S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

La CNIL surarmée pour constater les fuites de données personnelles

Piratage informatique légal

Lors de l’examen du projet de loi sur la consommation, la CNIL s’est vue armer de nouvelles capacités d’enquêtes, notamment dans le cadre d’une fuite de données personnelles. Elle pourra ainsi mettre son nez dans des serveurs en ligne, sans pouvoir être accusée de piratage. Explications.

undefined

 

Une disposition a été ajoutée par les députés dans le projet de loi sur la Consommation. Elle vient modifier la loi Informatique et Libertés de 1978 pour doter les agents de la CNIL de nouvelles capacités dans leurs enquêtes.


À ce jour, quand une fuite de données personnelles est soupçonnée chez un opérateur, comme ce fut le cas chez TMG le prestataire des ayants droit pour Hadopi, les membres et les agents de la CNIL peuvent se voir délivrer tous documents utiles. Ils peuvent se rendre sur place ou convoquer les responsables du traitement ou encore « accéder aux programmes informatiques et aux données » etc. Toutes ces opérations se font contradictoirement comme le spécifie l’article 44 de la loi de 1978.


Une disposition du projet de loi sur la consommation va muscler considérablement ses pouvoirs. En plus des contrôles sur place, elle autorise ses membres à faire des constats en ligne. « Ils peuvent notamment, à partir d’un service de communication au public en ligne, consulter les données librement accessibles » explique l’article 48 du projet de loi Consommation, déjà voté par les députés.

Constatation et piratage informatique

Le texte est généreux puisqu’il autorise la CNIL à scruter toutes les données, mêmes celles « rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ». En clair, en cas de problème de cookies ou de fuite de données personnelles en ligne, la CNIL sera autorisée à mettre son nez même au plus profond des serveurs non sécurisés pour y effectuer les constats qui s’imposent. Le tout, à distance.


Une fois dans ces serveurs, les agents de la CNIL pourront « retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle». Ces mesures se font alors sans contradictoire, lequel n’est réservé qu’aux vérifications et visites effectuées sur place ou sur convocation.

Obligation de notifier les failles de sécurité

Cet ajout par les députés intervient au moment même où est publié un règlement européen important en matière de sécurité. Programmé pour le 25 août prochain, le texte oblige les responsables de traitement à notifier les violations de données à caractère personnel aux CNIL nationales. Cette alerte doit intervenir si possible dans les 24 heures. Dans les cas les plus graves (risque de vol, d’usurpation d’identité, d’atteinte à l’intégrité physique, etc.) le particulier doit lui-même être informé sauf… si le responsable de traitement a colmaté la brèche avec des mesures de protection appropriées.

 

Dans tous les cas, les pouvoirs accordés à la CNIL dans le projet de loi Consommation s’imbriqueront parfaitement avec cette obligation de notification ou pour constater les brèches d’une entreprise installée hors Union Européenne, par exemple.

Marc Rees

Journaliste, rédacteur en chef

Google+

Publiée le 29/06/2013 à 12:00

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 14 commentaires

Avatar de tAran INpactien
tAran Le samedi 29 juin 2013 à 12:20:46
Inscrit le samedi 21 mai 05 - 4799 commentaires
J'ai du louper un épisode, quand les données personnelles sont "à l'air libre" sur google ou autre, ce n'est pourtant ni du piratage, ni une intrusion, donc qu'est ce qui change ?
Avatar de Bejarid INpactien
Bejarid Le samedi 29 juin 2013 à 13:32:03
Inscrit le lundi 5 mai 08 - 1365 commentaires
Pour l'instant il n'y a pas de jurisprudence à ce sujet, donc accéder à un serveur non sécurisé à cause d'une erreur, mais qui était configuré pour, est potentiellement condanable.

J'vois mal un juge rendre une décision dans ce sens, mais y a des entreprises qui ont essayé d'attaquer la dessus (avant de se rétracter), donc je suppose que le gouvernement blinde la CNIL pour qu'elle fasse son boulot sereinement.
Avatar de tAran INpactien
tAran Le samedi 29 juin 2013 à 14:00:08
Inscrit le samedi 21 mai 05 - 4799 commentaires
Pour l'instant il n'y a pas de jurisprudence à ce sujet, donc accéder à un serveur non sécurisé à cause d'une erreur, mais qui était configuré pour, est potentiellement condanable.

J'vois mal un juge rendre une décision dans ce sens, mais y a des entreprises qui ont essayé d'attaquer la dessus (avant de se rétracter), donc je suppose que le gouvernement blinde la CNIL pour qu'elle fasse son boulot sereinement.

Il y a des jurisprudences..

Autre exemple
Avatar de Bejarid INpactien
Bejarid Le samedi 29 juin 2013 à 14:08:53
Inscrit le lundi 5 mai 08 - 1365 commentaires

Notons que ces jugements se sont fait sur un particulier qui faisait ça pour la gloire, pas dans le cadre d'une structure qui est là pour sanctionner (enfin normalement, ce qui en pose niveau animosité envers l'entreprise :p).

Ces jurisprudences ne sont pas applicable telles quelles, d'ou la clarification.
Avatar de tAran INpactien
tAran Le samedi 29 juin 2013 à 14:16:15
Inscrit le samedi 21 mai 05 - 4799 commentaires

Notons que ces jugements se sont fait sur un particulier qui faisait ça pour la gloire, pas dans le cadre d'une structure qui est là pour sanctionner (enfin normalement, ce qui en pose niveau animosité envers l'entreprise :p).

Ces jurisprudences ne sont pas applicable telles quelles, d'ou la clarification.

En gros ce serait ballot qu'un organisme d'état ait moins de possibilités de recours qu'un particulier.

Si c'est ça je comprends mieux ce que tu veux dire

Il y a 14 commentaires

;