dimanche 25 septembre 2011

Notification des pertes de données en France


Il est avéré que les pertes et fuites de données sont pour les entreprises une des plus importantes  menaces auxquelles elles doivent faire face. Les utilisateurs fichés risquent en conséquence, à chaque fois, de voir leurs données personnelles corrompues, dévoilées et utilisées à des fins frauduleuses, entraînant notamment des usurpations d’identité.

Plusieurs pays dans le monde ont déjà choisi la transparence et donc l’obligation pour les entreprises de déclarer leurs pertes de données. Ce n’était jusqu’à présent pas le cas de la France.

Un premier pas vient d’être franchi par la publication au Journal Officiel, le 26 Août dernier, d’une ordonnance relative aux communications électroniques (JORF N° 0197-ordonnance N° 2011-1012) et qui complète l’article 34 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Ainsi, « En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l'informatique et des libertés.
« Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d'un abonné ou d'une autre personne physique, le fournisseur avertit également, sans délai, l'intéressé.
« La notification d'une violation des données à caractère personnel à l'intéressé n'est toutefois pas nécessaire si la Commission nationale de l'informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation. »

De plus, ce texte modifie également le Code Pénal créant un article 226-17-1 qui précise que « Le fait pour un fournisseur de services de communications électroniques de ne pas procéder à la notification d'une violation de données à caractère personnel à la Commission nationale de l'informatique et des libertés ou à l'intéressé, en méconnaissance des dispositions du II de l'article 34 bis de la loi n° 78-17 du 6 janvier 1978, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende. »

Il était temps ! Car aucune statistique sérieuse pour mesurer le phénomène n’est encore disponible en dehors des pays anglo-saxons.

Mais il ne s’agit que d’une première étape qui ne touche pas toutes les entreprises où nous sommes tous fichés ! En effet, seules les firmes du secteur des télécommunications sont aujourd’hui concernées.

L’Europe semble vouloir réagir, notamment suite aux vagues de piratage ayant touché tant les administrations que les grandes entreprises. la Commission veut rendre obligatoire et publique la déclaration de perte ou de fuites de données pour les entreprises. Encore faut-il que ces mêmes entreprises soient en mesure de constater les pertes ou fuites et capables de déterminer ce qui a été volé !

En attendant, la meilleure solution consiste à se protéger contre ce phénomène de plus en plus fréquent.

Mettre en place les outils capables de détecter les anomalies et permettant de la manière la plus souple possible de réagir pour éviter le pire constitue l’arme indispensable pour faire face aux obligations d’information de la CNIL.  Sans compter que chaque dirigeant devrait avoir présent à l’esprit que chaque fuite ou perte de données (personnelles ou pas) constitue une atteinte aux intérêts fondamentaux de l’entreprise, à sa crédibilité et à sa trésorerie !