The Internets

Peu médiatisée, une disposition du Paquet Télécom, voté le 24 novembre dernier, oblige, en cas de violation de données à caractère personnel, tout fournisseur de services de communications électroniques à en avertir leur autorité de contrôle nationale. Mais aussi les abonnés concernés si cette violation est « de nature à affecter négativement » leurs données à caractère personnel ou leur vie privée. Jusqu’à présent aucun texte du droit communautaire n’imposait une telle obligation. Une avancée donc en matière de sécurité réseaux et de transparence vis-à-vis des utilisateurs, mais dont le champ d’application reste toutefois limité.

Dans la directive 2009/136/CE (pdf), l’article 4 sur la Sécurité des traitements dit ainsi que : « En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit sans retard indu l’autorité nationale compétente de la violation

Si cela peut toucher l’abonné, le fournisseur doit lui envoyer une notification qui décrit « au minimum la nature de la violation de données à caractère personnel et les points de contact auprès desquels des informations supplémentaires peuvent être obtenues et recommande des mesures à prendre pour atténuer les conséquences négatives possibles de la violation. Cela n’est toutefois pas nécessaire si le fournisseur « a prouvé, à la satisfaction de l’autorité compétente, qu’il a mis en œuvre les mesures de protection technologiques appropriées ». C’est-à-dire des mesures qui « rendent les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès ».

Mais la faiblesse du texte est qu’il est imposé aux seuls opérateurs et fournisseurs d’accès Internet. A aucun autre organe public ou privé. C’est-à-dire que tout site ou service en ligne – commerce et banque en ligne mais aussi Facebook, Google, etc. – se faisant voler ses bases de données (informations personnelles, données bancaires, etc.) n’est pas concerné par cette obligation. Ainsi Forever Living Products France n’a pas à s’inquiéter si son serveur FTP montre de nouveau une faille (grossière) de sécurité permettant d’accéder facilement à des informations sensibles. Elle n’aura aucune obligation d’en avertir qui que soit, et au passage pourra toujours attaquer au pénal et au civil un site qui l’aura rendu publique (après réparation).

Cela pourrait être justifié par le fait que la directive porte sur le secteur des communications électroniques, et que par ailleurs elle encourage « l’introduction de façon prioritaire, au niveau communautaire, d’exigences de notification explicites et obligatoires, applicables à tous les secteurs ». Cependant il aurait été possible d’adopter une directive d’extension qui aurait élargi son champ d’application à tout Internet.

Le texte précise que les autorités nationales compétentes « peuvent adopter des lignes directrices et, le cas échéant, édicter des instructions précisant les circonstances dans lesquelles le fournisseur est tenu de notifier la violation de données à caractère personnel, le format applicable à cette notification et sa procédure de transmission ». C’est-à-dire que chaque Etat Membre peut fixer les conditions à partir desquelles il juge la notification nécessaire et obligatoire. « Il est intéressant de noter que le texte prévoit une sorte de seuil (la notion d’impact significatif), pour éviter d’imposer une obligation de signalement au moindre incident. Peut-être conviendra-t-il dans chaque Etat membre de préciser cette notion, si le texte devait être voté » commentait en mars dernier Eric Freyssinet sur son blog « Criminalités numériques ».

En France, dans le cadre de la proposition de loi « visant à mieux garantir le droit à la vie privée à l’heure du numérique », les Sénateurs Yves Détraigne et Escoffier souhaitent créer une obligation de notification à la CNIL des failles de sécurité. L’article 7 prévoit ainsi qu’«en cas d’atteinte au traitement de données à caractère personnel, le responsable du traitement avertit sans délai la Commission nationale de l’informatique et des libertés qui peut, si cette atteinte est de nature à affecter les données à caractère personnel d’une ou de plusieurs personnes physiques, exiger du responsable du traitement qu’il avertisse également ces personnes».

Contacté par nos soins, le Sénat confirme qu’il s’agit d’élargir la directive - « trop restrictive » – à tout responsable de traitement, pas seulement d’Internet. Le fait de laisser la CNIL décider si l’atteinte est effective et s’il faut en avertir ou non les personnes concernées répond lui à une volonté « d’équilibre entre un souci transparence vis-à-vis des utilisateurs, un risque de psychose si ces derniers sont alertés à chaque incident alors que la plupart sont sans conséquences, et des attaques par derrière des systèmes alors que la faille n’est pas réparée ».

Le projet de loi devrait passer en commissions en février 2010, puis examiné en avril 2010.