Certes, la procédure législative n’est de loin pas terminée et présage encore d’importantes modifications du texte, néanmoins les principes suivants ont pour l’instant été adoptés :
- Tout d’abord, en cas de « violation » (concept qu’il reste à déterminer précisément), le responsable du traitement devra notifier la CNIL, soit directement, s’il n’a pas nommé de CIL, soit par l’intermédiaire de son correspondant informatique et libertés. Il devra également prendre immédiatement les mesures nécessaires pour rétablir la sécurité du traitement.
- Plus délicat, celui-ci devra ensuite informer les personnes dont les données ont été compromises, sauf dans certains cas particuliers (traitements de souveraineté, …).
- Enfin, l’organisation devra conserver à jour un registre de l’ensemble des atteintes aux traitements des données personnelles.
- Des sanctions importantes : 5 ans d’emprisonnement et 300.000 euros d’amende (par renvoi de l’article 226-17 du Code pénal).
Il n’est donc pas illégitime de parler d’un « full disclosure » à la française.
On peut parler d’un « full disclosure » à la française
En conséquence, cette proposition devrait avoir un impact non négligeable sur le marché de la sécurité. Car, en imposant aux organisations de révéler à leurs propres clients, employés et partenaires, l’existence de failles de sécurité, la loi impose au responsable du traitement une contrainte particulièrement douloureuse à mettre en œuvre. Les entreprises n’ont guère de meilleur capital que leur image de marque et la confiance que l’on peut y accorder. Il y a donc fort à gager que les organisations tenteront autant que possible de nuancer la portée de conséquences attachées à la violation de sécurité. Reste donc à voir quelle forme exacte devra revêtir cette notification de sécurité. La loi prévoit d’ores et déjà que celle-ci sera précisée par décret, ce qui permettra sans doute de limiter des dérives et imposer une forme standard et uniformisée à toutes les organisations. Il n’en reste pas moins que l’impact sera psychologiquement difficile à assumer et qu’un renforcement des mesures de sécurité est à prévoir pour les fichiers les plus sensibles. Le meilleur conseil que l’on peut donner aux organisation est de se préparer dès maintenant à la mise en place de ce régime juridique afin de gagner en visibilité et en expérience.
Une réserve importante néanmoins peut être adressée au « registre » des atteintes de sécurité. En effet, le dispositif actuel reste silencieux quant aux personnes à même de pouvoir le consulter. A l’heure où l’on parle d’intelligence économique et d’informations protégées, il est dommage de ne pas avoir précisé qui, des concurrents, clients, institutionnels, entreprises étrangères, aura accès à ce registre des « bourdes » informatiques, ni sa forme exacte.
Si cette proposition de loi peut être saluée, on peut également exprimer quelques regrets. L’obligation de notification aurait pu être étendue à l’ensemble des éditeurs de logiciels concourants aux traitements de données personnelles. En effet, il eut été logique d’imposer que les éditeurs informent leurs propres clients des failles de sécurité dont ils ont connaissance et des moyens pour y remédier. Ce schéma permettrait une remontée des incidents de sécurité plus efficace et rapide, car il faut être clair : nombre de « violations » de données personnelles ont pour origine une défaillance logicielle.
En substance voici les dispositions citées de la proposition de loi :
Article 7
« Art. 34. – Le responsable du traitement met en œuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel traitées contre toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation, la diffusion, le stockage, le traitement ou l’accès non autorisés ou illicites.
« En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant « informatique et libertés » ou, en l’absence de celui-ci, la Commission nationale de l’informatique et des libertés. Le responsable du traitement, avec le concours du correspondant « informatique et libertés », prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l’intégrité et de la confidentialité des données. Le correspondant « informatique et libertés » en informe la Commission nationale de l’informatique et des libertés. Si la violation a affecté les données à caractère personnel d’une ou de plusieurs personnes physiques, le responsable du traitement en informe également ces personnes, sauf si ce traitement a été autorisé en application de l’article 26. Le contenu, la forme et les modalités de cette information sont déterminés par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés. Un inventaire des atteintes aux traitements de données à caractère personnel est tenu à jour par le correspondant « informatique et libertés ».
« Des décrets, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés aux 2° et 6° du II de l’article 8. »