Fuites de données personnelles : le nouveau cauchemar des entreprises 

Le 20 janvier 2012 (11:46) - par Valery Marchive

Imprimer Envoyer par e-mail

Rubriques : Gestion des données - Sécurité - Externalisation - Législation Tags : europe - legislation - donnees-personnelles - fuite-donnees - bruxelles

Le projet de réglementation européenne qui doit être présenté officiellement la semaine prochaine intègre de nombreuses dispositions qui auront vraisemblablement les faveurs des défenseurs de la vie privée et des données personnelles. Mais elles promettent de renforcer considérablement le risque juridique sur les entreprises.

On sait depuis la fin décembre que la Commission européenne s’apprête à rendre obligatoire la notification des fuites de données personnelles aux personnes concernées et aux autorités de protection des données personnelles compétentes - dont, en France, la CNIL. Nos confrères de l’AFP ont eu accès, en début de semaine, à des documents confirmant les informations précédemment diffusées par le Financial Times, à savoir que les entreprises pourraient encourir une amende d’un montant s’élevant jusqu’à 5 % de leur chiffre d’affaires mondial en cas de défaut de notification dans un délai de 24h de toute fuite de données personnelles. Ces documents, que nous avons pu consulter, sont des épreuves de travail datant de la fin novembre 2011. La version finale, qui doit être présentée le 25 janvier prochain, devrait en être très proche.

Pour mémoire, le 14 juillet dernier, Bruxelles avait ouvert une consultation sur les règles pratiques de notification des pertes de données personnelles. Consultation close le 9 septembre dernier. Mais deux autres consultations, sur le même thème, l’avait précédée en 2009 et 2010. Forte de ces travaux, Viviane Reding, vice-présidente de la Commission européenne et Commissaire à la Justice, évoquait, le 7 décembre dernier, le besoin d’un cadre réglementaire «qui protège les individus et stimule l’économie numérique ». En particulier, elle indiquait vouloir que les citoyens soient «toujours en capacité de prendre des décisions informées sur la manière dont leurs données personnelles sont utilisées. Les entreprises Internet doivent assurer la transparence ». Surtout, pour Viviane Reding, il apparaît essentiel que «les entreprises prennent la sécurité des données personnelles plus au sérieux. [...] Lorsque qu’une fuite de données survient, l’entreprise responsable devra en informer l’autorité compétente nationale immédiatement ainsi que les individus dont les données ont été compromises ou volées. [...] Rien ne peut excuser que l’on n'informe pas les personnes concernées de ce qui est arrivé à leurs données personnelles. Ce risque de fuites de données est préjudiciable à la confiance des personnes dans l’économie numérique.» 

Moderniser la réglementation en vigueur

C’est dans ce contexte que l’on découvre un projet de directive qui renforce sensiblement la protection des données personnelles et risque de s’avérer fortement contraignant pour les entreprises. Le texte vise logiquement tous les traitements des données personnelles, de manière totalement ou partiellement automatisée, mais aussi les fichiers à l’ancienne, avec un traitement manuel. Il laisse toutefois de côté les activités sortant des compétences de l’Union, comme la sécurité nationale. Les institutions et agences de l’Union européenne sont également exclues du champ d’application du texte. 

Par certains côtés, il présente des allures de PCI DSS appliqué aux données personnelles. Ainsi, les traitements sont exécutés sous la responsabilité d’un donneur d’ordre, et les données sont stockées sous une forme qui limite, dans le temps, l’accès en clair. Un accès qui doit d’ailleurs être restreint aux personnes qui en ont besoin pour leurs tâches professionnelles, et pour le temps de réalisation de ces tâches. Les entreprises collectant des données personnelles ou en assurant le traitement doivent, selon le texte, mettre en oeuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données et les restrictions d’accès. La Commission envisage même de définir elle-même des spécifications pour les mesures techniques.

Le projet de directive prévoit une responsabilité forte du donneur d’ordre : il doit s’assurer que celui qui exécute les traitements pour lui apporte des garanties techniques et organisationnelles suffisantes. Et si ce dernier veut sous-traiter tout ou partie du travail, il ne doit le faire qu’avec l’accord du donneur d’ordre.

De la même manière, le responsable des traitements doit mettre en place les mesures techniques et organisationnelles pour interdire les accès - en lecture, mais aussi effacement ou modification - non autorisés aux données. 

En cas de transfert des données à l’étranger, il appartiendra au donneur d’ordre de vérifier que le transfert n’est pas préjudiciable au respect de la législation en vigueur en Europe. Tout donneur d’ordre étranger doit avoir un représentant dans l’Union.

En outre, le texte prévoit que les États membres doivent prendre les mesures nécessaires pour faire avancer la coopération sur la protection des données. Ils se doivent assistance mutuelle. 

Un important devoir de contrôle et d’information

Les données collectées doivent être en rapport avec le but poursuivi. Et la collecte ne devra se faire qu’avec le consentement explicite des intéressés. Ceux-ci devront en outre être informés du but poursuivi, des données qu’il sera obligatoire de communiquer et facultatifs - ainsi que les conséquences d’un refus de fournir ces dernières. Ils devront pouvoir connaître les buts poursuivis dans le cadre de la collecte de leurs données, la période de rétention, l’existence d’un droit d’accès, de rectification et de suppression, mais aussi les destinataires des données ou leur nature; si le responsable prévoit de transférer les données à un pays tiers ou une organisation internationale et le niveau protection apporté par le destinataire. Bref, le devoir d’information des particuliers apparaît très large. 

Le responsable des traitements devra être connu des personnes dont les données seront collectées, de même que le directeur chargé de la protection des données personnelles. Un poste important dont le rôle est précisément défini par le texte, de même que sa position dans l’organisation. En clair, il ne doit pas être qu’un alibi. 

De lourdes sanctions

Mais le point marquant du texte est probablement l’obligation, dans les 24h, de notification de toute fuite de données. Une notification qui devra être assortie d’une description de la nature de l’incident et des données concernées, ainsi que de recommandations d’actions correctrices, des conséquences envisageables et des mesures proposées et adoptées. À moins que le donneur d’ordre ait fait la démonstration à l'autorité de contrôle qu’il a mis en oeuvre les mesures techniques appropriées pour répondre à la fuite. Des mesures rendant les données inintelligibles à toute personne qui chercherait à accéder aux données compromises dans la fuite. 

Le projet de directive prévoit des sanctions administratives importantes. Et pour cause : elles se veulent «dissuasives ». Ainsi, un premier niveau de sanction, entre 100 et 300 000 euros ou 1 % du CA mondial pour une entreprise, est prévu en cas de défaut de communication avec les titulaires des informations concernées, ou de demande de paiement pour l’accès à ces informations. En cas de refus d’accès à l’information, de suppression, ou de modification, refus intentionnel ou par négligence, ou encore fourniture de l’information de manière partielle ou pas assez transparente, il faudra compter entre 500 et 600 000 euros ou 3 % du CA mondial. Enfin, en cas de défaut dans la communication des fuites, ou encore dans l’adoption des mesures appropriées à la protection des données traitées, ce sera de 100 000 à 1 000 000 € ou 5 % du CA monde d’une entreprise... 

Et bien sûr, à ces sanctions administratives pourraient encore s'ajouter le fruit de poursuites engagées par les victimes.

livres blancs avec LesSourcesIT.fr

Justifier la sécurité informatique - Gérer les risques et garantir la sécurité de votre réseau

L'objectif d'un programme de sécurité est de choisir et de déployer des contre-mesures performantes pour atténuer le…


Security Connected : Optimisez votre entreprise - Les dix grands thèmes de la sécurité que doit maîtriser tout dirigeant d'entreprise

Les entreprises sont en perpétuelle évolution. Selon une étude récente de Gartner, le rôle des directeurs informati…

vues 1690 lectures commentaire 2 commentaire(s) recommandation notez cet article
5
Les commentaires

Réagissez à cet article

Votre Pseudo

Commentaire

Pertinence du commentaire : 5
Par Peutêtre
 Le 23/01/2012 à 13:10
Va-t-on continuer longtemps à plaindre des entreprises qui s'acharne à réaliser des applications sur un réseau basés sur des concepts d'y a trente ans conçu par des Hippies payé par l'armée américaine, et détournant un protocole initialement prévu pour butiner des documents ? Bon, mais c'est peut-être aussi pas complètement leur faute, les institutions n'ont visiblement pas joué leur rôle, Internet est un désert, un terrain vague, une cour des miracles, une instance du monde voué au chacun pour soi et à la loi du plus fort. Le coût de mise en œuvre de toute règlementation ne peut être qu'exorbitante, les Anonymous ne devrait pas se faire de soucis.
Noter ce commentaire
Pertinence du commentaire : 0
Par jack
 Le 23/01/2012 à 13:59
Absolument d'accord sur le fond !
"Des entreprises qui s'acharnent à réaliser des applications" mais surtout des profits et ce d'une façon objectivement inconséquente, puisque la plate forme technique n'offre quasiment aucune garantie de sécurité.
Si le Net reste ce qu'il est, l'incurie des états et des législateurs ne pourra être rattrapée qu'au prix de réglementations draconiennes induisant non seulement une énorme insécurité mais aussi en réaction une surveillance permanente tous azimuts. La "planète intelligente" risque surtout d'être une planète paranoïaque et policière aux antipodes de l'utopie libertaire puis libérale qu'on nous avait tant vanté.
Tout ceci à déjà eu un coût considérable et je doute que les "géants du web" soit prêts à renoncer à leurs investissements. Ce sera donc à nous utilisateurs professionnels mais aussi et surtout heureux contribuables et consommateurs épanouis de financer et de supporter toutes les conséquences de ce "vent de folie" planétaire que fut l'avènement prématuré d'internet.
Noter ce commentaire
Toute l'actualité
Aujourd'hui rss Sur le même
sujet Du même
auteur
publicité
Les plus populaires
Les plus lus Les mieux
notés Les plus
commentés
publicité
Les dossiers du MagIT
Tous les dossiers du MagIT...

Facteurs clés des nouvelles conceptions autour des campus LAN


Les réseaux de campus LAN ont été conçus autour d’un certain nombre de principes, comme le modèle clients/serveurs. Bien que cette forme de distribution d’applications per…

Démystifier les mythes sur le 10Gigabit Ethernet


Alors que le 10Gigabit Ethernet (GbE) est largement disponible depuis plusieurs, la technologie et encore nouvelle pour de nombreux administrateurs réseau. Cet E-Guide démystifie…
livres blancs avec LesSourcesIT.fr
Recevez les newsletters du MagIT
L'essentiel IT : L'actu IT au quotidien
événements

TechDays 2012 : développeurs et projets en avant

1 2 3 4 5   
Sans frontière

Presse IT

Evénements

blogs

Presse

Click Here