Détail des obligations de sécurité
L’étendue de l’obligation de sécurité
1. – A quoi est obligé le responsable du traitement des données personnelles, précisément ? Pour le savoir, il faut se plonger dans l’article 34 de la loi ; celui-ci impose, en effet, au responsable du traitement : « de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Le responsable doit mettre en œuvre toutes les précautions utiles
Comme nous l’avons évoqué, le non-respect de cette obligation est sanctionné à hauteur de 5 ans d’emprisonnement et 300.000 euros d’amende, dans les termes de l’article 226-17 du Code pénal. En posant cette obligation, la loi impose en réalité au responsable du traitement de mener toute une série d’études et d’analyses techniques spécifiques.
2. – Afin de s’assurer du respect des obligations imposées par la loi, le responsable du traitement doit tout d’abord procéder à un découpage de chacune des contraintes juridiques contenues au sein de l’article 34. Celles-ci lui permettront ensuite de spécifier des exigences techniques dans la mise en place de son traitement. A charge pour les ingénieurs, RSSI et CIL de s’assurer que d’un point de vue technique, ces exigences légales ont bien été implémentées, et que toutes les mesures de sécurité adéquates seront bien prises par la suite (pour le détail de l’ensemble du découpage à réaliser ainsi que des actions à mener voir notre formation cil).
3. – C’est à partir de ce découpage que le responsable du traitement pourra, au regard des risques analysés dans le traitement,** définir l’ensemble des précautions utiles** pour assurer la sécurité des données. L’analyse devra prendre en compte tous les dispositifs techniques et organisationnels permettant de garantir la sécurité des données. Les mesures doivent tendre a minima à s’assurer que les données ne soient pas déformées, endommagées ou que des tiers non autorisés y aient accès. Cette réflexion préalable relative aux mesures mises en œuvre doit autant que possible faire l’objet d’une formalisation afin de conserver les traces du bon respect de ses obligations.
4. – Une fois ces mesures définies, le responsable devra enfin se soumettre à une troisième étape qui consiste à s’assurer pendant toute la durée opérationnelle du traitement que ces mesures sont effectivement mises en œuvre. La tâche est obtue et laborieuse, car elle impose de revoir avec régularité la sécurité du traitement et de le soumettre à questionnement. D’un point de vue technique cela signifie notamment mettre en place des audits réguliers de sécurité. Ce type d’audit est fréquemment réalisé par des entreprises spécialisées en sécurité informatique. Dans le cas où le responsable du traitement y aura recours, il lui appartiendra de rédiger un contrat spécifique à cet égard (article 35).
Qu’est-ce qu’un tiers non autorisé ?
5. – En effet, l’article 34 impose également au responsable du traitement que les données personnelles ne soient pas communiquées à des tiers non autorisés.
La loi impose que les données personnelles ne soient pas communiquées à des tiers non autorisés
La loi ne donne cependant guère plus de précisions quant aux personnes disposant de cette qualité. On peut dire, pour éliminer immédiatement une partie du problème, que sont bien des tiers autorisés les personnes qui sont, en vertu de dispositions légales particulières, autorisées à accéder à ces données. C’est le cas par exemple de le CNIL, des magistrats et des policiers, dans le cadre de leurs attributions. Dans pareille espèce, l’autorisation provient de la loi et la question est assez simplement traitée. Même remarque pour des personnes extérieures à l’organisation responsable du traitement des données personnelles. Sauf cas particulier elles ne sont pas autorisées à accéder aux données personnelles et doivent être considérées comme des tiers non autorisés. Plus délicate est toutefois la question de savoir quelles sont les personnes qui, travaillant au sein de l’organisation responsable du traitement, disposent d’un mandat d’accès régulier aux données personnelles.
6. – La question a été posée à la Cour de cassation dans une affaire où plusieurs administrateurs système avaient eu accès à des données médicales lors de la mise en place d’un logiciel de gestion de dossiers de santé (Cass. crim., 3 juin 2008, n°08-80467). Ceux-ci, pourtant, étaient liés par un contrat de travail à l’organisation qui les employait, contrat qui comportait une clause de confidentialité. Celle-ci n’a du moins pas suffit à faire obstacle au procès… Dans cette affaire, la Cour jugeait que les administrateurs ne pouvaient être considérés comme des tiers non autorisés au sens de l’article 34, car ils agissaient bien dans l’exercice de leurs fonctions et sous clause de confidentialité. La solution fait sens car il est nécessaire que des actions de paramétrages soient menées de temps à autre sur les logiciels, ne serait-ce que pour procéder aux mises à jour de sécurité, obligation du reste imposée par la loi. La solution imposée par la Cour de cassation ne peut cependant pas être généralisée. En effet, il ne suffit pas d’être lié par un contrat de travail à une organisation et par une clause de confidentialité pour qu’un mandat d’accès aux données soit confié, de droit : encore faut-il en avoir réellement besoin pour l’exercice de ses missions ! Les données personnelles des salariés, par exemple, ne doivent pas être accessibles légalement à tout un chacun au sein de l’organisation. Tout est donc affaire de circonstances. Cela impose néanmoins au responsable du traitement de prendre les précautions utiles pour compartimenter rigoureusement l’accès aux données, y compris au sein de son organisation.
Les décrets de sécurité
7. – Il faut noter également que le législateur a prévu la possibilité de préciser ses exigences en matière de sécurité par le recours à des décrets régissant des traitements particulièrement à risque. L’article 34 dispose en effet que « Des décrets, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l’article 8« . La liste des traitements visés est cependant limitative, et sont concernés : « Les traitements nécessaires à la sauvegarde de la vie humaine, mais auxquels la personne concernée ne peut donner son consentement par suite d’une incapacité juridique ou d’une impossibilité matérielle« , ainsi que « Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d’une profession de santé, ou par une autre personne à laquelle s’impose en raison de ses fonctions l’obligation de secret professionnel prévue par l’article 226-13 du code pénal« .
Lire la suite : la jurisprudence et l’obligation de sécurité
Le plan de l'article :
- La sécurité des données personnelles (introduction)
- Le détail des obligations de sécurité
- La jurisprudence et l'obligation de sécurité des données personnelles
- Le pouvoir de la CNIL d'édicter des règlements de sécurité
- Les obligations de sécurité des données personnelles et la sous-traitance
Thiébaut Devergranne
Ils nous ont fait confiance
Automatisez votre conformité RGPD
RGPD (ressources essentielles)
- RGPD le nouveau règlement sur la protection des données
- GDPR les actions indispensables de conformité
- Les 3 registres RGPD que vous devez mettre en place
- Comment mettre Google Analytics en conformité au RGPD
- Comment mettre en place vos mentions légales RGPD
- Comment gérer des données sensibles RGPD
- Tous les posts ...
VOS CGV (gratuites)
- Téléchargez le modèle type de conditions générales de vente