Les méthodologies de sécurité limitent vos risques juridiques

S’assurer de respecter l’ensemble des obligations légales liées à la mise en oeuvre d’un traitement de données personnelles n’est jamais simple, en particulier dès lors que l’on touche aux aspects de sécurité informatique.

Fort heureusement, un énorme travail de rationalisation a été effectué en ce sens afin de tenter de s’assurer, de la manière la plus scientifique possible, que toutes les précautions utiles de sécurité ont bien été prises. De nombreuses méthodologies de sécurité ont ainsi émergé, les deux les plus citées étant sans doute Ebios (initiée par un ancien collègue) et Méhari.

Toutes deux ont avant tout pour finalité d’analyser un certain nombre de risques techniques, humains et organisationnels, afin d’assurer une sécurité optimale à un système d’information (dont on parle abondamment dans les formations CIL, au passage). Toutes deux permettent au responsable du traitement d’avoir, autant que possible, une pleine conscience des risques auxquels le système est exposé.

D’un point de vue juridique, ces méthodologies ont donc un intérêt majeur.

Tout d’abord, parce que la loi impose au responsable du traitement de réaliser une analyse de risques préalablement à la mise en oeuvre d’un traitement de données personnelles. En effet, d’un point de vue juridique, l’article 34 de la loi informatique et libertés impose au responsable du traitement : « de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

D’un point de vue juridique, ces méthodologies ont donc un intérêt majeur.

Avant de prendre des précautions utiles de sécurité, encore faut-il mesurer les risques auxquels on est exposé. Aussi, la loi impose cette étape fondamentale, et le fait de télescoper cette étape est sanctionné pénalement (5 ans d’emprisonnement et 300.000 euros d’amende, article 226-17 du Code pénal).

Ces méthodologies permettent donc de répondre en cela à l’obligation imposée par la loi.

Mais leur apport ne s’arrête pas là.

Un second bénéfice tient au fait que suivre ces méthodes permet également de formaliser l’analyse de sécurité qui est faite. Or, cette formalisation joue un rôle très important en droit. En effet, en cas de contentieux, les résultats formalisés pourront alors servir comme élément de preuve des efforts effectués pour assurer un niveau adéquat de sécurité. Et a contrario, ne pas avoir formalisé cette analyse de risque place le responsable du traitement dans une position  délicate, car il risque de n’avoir que de belles paroles à produire en cas de conflit. Il sera alors difficile de démontrer qu’une réelle réflexion a été menée en amont, ce qui, en d’autres termes, est le meilleur moyen d’engager sa responsabilité…

Cette étape est d’autant plus importante que la CNIL elle-même recommande « que l’évaluation des risques et l’étude générale de la sécurité soient entreprises systématiquement pour tout nouveau traitement informatique, et réexaminées pour les traitements existants« . Dès lors, comment respecter réellement cette recommandation sans formalisation ? De même, il faut noter que la Commission demande à ce « qu’un soin tout particulier soit apporté à définir les dispositions destinées à assurer la sécurité et la confidentialité des traitements et des informations, à les consigner dans un document de référence, à les tenir à jour et à veiller de manière permanente à leur respect« . Autant de raisons de recourir à ces outils méthodologiques et pratiques.

Voilà du moins pour le présent.

Si l’on regarde du côté de l’avenir avec le projet de nouveau règlement européen sur la protection des données personnelles, on constate que l’article 30.2 renforce cette évaluation systématique des risques du traitement des données personnelles : « À la suite d’une évaluation des risques, le responsable du traitement et le sous-traitant prennent les mesures prévues au paragraphe 1 pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite et la perte  accidentelle et pour empêcher toute forme illicite de traitement, notamment la divulgation, la diffusion ou l’accès non autorisés, ou l’altération de données à caractère personnel« .

Autant de raisons de se familiariser dès maintenant, si ce n’est déjà fait, avec ces outils pratiques !

Thiébaut Devergranne
Thiébaut Devergranne
Docteur en droit
Thiébaut Devergranne est expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus
formation RGPD
Legiscope
VOS CGV (gratuites)