Dans le cadre du Forum international sur la cybercriminalité, la CNIL nous a pointé les premiers éléments de son bilan annuel, notamment s’agissant de l’article 34 de la loi Informatique et Libertés. Un article qui oblige le responsable de traitement à prendre des précautions pour empêcher les atteintes aux données personnelles.
Selon cette disposition, « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Autant dire un article phare qui permet à la CNIL de mettre en demeure et éventuellement sanctionner les acteurs qui n’auraient pas compris l’importance de sécuriser ces données.
Dans le cadre du salon organisé à Lille sur la cybercriminalité, nous avons appris que sur les 82 mises en demeure adressées l’an passé, 70 ont visé des manquements à ce fameux article 34. Cette prévalence se constate aussi sur les sanctions : 14 ont été prononcées en 2016, et 9 se sont appuyées sur une méconnaissance persistante de cet article.
La CNIL constate par ailleurs une augmentation significative des violations de données à caractère personnel, en retenant le nombre de signalements externes effectués sur son site. « Les signalements se sont multipliés et nous avons fait le choix d’y prêter une attention particulière, compte tenu des enjeux pour les personnes concernées mais aussi à l’aube du règlement européen, qui va généraliser l’obligation de notification des violations de données ». Le GDPR, ou règlement sur les données personnelles, est le futur texte européen attendu en mai 2018. Une révolution puisque celui-ci appliquera les mêmes normes de protection à l’ensemble des États membres, sans possibilité de « forum shopping ».
« Parmi les signalements », ajoute l’autorité indépendante, « la faille est due assez fréquemment à un défaut de conception dès l’origine, plutôt qu'à la suite d’une attaque informatique. La CNIL encourage à cet égard le security by design et également le privacy by design ».
Visiblement la Commission veut pousser plus en avant ce mécanisme de signalement : « Les personnes constatant de telles failles sont invitées à les signaler à la CNIL via le formulaire de contact en ligne ou, le cas échéant (notamment s’ils sont directement concernés), par une plainte. »
Commentaires (1)
#1
Si on parle du FIC, c’est le Forum International de la Cybersécurité, pas de la cybercriminalité… (je n’ai pas trouvé le bouton de signalement sur version mobile)