Violation de données : un durcissement des règles afin d’assurer une meilleure protection des personnes
Publié le 16/01/2014 par Etienne Wery , Lise Breteau
La presse se fait régulièrement l’écho de fuites de données concernant les clients de l’un de l’autre prestataire de service en ligne. Parfois, même si la prestation a lieu hors ligne, c’est une erreur qui provoque la publication malheureuse de données. Plusieurs centaines de milliers de clients de la société nationale de chemin de fer belge en ont d’ailleurs fait les frais fin 2012. Les règles vont changer.
Les clients concernés avaient ainsi subi la diffusion de leur date de naissance, adresse personnelle et numéro de téléphone sur Internet. Certes, aucune intention malveillante ne semble être à l’origine de cette fuite. Il n’en demeure pas moins qu’elle a été jugée suffisamment grave pour que la Commission de protection de la vie privée (CPVP), gendarme de la vie privée, transmette le dossier au parquet de Bruxelles au chef de la violation de l’obligation de traitement loyal et licite, et de la violation de l’obligation de sécurité, issues de la loi (voyez notamment L’Echo du 30 avril 2013).
En effet, cela est souvent mal connu car peu appliqué, les obligations de protection de la vie privée sont, pour les plus élémentaires, sanctionnées pénalement aux termes de la loi vie privée du 8 décembre 1992.
La réaction préventive de la Commission vie privée
La Commission de protection de la vie privée a publié des mesures de référence relatives à la sécurité le 21 janvier 2013 pour réagir à cette affaire et à quelques autres fuites récentes, situations qui risquent d’aller en s’amplifiant avec la massification des traitements de données. En résumé, ces onze mesures préconisent de (i) planifier la sécurité dans un document écrit, le travail d’écriture et de documentation devant permettre d’aborder ces sujets de manière plus complète et détaillée que des actions isolées et ponctuelles, (ii) organiser la sécurité dans l’entreprise, grâce à la définition des rôles et responsabilités de chacun, y compris des prestataires externes, et en nommant un responsable de sécurité des données, (iii) prendre les mesures matérielles, organisationnelles et financières pour que les principes de sécurité élaborés trouvent une application réelle dans l’activité quotidienne de l’entreprise, notamment en mettant en place des droits d’accès limités selon les rôles définis au préalable, et en s’assurant que le système technique informatique est fiable et sécurisé.
La Commission préconise également d’adopter un plan d’urgence, en cas d’incident pour permettre à la fois de ne pas interrompre le service et de protéger les données personnelles lors de l’activation de mécanismes de secours, et de prendre des mesures d’alerte en cas de fuite de données.
Ces mesures se rapprochent du projet de réforme européen en matière de protection de la vie privée.
La réforme européenne de gestion des données personnelles
La législation de protection des données personnelles est actuellement en profonde réforme devant le Parlement européen, sur la base d’un projet de règlement européen publié par la Commission européenne en janvier 2012, destiné à remplacer l’actuelle directive de 1995. Parmi les très nombreuses évolutions en discussion, il est question de généraliser un mécanisme spécifique d’alerte en cas de violation de données personnelles. Actuellement, un tel mécanisme d’alerte existe uniquement dans le secteur des communications électroniques, à la charge des entreprises telles que les fournisseurs d’accès à Internet.
L’idée serait donc de contraindre tout responsable de traitement victime d’une fuite de données, d’alerter son autorité de référence ainsi que, si nécessaire, les personnes concernées par la fuite – outre la mise en place de mesures de réparation d’urgence et de prévention. Ce mécanisme pourrait être fortement incitatif pour les responsables de traitement, en raison du caractère infamant de devoir notifier un événement négatif à l’autorité voire à ses propres clients. Les détracteurs avancent au contraire que ce mécanisme, appliqué de manière large et générale, manquerait finalement son but car les personnes concernées recevraient alors trop de notifications !
Un autre axe important du nouveau texte européen serait de durcir les obligations de sécurité des responsables de traitements de données personnelles. Tout responsable devrait documenter en détail toutes les opérations effectuées sur les données, en conserver un historique, et devrait coucher sur papier toutes les procédures de collecte, d’accès, de conservation, etc. Ce système pourrait alourdir la gestion des traitements de données, mais il procède de la même logique que les mesures de référence de la Commission, précitées, à savoir contraindre les gestionnaires de fichiers à réfléchir à tous les risques et à toutes les questions liées à la gestion de leurs bases de données, qui sont après tout des actifs à la fois sensibles aux fuites et violations, et valorisables pour les entreprises.
Les débats autour de ce texte font rage dans les couloirs du Parlement européen, mais il semble que l’orientation générale de sécurisation devrait demeurer dans la version finale, qui devrait être adoptée avant la fin de l’année.
En toute hypothèse, compte tenu de l’accroissement des risques nés de la diffusion de données sur les réseaux, les autorités nationales de protection des données sont nombreuses à s’impliquer très concrètement dans l’amélioration de la sécurité des systèmes. Les organismes qui traitent des données personnelles ont donc tout intérêt à s’adapter et à anticiper un durcissement des conditions de gestion des traitements, qui semble aujourd’hui inévitable.
(Article paru dans de l’Echo du 05 juin 2013.)