La CNIL surarmée pour constater les fuites de données personnelles

Lors de l’examen du projet de loi sur la consommation, la CNIL s’est vue armer de nouvelles capacités d’enquêtes, notamment dans le cadre d’une fuite de données personnelles. Elle pourra ainsi mettre son nez dans des serveurs en ligne, sans pouvoir être accusée de piratage. Explications.

Une disposition a été ajoutée par les députés dans le projet de loi sur la Consommation. Elle vient modifier la loi Informatique et Libertés de 1978 pour doter les agents de la CNIL de nouvelles capacités dans leurs enquêtes.

À ce jour, quand une fuite de données personnelles est soupçonnée chez un opérateur, comme ce fut le cas chez TMG le prestataire des ayants droit pour Hadopi, les membres et les agents de la CNIL peuvent se voir délivrer tous documents utiles. Ils peuvent se rendre sur place ou convoquer les responsables du traitement ou encore « accéder aux programmes informatiques et aux données » etc. Toutes ces opérations se font contradictoirement comme le spécifie l’article 44 de la loi de 1978.

Une disposition du projet de loi sur la consommation va muscler considérablement ses pouvoirs. En plus des contrôles sur place, elle autorise ses membres à faire des constats en ligne. « Ils peuvent notamment, à partir d’un service de communication au public en ligne, consulter les données librement accessibles » explique l’article 48 du projet de loi Consommation, déjà voté par les députés.

Constatation et piratage informatique

Le texte est généreux puisqu’il autorise la CNIL à scruter toutes les données, mêmes celles « rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ». En clair, en cas de problème de cookies ou de fuite de données personnelles en ligne, la CNIL sera autorisée à mettre son nez même au plus profond des serveurs non sécurisés pour y effectuer les constats qui s’imposent. Le tout, à distance.

Une fois dans ces serveurs, les agents de la CNIL pourront « retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle». Ces mesures se font alors sans contradictoire, lequel n’est réservé qu’aux vérifications et visites effectuées sur place ou sur convocation.

Obligation de notifier les failles de sécurité

Cet ajout par les députés intervient au moment même où est publié un règlement européen important en matière de sécurité. Programmé pour le 25 août prochain, le texte oblige les responsables de traitement à notifier les violations de données à caractère personnel aux CNIL nationales. Cette alerte doit intervenir si possible dans les 24 heures. Dans les cas les plus graves (risque de vol, d’usurpation d’identité, d’atteinte à l’intégrité physique, etc.) le particulier doit lui-même être informé sauf… si le responsable de traitement a colmaté la brèche avec des mesures de protection appropriées.

Dans tous les cas, les pouvoirs accordés à la CNIL dans le projet de loi Consommation s’imbriqueront parfaitement avec cette obligation de notification ou pour constater les brèches d’une entreprise installée hors Union Européenne, par exemple.