Il est avéré que les
pertes et fuites de données sont pour les entreprises une des plus
importantes menaces auxquelles
elles doivent faire face. Les utilisateurs fichés risquent en conséquence, à chaque
fois, de voir leurs données personnelles corrompues, dévoilées et utilisées à
des fins frauduleuses, entraînant notamment des usurpations d’identité.
Plusieurs pays dans
le monde ont déjà choisi la transparence et donc l’obligation pour les
entreprises de déclarer leurs pertes de données. Ce n’était jusqu’à présent pas
le cas de la France.
Un premier pas
vient d’être franchi par la publication au Journal Officiel, le 26 Août dernier,
d’une ordonnance relative aux communications électroniques (JORF N°
0197-ordonnance N° 2011-1012) et qui complète l’article 34 de la loi du 6
janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Ainsi, « En cas de violation de données à caractère personnel, le fournisseur de
services de communications électroniques accessibles au public avertit, sans
délai, la Commission nationale de l'informatique et des libertés.
«
Lorsque cette violation peut porter atteinte aux données à caractère personnel
ou à la vie privée d'un abonné ou d'une autre personne physique, le fournisseur
avertit également, sans délai, l'intéressé.
« La
notification d'une violation des données à caractère personnel à l'intéressé
n'est toutefois pas nécessaire si la Commission nationale de l'informatique et
des libertés a constaté que des mesures de protection appropriées ont été mises
en œuvre par le fournisseur afin de rendre les données incompréhensibles à
toute personne non autorisée à y avoir accès et ont été appliquées aux données
concernées par ladite violation. »
De plus, ce texte modifie également le Code
Pénal créant un article 226-17-1 qui précise que « Le fait pour un fournisseur de services de communications
électroniques de ne pas procéder à la notification d'une violation de données à
caractère personnel à la Commission nationale de l'informatique et des libertés
ou à l'intéressé, en méconnaissance des dispositions du II de l'article 34 bis
de la loi n° 78-17 du 6 janvier 1978, est puni de cinq ans d'emprisonnement et
de 300 000 € d'amende. »
Il était
temps ! Car aucune statistique sérieuse pour mesurer le phénomène n’est
encore disponible en dehors des pays anglo-saxons.
Mais il ne s’agit
que d’une première étape qui ne touche pas toutes les entreprises où nous
sommes tous fichés ! En effet, seules les firmes du secteur des télécommunications
sont aujourd’hui concernées.
L’Europe semble
vouloir réagir, notamment suite aux vagues de piratage ayant touché tant les
administrations que les grandes entreprises. la Commission veut rendre
obligatoire et publique la déclaration de perte ou de fuites de données pour
les entreprises. Encore faut-il que ces mêmes entreprises soient en mesure de
constater les pertes ou fuites et capables de déterminer ce qui a été
volé !
En attendant, la
meilleure solution consiste à se protéger contre ce phénomène de plus en plus
fréquent.
Mettre en place les
outils capables de détecter les anomalies et permettant de la manière la plus
souple possible de réagir pour éviter le pire constitue l’arme indispensable
pour faire face aux obligations d’information de la CNIL. Sans compter que chaque dirigeant
devrait avoir présent à l’esprit que chaque fuite ou perte de données
(personnelles ou pas) constitue une atteinte aux intérêts fondamentaux de
l’entreprise, à sa crédibilité et à sa trésorerie !
