Intrapole
VOUS  TES ICI : Accueil » Alertes Sécurité »

Les failles de sécurité face au droit des données à caractère personnel

Vol de données, installation de programmes malveillants, attaques concurrentielles… on trouve des failles de sécurité dans tous les systèmes d’information.

Garance Mathias | 01net. | le 03/12/10 à 17h26

L’activité même de l’entreprise repose sur son réseau, dont elle est complètement dépendante. Son talon d’Achille, en quelque sorte. Les failles ont donc des conséquences qui peuvent être dramatiques tant sur l’image que sur l’activité de l’entreprise : sa crédibilité sera atteinte si sa responsabilité (civile et/ou pénale) est engagée du fait des dommages causés à des tiers, volontairement ou non. Aussi, indépendamment des coûts pécuniaires conséquents (incluant, le cas échéant, la réparation du préjudice subi par les clients), il convient de s’interroger sur le jeu des clauses contractuelles entre l’éditeur et son client en cas de failles.

D’abord, il est utile de se référer au contrat de maintenance, qui doit contenir des informations concernant la procédure de résolution des bogues (notamment le temps nécessaire à la réparation) selon la nature de l’anomalie. A défaut, le droit commun pourrait alors s’appliquer, notamment dans le cadre de l’obligation d’information et de conseil sur les caractéristiques techniques. Quant à un quelconque vice de consentement (erreur, dol…), il appartiendra au client d’en démontrer l’existence (connue du prestataire) antérieure à la conclusion du contrat

Concernant la garantie des vices cachés, la preuve semble aussi être difficile à rapporter. Comme nous pouvons le constater, en l’absence de stipulations spécifiques et/ou de preuves circonstanciées, il risque d’être délicat d’imputer l’existence de failles de sécurité à l’éditeur.

En outre, signalons que sur le plan de la jurisprudence (arrêt de la Cour de Cassation en date du 27 octobre 2009), le fait de « découvrir » ou de signaler des failles de sécurité est répréhensible. En effet, la juridiction considère que le fait, sans motif légitime, en connaissance de cause, de violer l’une des interdictions prévues par le code pénal dans le cadre de l’accès et du maintien dans un système de données informatisées, est répréhensible. Rappelons que le « motif légitime » sera apprécié souverainement par les juges du fond, selon les circonstances de l’espèce.

C’est dans ce contexte qu’a été adoptée, le 23 mars 2010, en première lecture par le Sénat, la proposition de loi « visant à mieux garantir le droit à la vie privée à l’heure du numérique » qui instaure un nouveau cadre légal en cas de failles de sécurité concernant le traitement automatisé de données à caractère personnel (modifiant la loi informatique et libertés).

Une procédure de notification des failles

Cette proposition fait suite à l’adoption, en novembre 2009, des directives européennes dites du Paquet télécoms (cadre juridique communautaire des communications électroniques), qui devront être transposées au niveau national avant mai 2011. Cette proposition de loi encadre notamment le défaut de sécurisation (article 7) et met en place une procédure de notification des failles.

Si ce texte est adopté, le responsable du traitement automatisé, qui prend actuellement toutes les mesures pour préserver la sécurité des données (« notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès », selon l’article 34 de la loi 1978), devra avertir, « sans délais », le correspondant informatique et libertés (CIL) ou, à défaut la Cnil.

Il devra également prendre sans attendre, «  toutes les mesures nécessaires pour permettre le rétablissement de la protection de l’intégrité et de la confidentialité des données et informer la Cnil ainsi que les personnes concernées » En d’autres termes, le responsable du traitement a une double obligation, à savoir sécuriser les systèmes d’information contenant des données à caractère personnel et notifier les failles de sécurité.

Même si un décret pris en Conseil d’Etat devra déterminer les modalités et la forme de cette notification, il est fort probable que ce texte reprenne les spécifications issues des directives. En effet, le contenu minimum de la notification faite à l’abonné ou au particulier peut comporter la nature de la violation de données à caractère personnel, les points de contact auprès desquels des informations supplémentaires peuvent être obtenues, ainsi que les recommandations prises pour atténuer les conséquences négatives possibles de la violation de données à caractère personnel.

Concernant le point de contact, les entreprises victimes de failles de sécurité devront donc mettre en place notamment une ligne téléphonique dédiée ou encore un espace dédié accessible aux personnes. Concernant la Cnil, le contenu minimum de la notification est la suivante : les conséquences de la violation des données à caractère personnel, les mesures proposées ou prises pour y remédier. Egalement un inventaire sera dressé par le CIL, le cas échéant, répertoriant des violations de données à caractère personnel.

Deux obligations distinctes de transparence

Force est de constater que cette transposition semble s’orienter uniquement et seulement sur les failles de sécurité ayant un impact sur le traitement des données à caractère personnel. En effet, deux directives posent deux obligations distinctes de transparence dans le cadre de la notification des failles de sécurité.

D’une part, la directive 2009/140/CE du 25 novembre 2009, qui modifie les directives 2002/21/CE (cadre), 2002/19/CE (accès) et 2002/20/CE (autorisation), prévoit la création d’un nouveau chapitre intitulé Sécurité et intégrité des réseaux et des services (défaillance techniques…). Elle s’applique principalement aux fournisseurs d’accès qui auraient une perte de sécurité ayant un impact conséquent sur le fonctionnement des réseaux et des services. Dès cette faille découverte, il conviendra de la signaler à une autorité publique (la Cnil, l’Anssi…).

D’autre part, la directive Communications électroniques 2009/136/CE du 25 novembre 2009, qui modifie les directives 2002/22/CE (service universel), 2002/58/CE (vie privée et communications électroniques), prévoit cette obligation de notification en cas de failles touchant des données personnelles auprès (certainement) de la Cnil.

Contrairement aux pays anglo-saxons ou à l’Allemagne – où il existe déjà une obligation de déclaration des failles et de transparence pour les entreprises –, en France, les entreprises ne souhaitent pas divulguer leurs failles. Ainsi, cette sinistralité est difficile à évaluer et à appréhender. Néanmoins, ce projet tend à encadrer, à ce stade, uniquement les traitements de données personnelles, celui-ci pouvant encore évoluer jusqu’à son adoption.

Source : 01netPro