins que…

En clair. C’est enfin la dernière ligne droite pour le traité international ACTA (Anti-Counterfeiting Trade Agreement), dont les négociations laborieuses s’étaient achevées le 15 novembre 2010 (1). Maintenant que les ministres européens de… l’Agriculture et de la Pêche (sic) l’ont adopté le 16 décembre dernier lors d’une réunion du Conseil de l’Union, les eurodéputés sont « autorisés » à signer ce texte avec l’Australie, le Canada, le Japon, la République de Corée, le Mexique, le Maroc, la Nouvelle-Zélande, Singapour, la Suisse et les Etats-Unis (2). L’ACTA vise à établir un cadre international pour renforcer les droits de propriété intellectuelle et notamment protéger les œuvres (musiques, films, …) contre le piratage sur Internet.
Il s’agit donc de « promouvoir la coopération entre fournisseurs de services [réseau Internet et contenus Web, ndlr] et détenteurs de droits [culturels et audiovisuels, ndlr]
afin de s’attaquer aux atteintes relatives aux droits dans l’environnement numérique », précise le texte, qui prévoit « des procédures pénales et des peines », ainsi qu’une
« responsabilité pénale au titre de la complicité » des intermédiaires. Et ce, pour « les actes délibérés de contrefaçon (…) commis à une échelle commerciale ».
Non seulement les fournisseurs d’accès à Internet (FAI) mais aussi tous « fournisseur
de services en ligne » (des Google aux Dailymotion, en passant par les BitTorrent ou les Megaupload) pourront être obligés – par « une autorité compétente chargée du respect des droits de propriété intellectuelle » (sur le modèle de la Hadopi ?) – de
« divulguer rapidement au détenteur du droit des renseignements suffisants pour lui permettre d’identifier un abonné » pris en flagrant délit de piratage. Ce sont ces mesures pénales dans un accord commercial que fustigent les opposants à ce texte comme la Quadrature du Net (3) ou les eurodéputés du parti politique Europe Ecologie Les Verts. Ces derniers ont déclaré le 21 décembre dernier qu’ils avaient déposé un recours devant la Cour européenne de Justice pour lui demander d’évaluer la légalité du traité ACTA. Et de, « avant que le Parlement européen ne soit amené à ratifier cet accord ». La justice devra donc dire si l’ACTA contesté est ou non contraire aux dispositions de la Charte européenne des droits fondamentaux et de la Convention européenne des Droits de l’Homme. @