Vers une notification en cas de perte de données personnelles

Il y a quelque temps, je militais (comme beaucoup) pour un système de notification en cas de perte de données personnelles.

Et bien mes vœux se sont réalisés… enfin… en partie !

CC deadmind

En fait, ce système de notification était prévu par des directives de 2009 du parlement européen et du conseil (2009/136 et 2009/140).

Comme ces directives devaient être transposées avant le 25 mai 2011, cela commençait à urger un peu !

Le gouvernement a alors eu l’autorisation du parlement français de procéder à la transposition de ces directives par voie d’ordonnance (autorisation donnée par la loi 2011-302 du 22 mars 2011).

Chapitre 1. Ce que disent les directives

En synthèse, les deux directives mentionnées ci-dessus prévoient que les FAI notifient (à une autorité administrative française) les cas suivants :

  • pertes de données personnelles de leurs utilisateurs (directive 2009/136),
  • incidents de sécurité significatifs (directive 2009/140).

Par ailleurs une notification du public peut être obligatoire dans certains cas particulier.

Parlement européen (CC Bene)

Pour la directive 2009/136, je vous conseille la lecture de l’article 2 (point 3.c) :

3. En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit sans retard indu l’autorité nationale compétente de la violation.

Lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d’un abonné ou d’un particulier, le fournisseur avertit également sans retard indu l’abonné ou le particulier concerné de la violation.

La notification d’une violation des données à caractère personnel à l’abonné ou au particulier concerné n’est pas nécessaire si le fournisseur a prouvé, à la satisfaction de l’autorité compétente, qu’il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques rendent les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès

Pour la directive 2009/140, je vous invite à lire l’article premier (point 15) :

3. Les États membres veillent à ce que les entreprises fournissant des réseaux de communications publics ou des services de communications électroniques accessibles au public notifient à l’autorité réglementaire nationale compétente toute atteinte à la sécurité ou perte d’intégrité ayant eu un impact significatif sur le fonctionnement des réseaux ou des services.

Le cas échéant, l’autorité réglementaire nationale concernée informe les autorités réglementaires nationales des autres États membres et l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA). L’autorité réglementaire nationale concernée peut informer le public ou exiger des entreprises qu’elles le fassent, dès lors qu’elle constate qu’il est d’utilité publique de divulguer les faits.

Chapitre 2. Ce que dit l’ordonnance française

Regardons donc si le gouvernement a fait ses devoirs de vacances (i.e. si celui-ci a bien transposé les directives).

L’ordonnance 2011-1012 a été présentée au conseil des ministres le 25 août 2011. Cette ordonnance modifie, pour ce qui nous concerne ici, l’article 33-1 du code des postes et des communications électroniques et ajoute un article 34bis dans la loi informatique et libertés du 6 janvier 1978.

Assemblée nationale (CC Michael Davie – Compte Flickr désactivé aujourd’hui)

En effet, l’article 34bis de la loi informatique et libertés dispose que :

II. – En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l’informatique et des libertés.

Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique, le fournisseur avertit également, sans délai, l’intéressé.

La notification d’une violation des données à caractère personnel à l’intéressé n’est toutefois pas nécessaire si la Commission nationale de l’informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation.

A défaut, la Commission nationale de l’informatique et des libertés peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d’informer également les intéressés.

De plus, l‘article 33-1 a été modifié comme suit :

L’établissement et l’exploitation des réseaux ouverts au public et la fourniture au public de services de communications électroniques sont soumis au respect de règles portant sur :

a) Les conditions de permanence, de qualité, de disponibilité, de sécurité et d’intégrité du réseau et du service qui incluent des obligations de notification à l’autorité compétente des atteintes à la sécurité ou à l’intégrité des réseaux et services ;

[maj update="05/04/12"]

Je vous met un lien vers le décret (voir article 25 et 26).

La notification doit être envoyée à la CNIL par LRAR et précise :

  • la nature et les conséquences de la violation des données à caractère personnel,
  • les mesures déjà prises ou proposées pour y remédier et les personnes auprès desquelles des informations supplémentaires peuvent être obtenues et,
  • lorsque cela est possible, une estimation du nombre de personnes susceptibles d’être impactées par la violation en cause.

Pour la notification envoyée à l’intéressé, on peut regretter quelle ne soit pas obligatoire

[/maj]

Chapitre 3. Bilan

Section 3.1. Enfin !!!

Il est clair que j’attendais avec impatience la modification de la loi française pour inclure une telle obligation de notification.

Merci l’Europe !

Pour les atteintes aux données personnelles, nous noterons que le législateur n’a pas pris trop de risque car le texte du nouvel article 34bis de la LIL est presque un “copier-coller” de la directive 2009/136…

Mais finalement, on ne peut pas reprocher à la France un tel comportement.

Section 3.2. Cela aurait pu néanmoins aller plus loin !

L’obligation de notification est limitée aux FAI… et c’est bien dommage !

Je dois dire que je ne comprends pas bien la distinction que le législateur fait entre les FAI et les autres professionnels. L’affaire SONY ne leur a-t-il pas ouvert les yeux sur le fait que toutes les entreprises peuvent perdre des données ?

De plus, on peut regretter que la transposition de la directive 2009/140 n’ait été que partielle : où est donc la capacité de l’autorité réglementaire nationale de décider si une information du public est nécessaire, en cas d’atteinte à la sécurité ?

Bref, c’est déjà ça mais ils auraient pu mieux faire !

Un commentaire

  1. Je suis entièrement d’accord avec vous – enfin du progrès ! La violation des données personnelles est quelque chose qui bien trop souvent n’est pas pris au sérieux, et pourtant les conséquences peuvent être catastrophiques, pour les individus et pour les entreprises. Donc oui, merci l’Europe.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *