Le récent piratage du système informatique de Bercy (et peut être d’autres structures de l’exécutif) nous permet de refaire le point sur une proposition de loi pour le moins volontariste en matière de sécurisation informatique. Signée par les sénateurs Yves DÉTRAIGNE et Anne-Marie ESCOFFIER, elle vise « à mieux garantir le droit à la vie privée à l’heure du numérique ».
L’un de ses articles (7) veut justement obliger le responsable d’un traitement informatique à « mettre en œuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel. » (*)
Un texte vaste, mais pas absolu
Une obligation de sécurisation large contre les violations entraînant de manière accidentelle ou illicite « la destruction, la perte, l’altération, la divulgation, la diffusion, le stockage, le traitement ou l’accès non autorisés ou illicites ».
Le texte est donc très vaste mais pas global. La Commission des lois du Sénat avait estimé que cette obligation de sécurisation « ne s'applique pas aux fichiers de police ». Pourquoi ? Tout simplement parce qu’« Il ne paraît pas envisageable, par exemple, d'informer des personnes inscrites dans un fichier de renseignement que des données les concernant ont été perdues. » (voir notre actualité)
Obligation d'information des victimes
S’il y a piratage, la proposition oblige d’abord la personne chargée du traitement à avertir la CNIL ou son représentant (le CIL ou correspondant "informatique et libertés"). S’impose alors une réaction rapide : une fois l’alerte lancée, il faut prendre « immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l’intégrité et de la confidentialité des données. »
Et si les données personnelles d’individus sont affectées ? Le projet de loi oblige le responsable du traitement à les informer de ce piratage. Selon la commission des lois du Sénat, il s’agit ici d’ instaurer « une obligation d'information sur les failles de sécurité, telle qu'elle existe par exemple dans la majorité des Etats américains, afin d'inciter les responsables de traitement des données personnelles à mettre en oeuvre les mesures de protection adéquates. En effet, les conséquences pour la crédibilité d'une entreprise ou d'un organisme d'une telle information sont potentiellement importantes et peuvent donc l'amener à renforcer ses procédures de sécurité ». Protéger les données personnelles par l’alerte, une obligation d’information qui, d'une certaine manière, joue le rôle de peine infamante pour celui qui en est tenu.
Un texte en sommeil depuis un an
La proposition de loi avait été votée au Sénat le 23 mars 2010. Le texte avait été alors transmis le lendemain à l’Assemblée nationale, dans les mains de la Commission des lois. Depuis ? Plus rien. « Elle est en instance (…) si elle est un jour à l’ordre du jour de l’Assemblée, vous le verrez forcément » nous indique laconiquement la Commission des lois
(*) Pour le cas de Bercy, cependant, à plusieurs reprises il a été dit que des dossiers fiscaux personnels n’avaient pas été menacés...
L’un de ses articles (7) veut justement obliger le responsable d’un traitement informatique à « mettre en œuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel. » (*)
Un texte vaste, mais pas absolu
Une obligation de sécurisation large contre les violations entraînant de manière accidentelle ou illicite « la destruction, la perte, l’altération, la divulgation, la diffusion, le stockage, le traitement ou l’accès non autorisés ou illicites ».
Le texte est donc très vaste mais pas global. La Commission des lois du Sénat avait estimé que cette obligation de sécurisation « ne s'applique pas aux fichiers de police ». Pourquoi ? Tout simplement parce qu’« Il ne paraît pas envisageable, par exemple, d'informer des personnes inscrites dans un fichier de renseignement que des données les concernant ont été perdues. » (voir notre actualité)
Obligation d'information des victimes
S’il y a piratage, la proposition oblige d’abord la personne chargée du traitement à avertir la CNIL ou son représentant (le CIL ou correspondant "informatique et libertés"). S’impose alors une réaction rapide : une fois l’alerte lancée, il faut prendre « immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l’intégrité et de la confidentialité des données. »
Et si les données personnelles d’individus sont affectées ? Le projet de loi oblige le responsable du traitement à les informer de ce piratage. Selon la commission des lois du Sénat, il s’agit ici d’ instaurer « une obligation d'information sur les failles de sécurité, telle qu'elle existe par exemple dans la majorité des Etats américains, afin d'inciter les responsables de traitement des données personnelles à mettre en oeuvre les mesures de protection adéquates. En effet, les conséquences pour la crédibilité d'une entreprise ou d'un organisme d'une telle information sont potentiellement importantes et peuvent donc l'amener à renforcer ses procédures de sécurité ». Protéger les données personnelles par l’alerte, une obligation d’information qui, d'une certaine manière, joue le rôle de peine infamante pour celui qui en est tenu.
Un texte en sommeil depuis un an
La proposition de loi avait été votée au Sénat le 23 mars 2010. Le texte avait été alors transmis le lendemain à l’Assemblée nationale, dans les mains de la Commission des lois. Depuis ? Plus rien. « Elle est en instance (…) si elle est un jour à l’ordre du jour de l’Assemblée, vous le verrez forcément » nous indique laconiquement la Commission des lois
(*) Pour le cas de Bercy, cependant, à plusieurs reprises il a été dit que des dossiers fiscaux personnels n’avaient pas été menacés...
