Mireille DESHAYES INSTITUT SUPERIEUR D ELECTRONIQUE DE PARIS (ISEP)

Transcription

1 INSTITUT SUPERIEUR D ELECTRONIQUE DE PARIS (ISEP) Mireille DESHAYES Thèse professionnelle présentée pour l obtention du Mastere Spécialisé en Management et Protection des Données à Caractère Personnel de l ISEP Rapport de thèse professionnelle dirigé par : Madame Hélène LEGRAS CIL AREVA Monsieur Bruno RASLE Délégué général de l AFCDP Promotion 2009/2010

2 R E S U M E A l heure de la mondialisation des échanges et de l évolution fulgurante des nouvelles technologies de communication, la protection des données à caractère personnel fait l objet de débats tant en France qu au niveau européen ou encore mondial. Pour renforcer cette protection, différents textes à l étude envisagent de généraliser l obligation de notification des violations de traitement de données à caractère personnel et à systématiser l information des personnes concernées par ces atteintes. Cette obligation a pour principal objectif d inciter tous organismes à mettre en œuvre des mesures tendant à renforcer la sécurité et la confidentialité des informations traitées. En France où cette mesure n existe pas encore, il est envisagé de faire intervenir le Correspondant à la Protection des Données à Caractère Personnel, communément appelé CIL, dans la gestion de ces notifications. Mais quel rôle lui sera confié et quels impacts ces nouvelles mesures auront-elles sur ce professionnel? A-t-il les moyens d y répondre et de ce fait, deviendra t-il un gage de confiance et de transparence aux yeux de tous? Ces mesures auront aussi des impacts sur d autres acteurs tels les personnes victimes, l organisme concerné ou encore les autorités de contrôle. Est-on capable aujourd hui d avoir une pleine mesure des impacts tant positifs que négatifs de cette nouvelle obligation? Est-ce la meilleure solution pour préserver le respect de la vie privée et les droits fondamentaux des individus? At a time of globalization of trade and the rapid development of new communication technologies, protection of personal data is being debated in France and also at European level or globally. To strengthen this protection there are several instruments to study the plan generalize the notification of the violations processing personal data and to systematize the information of those involved in such violations. This obligation has the main objective to encourage all organisations to implement measures to enhance security and confidentiality of information processed. In France, where this measure does not exist, we envisage to involve the Correspondent in the Protection of Personal Data, commonly called CIL, in managing these notifications. But what role will be given to him and what impact will these new measures have on this professional? Does he have the means to respond and will he become a pledge of trust and transparency for all to see? These measures will also impact on other stakeholders such as victims, the body concerned or supervisors. Are we capable today of having a full measure of both positive and negative impacts of this new requirement? Is this the best solution to preserve the respect of privacy and fundamental rights of individuals? Ce document est en consultation libre. En cas de réutilisation de tout ou partie du document, il convient de faire référence à la source

3 LES VIOLATIONS DE DONNEES PERSONNELLES QUEL ROLE POUR LE CIL? Auteur : Mireille DESHAYES Tuteurs de thèse : Hélène LEGRAS (CIL Areva) Bruno RASLE (Délégué Général AFCDP) Maître de stage : Catherine LEVERRIER (CIL Groupama) PROJET PROFESSIONNEL : POURQUOI CE SUJET? Le respect de la vie privée et la protection des données à caractère personnel est un sujet de préoccupation important pour tous : utilisateur, grand public, professionnels (de la sécurité ou de l informatique et libertés), entreprises, monde politique, législatif, et tout particulièrement pour moi en tant qu utilisateur des technologiques de l information et professionnelle de l informatique et libertés. La violation de cette protection et l atteinte à la vie privée qui peut en résulter pour toute personne victime est un sujet dont j ai choisi d étudier tout particulièrement les impacts sur une profession en charge de les préserver : le correspondant informatique et libertés (CIL). La future obligation de notification de ces violations qui pourrait bientôt s imposer en France est susceptible d avoir de fortes incidences sur les entreprises qu il convient d anticiper. C est donc un sujet qui préoccupe directement mon Groupe du fait de son domaine d activité et des données particulièrement sensibles et nombreuses qui y sont traitées et d une réelle volonté de respecter leur intégrité, leur confidentialité et de les préserver de tout accès non autorisé. Un sujet impactant directement le CIL et par ricochet le poste que j occupe depuis maintenant 4 ans à ses côtés en charge de la conformité informatique et libertés du Groupe ; il m appartient notamment à ce titre de m assurer des mesures de sécurité en place et de la protection des données traitées et d anticiper les impacts de cette future obligation sur les entreprises du Groupe. C est un sujet qui s inscrit dans une actualité législative foisonnante, mais encore mouvante et incertaine tant au niveau européen que français, auxquelles les entreprises vont devoir se conformer et nécessitant de s y préparer tant les contraintes ou impacts sont importants. Un sujet transversal mettant en œuvre l ensemble des enseignements reçus dans le cadre de la préparation de ce Mastère Spécialisé en Management et Protection des Données à caractère personnel, puisqu il aborde des notions juridiques, techniques, organisationnelles, informatiques déontologiques, de communication ou de gestion de crise, Un sujet contribuant au respect de valeurs essentielles que sont le respect des libertés fondamentales, la protection de la vie privée et des individus. «Nul ne sera l objet d immixtions arbitraires dans sa vie privée, sa famille, son domicile ou ses correspondances, ni d atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes» (Déclaration Universelle des droits de l homme de 1948 Article 12)

4 REMERCIEMENTS Je tiens à remercier tout particulièrement les personnes suivantes qui, chacunes à leur façon, ont contribué directement ou indirectement à la réussite de ce projet. Hélène LEGRAS & Bruno RASLE mes deux tuteurs de thèse et professionnels référents pour leur encadrement, leur contribution active à ce projet et leur grande disponibilité Catherine LEVERRIER Directeur Juridique et Correspondant Informatique & Libertés Groupe Groupama en tant que Maître de stage dans le cadre de ce Mastère, et pour tout ce qu elle m enseigne par son accompagnement quotidien dans l exercice de mon activité professionnelle ; elle est ma «première école», celle de l expérience Ainsi que toutes les personnes rencontrées dans le cadre de cette étude m ayant apporté leur soutien ou un éclairage particulier en fonction de leur sensibilité ou de leurs connaissances et à titre privé, Marion, Aline, Camille, mes trois filles et Frank, mon compagnon pour leur patience, leur compréhension et leur soutien indispensables pour la réussite de cette réflexion et qui ont beaucoup soufferts de mon indisponibilité durant cette dernière année Sans toutes ces personnes, ce projet aurait été très différent et vraisemblablement très partiel

5 TABLE DES MATIÈRES LES VIOLATIONS DE DONNEES PERSONNELLES : Quel rôle pour le CIL? Introduction : Vers une volonté d aller vers une plus grande protection des données à caractère personnel? 1 Chapitre 1 : Violations de données personnelles : Contexte général 2 I.1. Préambule : Des mots pour le dire et des chiffres qui parlent 2 A. Des mots pour le dire 2 B. Des chiffres qui parlent 3 I.2. Origine des notifications des violations de données personnelles 5 I.3. Cadre législatif et réglementaire européen 6 A. Paquet Télécom 6 a. Directive «cadre» : 6 b. Directive vie privée et communication électronique 7 B. L Europe bouge! 8 a. Révision Directive de 95/46/CE : 8 b. Révision de la directive e.déchets : 9 d. Mais aussi des initiatives «éparpillées» 9 d. Autres travaux communautaires : protection des consommateurs 10 C. Mais toujours des lacunes et une grande complexité dans la réglementation! 11 I.4. Et la France? 11 A. Cadre juridique français actuel 12 a. L article 34 de la loi Informatique et Libertés 12 b. et les recommandations de la CNIL : 13 c. Sanctions 14 d. Mais encore d autres réflexions françaises 15 B. Quelles évolutions pour demain? 16 a. Projet de loi portant diverses dispositions d adaptation de la législation au droit de l Union Européenne en matière de santé, de travail et de communications électroniques 16 b. Proposition de loi sénatoriale Détraigne/Escoffier visant à mieux garantir le droit à la vie privée à l heure du numérique 177 Conclusion du chapitre 1 er 19 A

6 Chapitre 2 : Violations de données personnelles : Quel rôle pour le CIL? 20 II.1. CIL d'aujourd'hui et de demain 20 A. Etre CIL aujourd hui : rôle et missions 21 B. Et demain : quel avenir pour le CIL? 22 II.2. Quel rôle pour le CIL en cas de violations de données personnelles? 23 A. Gestion des violations de données personnelles par le CIL 23 a. CIL : premier informé des violations de traitement de données personnelles 23 b. Registre des incidents 24 B. CIL : quels atouts, quels obstacles dans la gestion des violations de données personnelles? 26 a. Des atouts : facilité d accès à l information et aux personnes? 26 b. Des obstacles : les moyens de le faire? 27 C. CIL : notifier ou pas? 30 D. Etre CIL, pas le même régime pour tous en cas de notifications? 32 a. Secteur des communications électroniques : 32 b. Hébergeurs agréés de données de santé à caractère personnel : 32 c. Secteur Presse écrite et audiovisuelle : 33 d. Secteurs relevant de l article 26 de la loi Informatique et Libertés 33 II.3. CIL : incontournable mais pas seul au monde 34 A. Partenaires du CIL internes à l entreprise 34 a. Le responsable de traitement 34 b. L incontournable partenaire du CIL : l expert en systèmes d information (RSSI, DSI, ) 35 c. La cellule de crise et son programme d action 37 d. La direction juridique (ou conseil juridique externe) 39 e. Autres partenaires internes 39 B. Partenaires du CIL externes à l entreprise : 41 II.4. CIL : comment anticiper, se préparer, faire face et gérer l'après? 42 Conclusion du chapitre 2 44 Chapitre 3 : Violations de données personnelles : autres impacts 46 III.1 Impacts sur les personnes "victimes" 47 a. Information des personnes victimes 47 b. Quels recours pour la personne victime d une violation de données personnelles? 48 III.2 Impacts sur l'organisme concerné 49 a. Atteinte à l image 50 b. Manquements de l entreprise à l obligation de sécurité et notification 50 c. Quelles conséquences judiciaires pour l entreprise? 51 d. Des coûts financiers importants et des impacts sur les organisations 53 e. Faire de la sécurité une priorité? 55 III.3 Impacts sur le (ou les) régulateurs 56 Conclusion du chapitre 3 57 Conclusion : violations des données personnelles : l'esquisse d'un nouveau paysage 59 Annexes 63 à 100 Bibliographie 101 B

7 I n t r o d u c t i o n UNE VOLONTE D ALLER VERS UNE PLUS GRANDE PROTECTION DES DONNEES A CARACTERE PERSONNEL? Des évolutions, massives et fulgurantes, se profilent en permanence dans le domaine informatique et libertés du fait du développement constant des technologies de l information de plus en plus complexes, sensibles (nanotechnologies, biométrie, rfid, ), de leur multiplication rapide, du volume important d informations collectées, traitées et échangées dans un périmètre planétaire. Dans cet environnement instable et incertain, comment encadrer la sécurité et la confidentialité des informations? Comment concilier sécurité et progrès économique et social, tout en respectant les libertés fondamentales, et notamment en protégeant la vie privée des individus dans un monde sans frontière? Que faire quand cette protection est défaillante et que les droits fondamentaux sont violés? A l heure actuelle, on assiste à un foisonnement de textes votés (ou projets de textes) visant à renforcer la protection des données personnelles que ce soit au niveau mondial, européen ou encore national. En France, on observe depuis quelques mois une prise de conscience de plus en plus forte des parlementaires, du grand public, des associations, des professionnels. quant aux risques engendrés par l utilisation des technologiques modernes. Cette prise de conscience vient d un meilleur niveau d information, et notamment des violations de la vie privée ou de l atteinte aux libertés fondamentales dont la presse se fait l écho (usurpation d identité, vol de données, réseaux sociaux, absence de droit à l oubli, cybercriminalité, ). Le cadre juridique actuel ne semblant pas toujours apporter de réponses satisfaisantes aux bouleversements venant défier le droit à la vie privée, et notamment à la sécurité des données personnelles, le Sénat a adopté le 23 mars 2010 une proposition de loi tendant à mieux garantir le droit à la vie privée à l'heure du numérique qui viendrait modifier substantiellement la loi n du 6 janvier 1978 modifiée en 2004, dite Informatique et Libertés. Ce projet de texte vise à rendre l'individu acteur de sa propre protection en le sensibilisant au cours de sa scolarité aux dangers de l'exposition de soi et d'autrui sur Internet. Il propose également de donner une plus grande effectivité au droit à l'oubli numérique. Il comporte enfin de nombreuses dispositions tendant à renforcer la protection des données personnelles. Parmi ces dispositions seront essentiellement traitées dans le cadre de la présente étude, deux mesures phares extrêmement liées visant au renforcement de la sécurité des informations personnelles : celle de notifier les violations de traitement de données à caractère personnel à la fois à la CNIL et aux personnes «victimes» de ces atteintes ; celle visant à donner un rôle au correspondant informatique et libertés (CIL) exerçant pour tout organisme concerné par une violation. L étude analysera dans une première phase le contexte général dans lequel s inscrit cette obligation de notification des violations de traitement des données personnelles (Chapitre 1er), puis dans une seconde phase il sera étudié quel rôle le CIL peut-il (ou doit-il) avoir en cas de violations des informations personnelles détenues par son organisme. Enfin, un troisième chapitre viendra évoquer les impacts de cette obligation sur d autres acteurs (personnes victimes, entreprise, autorité ), avant de conclure l analyse par une réflexion plus globale sur l avenir. Page 1

8 C h a p i t r e 1 VIOLATIONS DE DONNEES PERSONNELLES : CONTEXTE GENERAL Le 23 mars 2010, le Sénat a adopté une proposition de loi (n ), tendant à mieux garantir le droit à la vie privée à l'heure du numérique, présentée par Madame Anne-Marie Escoffier et Monsieur Yves Détraigne, et rapportée par Monsieur Christian Cointat, au nom de la commission des lois. Ce texte, issu des réflexions d'un groupe de travail de la commission des lois comporte de nombreuses dispositions tendant à renforcer la protection des données personnelles. Parmi celles-ci, est traitée dans le cadre du présent chapitre celle visant à imposer de notifier les violations de données personnelles à la fois à la CNIL et aux personnes concernées par cette violation. Mais que recouvre cette notion de violations de données personnelles, quelle est son origine et pourquoi s en préoccuper maintenant? Préalablement à l analyse du contexte global dans lequel s inscrit cette obligation de notification des violations, quelques définitions et constats sont nécessaires à une bonne compréhension (1.1). L origine de cette obligation sera ensuite brièvement présentée (1.2), avant de s attarder dans un troisième point sur le cadre législatif et réglementaire européen (1.3), et pour terminer sur la situation en France (1.4) PREAMBULE : DES MOTS POUR LE DIRE ET DES CHIFFRES QUI PARLENT A. Des mots pour le dire «violations», «atteintes», «failles», «incidents», «pertes», «vol». autant de termes rencontrés au cours de cette réflexion, mais tous ont-ils le même sens? La proposition de loi sénatoriale Détraigne/Escoffier dans son article 7 tendant à réviser l article 34 de la loi Informatique et Libertés évoque tour à tour les termes de «violations» et «atteintes» : «En cas de violation du traitement de données à caractère personnel», il y aurait avertissement de la CNIL et des personnes concernées ; puis «Un inventaire des atteintes aux traitements de données à caractère personnel» serait tenu à jour. Atteintes ou violations? entre les deux, mon cœur balance. Atteintes : Terme utilisé et défini par la CNIL dans une délibération de 1981 : - Atteintes accidentelles : sont celles «qui résultent des désastres naturels, tels que incendie, inondation, tremblement de terre ou qui proviennent des sources assurant le fonctionnement des systèmes informatiques, telles que le conditionnement d air, l alimentation électronique.» - Atteintes volontaires : atteintes visant à la «destruction totale ou partielle des installations, celles qui ont pour objet le vol ou l altération des logiciels, le détournement, l altération ou la destruction d informations». Page 2

9 Violations : Terme utilisé a plusieurs reprises dans l article 7 précité : «Le responsable de traitement met en œuvre toutes mesures adéquates pour assurer la sécurité des données et en particulier les données à caractère personnel traitées contre toute violation entraînant. la destruction, la perte, l altération, la divulgation, la diffusion, le stockage, le traitement ou l accès non autorisé ou illicites. En cas de violation du traitement de données à caractère personnel, si la violation a affectée les données à caractère personnel», le responsable de traitement avertit sans délai la CNIL. Les conséquences de la violation sont également précisées par l article 7 : «violation entraînant la destruction, la perte, l altération, la divulgation, la diffusion, le stockage, le traitement ou l accès non autorisé ou illicite». Cela laisse donc place à une large palette de possibilités. Pour certains, le terme de violation pourra avoir une co-notation parfois excessive, trop forte ou trop violente du fait du préfixe «viol» et du caractère intentionnel qu il peut sous-entendre, alors que souvent l atteinte aux données personnelles et à la vie privée qui résulte d une violation se fait en silence, sans violence, parfois de façon accidentelle et sans qu on s en aperçoive. La notion de violation peut aussi sembler curieuse vis-à-vis d une chose et non d une personne. En outre, une violation de traitement de données à caractère personnel, peut avoir ou non pour conséquence une atteinte à la vie privée. Cette notion est importante à prendre en considération en cas de notification (notification à la CNIL des violations?) et d informations des personnes (si risque d atteinte à la vie privée?). Le mot «violation» sera au final celui qui sera retenu en titre de la présente étude pour le seul motif que c est celui employé par la proposition de loi sénatoriale Détraigne/Escoffier. C est aussi le terme utilisé dans d autres textes comme par exemple dans les directives dites «Paquet Télécom» et notamment la directive «vie privée et communications électroniques» (1), ainsi que dans l étude d impact annexée au projet de loi Assemblée Nationale du 15 septembre 2010 (n 2789) de transposition en droit français de ces directives. A retenir : «Violation», terme utilisé dans la proposition de loi Sénatoriale Détraigne/Escoffier et retenu pour la présente étude. D autres termes ont été fréquemment rencontrés au cours de cette étude, ils sont brièvement cités ci-après : Data-Breach : formule fréquemment utilisée par les pays anglo-saxon pour définir les failles de données. Failles: Terme utilisé dans le rapport d information fait au nom de la commission des lois du 27 mai 2009 relatif au respect de la vie privée à l heure des mémoires du numériques. La notion de faille de sécurité semble très générale (faiblesse du système entraînant une vulnérabilité). De plus, il peut y avoir failles sans forcément violation puis atteintes aux données personnelles. Incident : semble plutôt porter sur la sécurité des systèmes d information que sur les données à caractère personnelle. Vol : Le vol est la soustraction frauduleuse de la chose d autrui (article du code pénal). Cette notion est délicate car un tiers non autorisé peut parfaitement avoir accédé à une information, ne pas l avoir effacé et s être retiré du système (la donnée est toujours présente). B. Des chiffres qui parlent Aujourd hui, quelle entreprise, organisme ou administration peut prétendre offrir une totale protection aux informations personnelles confiées et ne pas avoir été victime de violations (1) Directive 2009/136/CE du 25 novembre Page 3

10 intentionnelles ou non? Au regard de quelques chiffres récents, il semble que les incidents soient extrêmement fréquents et qu aucune entreprise ne soit épargnée. Aux Etats-Unis, le «Data loss barometer 2009» ( 2 ) de KPMG montre que plus de 110 millions de personnes dans le monde ont été affectées par un vol de données au premier semestre 2009, soit une progression inquiétante de plus de 50 % en un an! Même si dans certains secteurs, services financiers notamment, des mesures efficaces ont permis une baisse de 2/3 des vols de données. 285 millions de données compromises en 2008 d après une étude menée par VerizonBusiness ( 3 ). Ci-après, quelques cas à titre d illustration : USA : La société WellPoint a notifié par courrier à assurés, suite à un incident de sécurité, l exposition de leur numéro d assuré social et d autres informations personnelles les concernant (lettre AFCDP n 49, juillet 2010) Angleterre : Août 2010 : 2,275 millions de livres (2,77 M ) d amende à l assureur Zurich Insurance pour avoir «égaré» des informations confidentielles (dont des informations bancaires) relatives à assurés. Il s agit de l amende la plus élevée jamais imposée par la FSA (autorité des services financiers) à une entreprise pour manquement aux normes de sécurité. «Dans la mesure où il n y avait pas de structure de reporting adéquats», relève la FSA, «Zurich UK n a été mis au courant de cet indicent qu une année plus tard». L autorité financière britannique reproche notamment à l assureur d avoir omis de vérifier l efficacité de ses systèmes de sécurité visant à protéger les données de ses clients ( 4 ). A signaler dans cette décision la référence à la nécessité de mettre en place un reporting des incidents, mesure similaire prévue dans la proposition de loi sénatoriale Détraigne/Escoffier. En Espagne, les indélicatesses avec les fichiers nominatifs font pleuvoir des amendes dont le montant est parfois de 5 ou 6 fois plus élevé que la totalité de ceux infligés par la Cnil. Amendes la plupart du temps largement médiatisées. Espagne : juin 2010, Vodafone a été condamné à payer par l autorité espagnole de la protection des données (Agencia Espanola de proteccion de datos) pour une «sérieuse» faille de sécurité : pendant plusieurs heures, des informations concernant 22 clients de Vodafone ont été accidentellement visibles sur le portail en ligne «mon vodafone», y compris des données personnelles telles que le numéro de téléphone, document national d identité ou encore numéro de passeport. A l intérieur de l Hexagone, les violations de données personnelles (vol, pertes, ) ne sont qu exceptionnellement relevé dans les médias. Septembre 2010 : «Même la CNIL n est pas infaillible!» La CNIL, alertée le 7 septembre par le site ZATAZ.com de l existence de failles de sécurité concernant la fonctionnalité d'agenda du site de la CNIL, affirme avoir dès réception de l alerte analysé les «vulnérabilités» relevées et mis en place les mesures correctives qui s'imposaient. La CNIL se veut rassurante dans un communiqué publié sur son site où elle reconnaît l existence de la faille mais en la qualifiant de «mineure» car celle-ci : ne permettait pas de corrompre ou de modifier le site de la CNIL ne permettait pas de récupérer des données personnelles des internautes. (2) Etude, 29 septembre (3) 2009 Data breach investigation report Verizonbusiness, (4) Les faits : Zurich Insurance Company South Africa Limited, à qui Zurich Insurance externalise un certain nombre de données clients, a perdu un enregistrement de secours non sécurisé à l occasion d un transfert de routine vers un centre de stockage de données - Source : L argus des assurances, 26 août Page 4

11 Elle déclare également que «l'assertion selon laquelle "la base données du site de la CNIL était grande ouverte" comme l'indique un article du canard enchaîné est inexacte» ( 5 ) Mars 2010 : SNCF : «Une faille de sécurité sur le fichier clients de Voyages-sncf.com ( 6 ). Un journal révèle que le site voyage-sncf.com «souffre d un gros trou de sécurité laissant fuir les données confidentielles de millions de clients : nom, prénom, adresse, téléphone, date de naissance». Décembre 2009 : AFCDP (Association Française des Correspondants à la Protection des Données Personnelles) : adresses s des membres de l association exposés sur internet suite à une mise à jour du site Web. Ainsi, l on peut constater effectivement que nul n est épargné! En l absence d obligations de notification des violations de traitements de données à caractère personnel en France comme dans de nombreux autres pays, ces chiffres semblent bien loin de la réalité car nombre d organismes ne s aperçoivent pas ou passent sous silence les pertes, vols ou atteintes dont ils peuvent être victimes. A retenir : Chaque année, des milliers de données compromises partout dans le monde. Après ces premiers constats et définitions, un focus détaillé sur le cadre législatif et réglementaire européen (1.3) puis français (1.4) encadrant la notification des incidents de sécurité va être présenté. Les textes issus de réglementations de pays hors de l Union Européenne seront volontairement «survolés» dans la mesure où nous concentrons notre réflexion sur les futures obligations issues tant des directives européennes que de textes français qui auront un impact direct en France et sur le rôle du CIL dans ce contexte. Mais au préalable, quelle est l origine de cette obligation de notification? I.2. ORIGINE DES NOTIFICATIONS DES VIOLATIONS DE DONNEES PERSONNELLES Historiquement, les premières dispositions rendant obligatoire la notification d une infraction aux données ( data breach ) sont nées en Californie par une loi de 2002 ( 7 ), entrée en vigueur en juillet 2003, California Security Breach Notification Act. L élément déclencheur de ces dispositions est un incident rencontré par l administration ayant entraîné la dissémination de données de salaires de fonctionnaires. Par le biais d une notification obligatoire des failles de sécurité, les acteurs économiques se voient obligés de prévenir les personnes concernées de leurs carences et permettre ainsi une plus grande vigilance quant aux conséquences éventuelles de ces atteintes. Ce texte a rendu obligatoire la révélation des incidents ou violations de sécurité aux consommateurs résidant en Californie (et non à une autorité administrative telle que la CNIL) en ajoutant des dispositions au Code civil californien : Any agency that owns or licenses computerized data that includes personal information shall disclose any breach of the security of the system following discovery or notification of the breach in the security of the data to any resident of California whose unencrypted personal information was, or is reasonably believed to have been, acquired by an unauthorized person. (Cal. Civ. Code (a)) Des législations similaires ont ensuite été adoptées dans d autres Etats, ayant pour objectif de lutter contre l usurpation d identité des informations volées. A signaler qu un projet de loi fédérale est à l étude pour généraliser cette obligation à tous les Etats. (5) (6) Article publié par 17 mars 2010 (7) «Senate Bill 1386» du 12 févier Page 5

12 Lorsque l on étudie ce domaine, on constate que d autres pays ont adopté des législations similaires à celles des Etats-Unis comme par exemple Singapour, Hong Kong (voir Annexes 1 et 2) ( 8 ) Mais, concrètement qu en est-il en Europe et en France? I.3. CADRE LEGISLATIF ET REGLEMENTAIRE EUROPEEN En Europe, certains pays tels le Royaume-Uni, l Allemagne, l Espagne ou encore les Pays-Bas ont déjà adoptés des dispositions similaires. Certains textes, évoqués ci-après, récemment votés ou encore à l étude vont prochainement venir étendre cette obligation à divers secteurs et la généraliser aux Etats membres de l Union Européenne. A. Paquet Télécom Le «Paquet Télécom», cadre juridique communautaire encadrant les communications électroniques (adopté en 2002) et formé de cinq directives différentes a fait l objet d un récent processus de révision. Ces cinq directives sont mises à jour et modifiées par le biais de deux directives ( 9 ) : la directive 2009/136/CE du 25 novembre 2009 qui modifie les directives 2002/22/CE («service universel»), 2002/58/CE («vie privée et communications électroniques») et le règlement (CE) n 2006/2004 «relatif à la coopération entre les autorités nationales chargées de veiller à l'application de la législation en matière de protection des consommateurs» ; et la directive 2009/140/CE du 25 novembre 2009 qui modifie les directives 2002/21/CE («cadre»), 2002/19/CE («accès») et 2002/20/CE («autorisation»). Ces deux directives, dont la transposition doit théoriquement intervenir avant le 25 mai 2011 dans tous les Etats Européens dont la France, prévoient de nouvelles dispositions dont une visant à améliorer la sécurité des réseaux par des obligations faites à certains opérateurs techniques de notifier les violations de sécurité de leurs systèmes d information. Ce principe est non seulement posé par la directive «cadre» modifiée mais également par la directive «vie privée et communications électroniques». a. Directive «cadre» : L obligation de notification des atteintes de sécurité prévue dans la directive 2009/140/CE est applicable à tout type de données mais est circonscrite aux fournisseurs des réseaux de communications publics ou des services de communications électroniques accessibles au public tels que les fournisseurs d accès à l internet. La notification consiste en une information de «l autorité réglementaire concernée». Il faut qu il y ait atteinte à la sécurité ou perte d intégrité «ayant eu un impact significatif sur le fonctionnement des réseaux ou des services». (8) Voir documentation de l Office of the Privacy Commissionner for Personnal Data à l attention des entreprises expliquant ce qu est une «data-breach», comment la gérer, qui en informer et les mesures à prendre. «guidance on data Breach Handling and the Giving of Breach Notification» en annexe 2. (9) Journal Officiel de l Union Européenne (JOUE) L.337 du 18/12/2009 p. 1 à 69 Page 6

13 Le public n est informé par l autorité nationale ou par le fournisseur victime de la faille, qu à deux conditions : en cas d impact significatif sur le fonctionnement, mais également, s il est «d utilité publique» de divulguer les faits. b. Directive vie privée et communication électronique La directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009, prévoit dans son article 2 (c) une obligation de notification des violations de sécurité. En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public doit avertir sans retard l autorité nationale compétente. Et, lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d un abonné ou d un particulier, le fournisseur avertit également l abonné ou le particulier concerné de la violation. Il n est pas nécessaire pour le fournisseur de réseau ou de service de notifier à l abonné une violation des données à caractère personnel si le fournisseur «prouve» qu il a mis en œuvre les mesures de protection appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques rendent les données incompréhensibles à toute personne qui n est pas autorisée à y avoir accès. La directive prévoit cette obligation au regard de la nécessaire protection des données à caractère personnel transitant via les réseaux de communications électroniques, eu égard non seulement au vol d identité, mais également aux atteintes «à l'intégrité physique», aux «humiliations graves» ou à la «réputation» «en rapport avec la fourniture de services de communications accessibles au public dans la Communauté» ( 10 ) Cette Directive doit être transposée par les États membres au plus tard le 25 mai 2011 (échéance fixée par l article 4 de la Directive). En ce qui concerne la transposition en droit français, un projet de loi a été déposé à l Assemblée Nationale le 15 septembre 2010 ( 11 ) afin que soient prises en compte les dispositions relatives aux communications électroniques sur le territoire français (voir plus en détail cadre législatif français présenté ci-après). A retenir : Une obligation de notification des violations des données personnelles imposées aux opérateurs de communications électroniques des pays membres de l Union Européenne à partir de mai A signaler que cette obligation de notification prévue dans la directive 2009/136/CE pourrait être rapidement généralisée à d autres secteurs. En effet, l Union Européenne précise dans les considérants de la directive 2009/136/CE que, si ces nouvelles exigences de notification sont limitées aux violations de sécurité intervenant dans le secteur des communications électroniques, ce n est que le commencement et qu à terme, ces exigences seront étendues à tous les secteurs mais également à tout type de données (12). Ainsi, l obligation de notification pourrait s étendre à moyen terme à des activités de tous types (banque, industrie, santé, administrations, etc.). (10) Considérant 61 de la directive 2009/136/CE. (11) Projet de loi n 2789 du 15 septembre 2010 po rtant diverses dispositions d adaptation de la législation au droit de l Union Européenne en matière de santé, de travail et de communications électroniques. (12) Voir considérant 59 de la directive 2009/136/CE : «L'intérêt des utilisateurs à être informés ne se limite pas, à l'évidence, au secteur des communications électroniques et il convient dès lors d'introduire de façon prioritaire, au niveau communautaire, des exigences de notification explicites et obligatoires, applicables à tous les secteurs. Dans l'attente d'un examen, mené par la Commission, de toute la législation communautaire applicable dans ce domaine, la Commission, après consultation du contrôleur européen de la protection des données, devrait prendre les mesures appropriées pour promouvoir, sans retard, l'application, dans l'ensemble de la Communauté, des principes inscrits dans les règles relatives à la notification des violations des données contenues dans la directive 2002/58/CE [ ]». Page 7

14 Une telle obligation de notification des violations de traitements de données existe d ailleurs depuis septembre 2009 en Allemagne. La loi fédérale allemande de protection des données à caractère personnel prévoit que la notification concerne uniquement les atteintes aux données sensibles ou protégées par le secret professionnel qui causent un préjudice significatif aux personnes dont les données ont été compromises. Même constat en Autriche où des dispositions visant à la notification des data breach sont entrées en vigueur depuis janvier Enfin, dans d autres pays européens (République Tchèque, Estonie, Lituanie, Slovaquie, Irlande) la notification est obligatoire ou fortement recommandée. D autres pays d Europe sont quant à eux en réflexion sur la mise en œuvre de mesures similaires (Pays-bas, France). En Espagne, les data breach doivent être inscrites dans un registre de sécurité tenu à disposition de l autorité de contrôle. C est également l orientation que semble prendre l Irlande (voir ciaprès). B. L Europe bouge! D autres travaux communautaires (sous l impulsion de Vivan Reding) sont actuellement en cours visent à généraliser cette pratique. a. Révision Directive de 95/46/CE : Au niveau communautaire, les dispositions concernant la protection des personnes physiques à l égard du traitement des données à caractère personnel sont contenues pour l essentiel dans la directive 95/46/CE du 24 octobre 1995 ( 13 ). Cette directive européenne prévoit en son article 17 que les Etats membres doivent prendre des mesures pour assurer, compte tenu de l état de l art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger. Dans la perspective de révision de cette directive, la Commission Européenne a ouvert une consultation à laquelle a notamment répondu le G29 ( 14 ). Dans son avis en date du 1er décembre 2009 ( 15 ), rendu conjointement avec le groupe de travail «Police et justice», le G29 préconise l'introduction d'une «notification générale en cas de violation de la vie privée». Le contrôleur européen de la protection des données (CEPD) dans le cadre des travaux en cours visant à garantir le droit à la vie privée et à la protection des données personnelles a adopté un avis intitulé «promouvoir la confiance dans la société de l information en encourageant la protection des données et la vie privée» (communiqué de presse Bruxelles, lundi 22 mars 2010), dans lequel il demande à la commission européenne de suivre le plan d action suivant : Approche générale basée sur le «privacy by design» (16), permettant ainsi de rendre obligatoire sa mise en œuvre par les responsables de traitement ainsi que par les concepteurs et fabricants, et plus spécifiquement dans certains domaines (RFID, réseaux sociaux, publicité ciblée). Mettre en œuvre le principe de responsabilité dans la directive européenne sur la protection des données (Accountability) ; (13) JO n L 281 du 23/11/1995, p (14) Le G29 : L article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation de celles-ci a institué un groupe de travail rassemblant les représentants de chaque autorité indépendante de protection des données nationales. Cette organisation réunissant l ensemble des CNIL européennes a pour mission de contribuer à l élaboration des normes européennes en adoptant des recommandations, de rendre des avis sur le niveau de protection dans les pays tiers et de conseiller la Commission européenne sur tout projet ayant une incidence sur les droits et libertés des personnes physiques à l égard des traitements de données personnelles. Voir (15) Avis WP 168, L'avenir de la protection de la vie privée : (16) Intégration des principes de protection des données dès la phase de conception. Page 8

15 Commencer le travail en vue de l adoption des mesures d application des dispositions relatives aux failles de sécurité dans la directive «vie privée et communications électroniques» et les appliquer de manière générale à tous les responsables de traitement de données. En date du 4 novembre 2010 ( 17 ), la commission au parlement européen dans le cadre d une communication visant à définir l approche de modernisation du cadre juridique de l Union Européenne régissant la protection des données à caractère personnel s engage à examiner les modalités d introduction dans le cadre juridique global d une obligation générale de notification des violations de données à caractère personnel, indiquant les destinataires de ce type de notification et les critères auxquels serait subordonnée l application de cette obligation. Les réflexions européennes sont actuellement toujours en cours et devraient aboutir à horizon 2012/2014. A retenir : Directive 95/46/CE : Le texte fondamental relatif à la protection des personnes physiques à l égard des traitements des données personnelles est en cours de révision. Les travaux prévoient d appliquer à tous les responsables de traitements une obligation de notification des failles de sécurité. Cette obligation pourrait donc s appliquer à moyen terme à tous les Etats membres de l Union Européenne b. Révision de la directive e.déchets : Dans le cadre de la révision de la directive européenne relative aux déchets d équipements électroniques et électriques (directive 2002/96/CE modifiée le 11 mars 2008), le contrôleur européen de la protection des données (CEDP) a rendu un avis le 14 avril 2010 mettant en garde sur les risques liés aux données personnelles qui peuvent survenir suite à une élimination, une réutilisation ou un recyclage inappropriés de matériels. Il s agit notamment des cas ou des données relatives à des tiers restent stockées dans des équipements informatiques ou de télécommunications au moment de leur destruction. Compte tenu des risques de violations de la vie privée, le CEDP réclame l adoption de mesures de sécurité appropriées à chaque type de traitement de données y compris pendant la phase de destruction des matériels contenant des données personnelles. Selon lui, le principe de «privacy by design» ( 18 ) devrait être également inclus dans la proposition afin de s assurer que des garanties en matière de vie privée et de sécurité soient intégrées par défaut dès la conception des équipements électriques et électroniques afin de permettre aux utilisateur de supprimer, de manière simple et gratuite, les données personnelles pouvant se trouver dans les appareils au moment de leur destruction. Il recommande également d interdire la commercialisation d appareils utilisés qui n ont pas fait l objet de mesures de sécurité appropriées afin d effacer toutes les données personnelles contenues. d. Mais aussi des initiatives «éparpillées» Des initiatives dispersées existent également, à l exemple de ce projet irlandais de code pratique concernant les règles de notifications des failles de sécurité Les organisations irlandaises auront si ce projet aboutit l obligation de notifier les failles de sécurité à l Autorité irlandaise de protection des données dans les deux jours ouvrables suivant la prise de conscience de l incident, dans tous les cas : i/ Lorsque les données de plus de 100 personnes ont été compromises ; ii/ lorsque les informations comprennent des données personnelles sensibles ou des informations financières qui pourraient être utilisées pour usurper l identité. (17) Communication COM (2010) 609/3 de la commission au parlement européen, au conseil, au comité économique et sociale européen et au comité des régions Une approche globale de la protection des données à caractère personnelle dans l UE (4 novembre 2010). (18) Intégration des principes de protection des données dès la phase de conception. Page 9

16 Cependant, il y a deux hypothèses dans lesquelles les organisations n auront pas à signaler la faille : i/ lorsque les données sont cryptées et protégées par un mot de passe, ou ii/ s il y avait un mot de passe et une mémoire pouvant être effacées à distance et que cette fonction a été activée immédiatement, et qu il n existe aucune inquiétude sur un éventuel accès aux informations. Ce code prévoit également la tenue d un registre des incidents à présenter à l autorité de contrôle dès qu elle le demande. Ce document doit préciser - le nombre et la nature des données compromises - les actions engagées pour sécuriser et reconstituer les données - les actions prises pour informer les personnes ou les raisons de la décision de ne pas le faire - les actions prises pour limiter les dommages des personnes concernées - un récapitulatif des événements de divulgation il prévoit également une information sur les mesures prises pour prévenir tout nouveau incident. A retenir : Des dispositions éparpillées dans les différents Etats ou dans les différents textes européens régissant la protection des données personnelles d. Autres travaux communautaires : protection des consommateurs A signaler aussi cet avis de la commission du marché intérieur et de la protection des consommateurs du parlement européen ( 19 ) dont certaines dispositions concernent la notification des violations de données : Extrait de la déclaration de la Commission concernant la notification des violations de données (en référence à la directive vie privée et communications électroniques précitée) : «La réforme du cadre réglementaire relatif aux communications électroniques introduit une nouvelle notion dans les règles européennes relatives à la vie privée et à la protection des données, la notification obligatoire par les prestataires de services et les gestionnaires de réseaux de communications électroniques des violations des données à caractères personnel. Il s agit d un pas important vers une sécurité accrue et une meilleure protection de la vie privée, bien qu à ce stade cette mesure se limite au secteur des communications électroniques. La commission prend acte du souhait du parlement européen que cette obligation de signaler les violations de données personnelles ne devrait pas se limiter au secteur des communications, mais qu elle s applique à d autres entités comme les prestataires de services de la société de l information. Cette approche serait tout à fait conforme à l objectif global de politique publique d améliorer la protection des données personnelles des citoyens européens et de renforcer leur capacité d action dans les cas où ces données ont été compromises. Dans ce contexte, la commission souhaite réaffirmer son avis, déjà exprimé au cours des négociations sur la réforme du cadre réglementaire que l obligation faite aux fournisseurs de services de communications électroniques ouverts au publics de signaler les cas de violations de données personnelles justifie l élargissement du débat aux obligations de notification généralement applicables. La commission lancera donc sans retard les travaux préparatoires appropriés, y compris une consultation des parties prenantes, afin de soumettre des propositions adéquates en la matière d ici à la fin En outre, la commission consultera le Contrôleur européen de la protection des données à propos de la possibilité d application avec effet immédiat, dans d autres secteurs, des principes inscrits dans les règles de la directive 2002/58/CE sur la notification des violation de données, quel que soit le secteur ou le type de données concerné» Concernant le Marketing direct, le Groupe de l article 24 (groupe des pays industrialisés) a émis un avis le 13 juillet 2010 (avis 4/2010) indiquant que le code de déontologie européen en (19) Résolution législative du parlement européen du 6 mai 2009 publié JOUE du 5 août 2010, N C 212 E, p. 260, CELEX 52009AP3060) Page 10

17 matière d utilisation des données personnelles dans le marketing direct (émis par la Fédération Européenne de Marketing Direct FEDMA) était compatible avec la directive européenne 95/46/CE sur la protection des données. Ce code vise à réglementer la prospection commerciale par courrier électronique, le marketing viral, la collecte de données par internet, les données personnelles des enfants, l utilisation des cookies. Il recommande aux responsables de traitements agissant dans le cadre du marketing direct de prendre des mesures de sécurité appropriées afin de prévenir toute atteinte ou violation des données et «encourage les responsables de traitement à utiliser des mesures spécifiques telles que les technologies de protection de la vie privées» (PET = Privacy Enhancing Technologies) afin de renforcer le niveau de sécurité» (mesures de sécurité du code de déontologie) ( 20 ). A retenir : En Europe, plusieurs réflexions et projets de réglementation visant à instaurer une obligation de notification des violations de traitements de données personnelles sont à l étude. Une apparente volonté de généraliser cette obligation à de nombreux secteurs ou données. C. Mais toujours des lacunes et une grande complexité dans la réglementation! Alors que l on constate un éparpillement des dispositions visant à renforcer la protection des données personnelles et imposant notamment l obligation de déclaration des incidents les impactant, à l inverse certains textes récents sont muets sur le sujet. A titre d exemple, la Commission européenne a adopté le 5 février 2010 ( 21 ) un nouveau jeu de clauses contractuelles types (CCT) pour encadrer les transferts internationaux de données à caractère personnel d un responsable de traitement vers des sous-traitants situés dans des pays ne garantissant pas un niveau de protection adéquat (en remplacement des CCT adoptées en 2001). Leur contenu ne laisse apparaître aucune disposition relative à la notification des violations de données personnelles alors que la tendance actuelle tend à vouloir faire peser sur le responsable de traitement cette obligation, tant en France qu au niveau européen et que la multiplication des sous-traitants ne peut qu'apparaître que comme un multiplicateur de risques de telles failles. Pourtant, la décision de la Commission Européenne du 5 février 2010 est muette sur ce point ( 22 ). A retenir : Toujours des manques et une grande complexité dans la réglementation. Mais avant d'aller plus loin dans l'analyse et de voir ce qu il en est en France, on déplorera qu'à défaut de simplifier l'existant toutes ces actuelles ou futures dispositions viennent encore renforcer la complexité et ajouter à la confusion du fait de leur dispersion, même si on peut constater une certaine «harmonisation» des dispositions visant à l'édification d un concept de sécurité générale. I.4. ET LA FRANCE? Les règles françaises relatives à la protection des données personnelles sont principalement définies par la loi n du 6 janvier 1978 modifiée par la loi n du 6 août 2004 (20) Code de déontologie européen en matière d utilisation de données à caractère personnel dans le marketing direct, Fédération européenne de Marketing Direct, (21) Comm. UE, déc. n 2010/87/UE, 5 févr re lative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil : JOUE n L. 39, 12 févr. 2010, p. 5 (22) Voir sur ce point étude «Nouvelles clauses contractuelles types intégrant la sous-traitance ultérieure, Eric A. Caprioli, Communication commerce électronique n 7, juillet 2010, comm. 78. Page 11

18 (transposant la directive européenne 95/46/CE précitée en cours de révision). Cette loi, dite «Informatique et Libertés» dispose en son article 1 er que : «l informatique ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques». Afin d assurer le respect de ce principe, la loi française a institué la Commission Nationale Informatique et Libertés (CNIL), qui a en particulier pour missions de recenser les traitements de données, d autoriser ou d interdire ceux d entre eux qui comportent des risques, de vérifier les précautions prises pour empêcher la communication des données à des tiers non autorisés, et de garantir, sauf exception, le droit d accès et de rectification, voire de suppression, de chacun aux données concernant sa personne. A. Cadre juridique français actuel Aujourd hui en France, la perte, le vol, l atteinte à toutes données confidentielles ou personnelles ne sont pas directement sanctionnés (peuvent l être indirectement si plainte). Pourtant, la situation ne semble pas différente des constats effectués dans les autres pays. A titre d illustration, on peut se référer (outre les exemples cités en préambule au 1.1) à l enquête du Clusif 2010 sur les pratiques de sécurité qui fait une analyse par typologies des incidents relevés dans les entreprises et hôpitaux français (voir extraits annexes 5 et 6). Les types d incidents relevés dans les entreprises de plus de 200 salariés sont, à titre d exemple : - Erreurs d utilisation 46 % (une erreur d utilisation peut entraîner par exemple une exposition des informations en ligne, une divulgation à des tiers non autorisés ou une destruction accidentelle des informations) - Vol / disparition de matériel : 37 % - Divulgations : 4 % - Actes de dénigrement ou d atteinte à l image : 3 % a. L article 34 de la loi Informatique et Libertés En France, seul l article 34 de la loi Informatique et Libertés, dans sa rédaction actuelle, astreint tout organisme traitant des données personnelles à une obligation générale de sécurité (mais pas d obligation de notification). Mais, que recouvre cette exigence? Le responsable de traitement a l obligation de mettre en place des mesures techniques et d organisation appropriées et prendre toutes les précautions utiles visant à garantir la confidentialité et l intégrité des informations. Il doit éviter toute atteinte aux données (destruction, divulgation, accès non autorisé, endommagement, ) et prendre des mesures adéquates. Les moyens mis en place devront être proportionnés à la sensibilité des données traitées et des risques présentés par le traitement. Ainsi, les données bancaires ou encore médicales doivent bénéficier d un niveau de sécurité renforcé. A retenir : Une obligation générale de sécurité imposée à tout organisme traitant des données personnelles. Cette obligation s applique également en présence d un sous-traitant, c est-à-dire de «toute personne traitant des données à caractère personnel pour le compte du responsable de traitement (art 36, alinéa 1 de la loi). Celui-ci se verra donc exiger par le responsable de traitement de mettre en œuvre des mesures de sécurité adaptées et ne pourra agir que sur instruction du responsable de traitement. Ces engagements seront formalisés par la signature d un contrat. Page 12

19 b. et les recommandations de la CNIL : Et cela n est pas nouveau! Les entreprises ont l obligation de respecter l article 34 précité et devraient avoir de longue date mis en place des règles adéquates de sécurité si elles ont suivi les diverses recommandations de la CNIL produites depuis près de 30 ans. En effet, dès 1981, la CNIL aux termes d une délibération n du 21 juillet 1981 portant adoption d une recommandation relative aux mesures générales de sécurité des systèmes d information, préconisait les règles générales suivantes tenant compte de la finalité du traitement, du volume des informations traitées et de leur degré de sensibilité au regard des risques d atteintes à la personne humaine : - l évaluation des risques et l étude générale de la sécurité pour tout nouveau traitement ; - l information et la sensibilisation des professionnels dans le sens d une participation accrue à l application des mesures de sécurité ; - la définition de règles ou procédures destinées à assurer la sécurité et la confidentialité des traitements et des informations, de les consigner dans un document de référence, les tenir à jour, et veiller à leur respect ; - le contrôle de la fiabilité des matériels et des logiciels qui doivent faire l objet d une étude attentive afin que des erreurs, lacunes et cas particuliers ne puissent conduire à des résultats préjudiciables aux personnes ; - la répartition des rôles et des responsabilités des personnes en charge de la sécurité (pouvoirs publics, constructeurs ou fournisseurs de matériels ou logiciels, utilisateurs, ) et que chacun œuvre dans le sens d une amélioration générale de la sécurité qui doit être prise en compte dès la conception des produits (NB : dès 1981, la CNIL incite déjà au «Privacy bu Design»). Dans cette délibération, la CNIL propose une définition précédemment évoquée (voir I.1.) permettant de distinguer les atteintes accidentelles des atteintes volontaires : - Atteintes accidentelles : sont celles «qui résultent des désastres naturels, tels que incendie, inondation, tremblement de terre ou qui proviennent des sources assurant le fonctionnement des systèmes informatiques, telles que le conditionnement d air, l alimentation électronique.» - Atteintes volontaires : atteintes visant à la «destruction totale ou partielle des installations, celles qui ont pour objet le vol ou l altération des logiciels, le détournement, l altération ou la destruction d informations». Depuis, cette préconisation s est convertie en obligation légale du fait de la transposition en droit français de la directive 95/46/CE modifiant la loi Informatique et Libertés du 6 janvier 1978 en 2004 et insérant l actuel article 34. Par la suite, au regard des différentes délibérations ou recommandations formulées par la CNIL, on constate qu elle impose des exigences en matière de sécurité plus ou moins fortes en fonction du type de données traitées et de leur dangerosité (données sensibles, NIR, santé, archives, ) ou des technologies utilisées (biométrie, vote électronique, vidéoprotection ). Ses différentes publications ou guides (exemple guide de l employeur) s en font le relais et comportent également des recommandations sur les mesures de sécurité à adopter. Le 12 octobre 2009, elle complète son action pédagogique en publiant une liste de 10 conseils à respecter incitant les entreprises à mettre en place des mesures de sécurité adaptées à respecter (voir Annexe 7). En outre, tout traitement de données à caractère personnel doit respecter des formalités déclaratives auprès de la CNIL avant sa mise en œuvre, sauf si l entreprise a désigné un CIL et que le traitement concerné ne reste pas soumis à autorisation (relevant des articles 25 à 27 de la loi). Dans le cadre de ces formalités, le responsable de traitement doit remplir un chapitre «sécurité» décrivant les mesures prises pour protéger les informations (voir site cnil.fr). Page 13

20 A retenir : Des exigences de sécurité imposées depuis près de 30 ans par la CNIL, adaptées en fonction du type de données traitées. Ajoutons que la confidentialité des données peut aussi être encadrée dans certains cas par d autres dispositions qui viennent s ajouter à celles posées par la loi informatique et libertés, telles par exemple celles relatives au secret de la vie privée (article 9 du code civil), au secret médical (article R.4127 du code de la santé publique), au secret professionnel (article R du code pénal), à la loi garantissant les correspondances privées par voie de communication. Certains secteurs d activité sont également l objet d un cadre (légal, réglementaire, professionnel) contraignant en terme de sécurité (exemple loi pour sa sécurité financière, Sarbanes-Oxley, code de la santé publique, ). Ainsi, les hébergeurs de données de santé agréés sont déjà astreints par le code de la santé publique (article R ) à des obligations encadrant la sécurité et la confidentialité des informations qu ils hébergent, et notamment le respect de «procédures de signalement des incidents graves, dont l altération des données ou la divulgation non autorisée des données personnelles de santé» ( 23 ). c. Sanctions : Le non-respect des dispositions prévues par la loi Informatique et Libertés est sanctionné pénalement. Plus spécifiquement, le non respect des règles de sécurité est encadré par l article du code pénal. «Le fait de procéder à un traitement ne respectant pas les exigences de sécurité définies par l article 34 de la loi Informatique et Libertés expose à des peines de cinq ans d emprisonnement et d amende.» L amende peut être multipliée par cinq lorsqu une personne morale est reconnue coupable de l infraction. L élément moral est constitué par le simple constat de l absence de sécurité. Concernant la divulgation de données personnelles, les éléments visés par l article du code pénal sont : - la divulgation ayant pour effet de porter atteinte à la considération ou à l intimité de la vie privée, - la communication à un tiers, qui n a pas qualité pour recevoir ces données, - l absence d autorisation à cette communication. Les sanctions sont de cinq ans d emprisonnement et de d amende. Lorsqu elle a été commise par imprudence ou négligence, cette divulgation est punie de trois ans d emprisonnement et d amende. D autre part, certaines dispositions du code pénal portant sur la sécurisation des systèmes d information (article et suivants du code pénal notamment issues de la loi Godfrain) doivent être observées au même titre que les dispositions de protection des données personnelles. La CNIL, dans le cadre de son pouvoir de sanction, n hésite pas à mettre en demeure les entreprises de «prendre toute mesure de nature à garantir la sécurité et la confidentialité des informations collectées dans l ensemble des traitements mis en œuvre afin que seules les personnes habilitées de par leurs fonctions y aient accès» ( 24 ). A retenir : Des sanctions financières, administratives, pénales en cas de manquement à l obligation de sécurité. (23) Voir site dispositions sur la gestion des incidents contenues dans le référentiel de constitution des dossiers de demandes d agrément des hébergeur de données de santé. (24) Cnil, délibération n du 29 mai 2009, sur absence de sécurisation des accès au logiciel de supervision et aux serveurs informatiques dans le cadre d un dispositif de vidéosurveillance. Page 14

21 D autre part, on rappellera que la responsabilité civile du responsable de traitement pourrait être engagée sur le fondement de l article 1382 du code civil dès lors qu un préjudice personnel et direct serait occasionné à la personne victime de négligences. En effet, le défaut de mesures préventives ou la défaillance du système informatique ouvre la voie à des actions en responsabilité. d. Mais encore d autres réflexions françaises On peut également observer en France comme dans d autres pays une prise de conscience de plus en plus forte des risques engendrés par l utilisation des moyens de collectes et de diffusion des informations. Ainsi, tout le monde veut s exprimer et y va de son rapport, de son article, de son interview : autorités de contrôles (CNIL), membres du gouvernement ou parlementaires, politiques, associations diverses (AFCDP, UFC Que Choisir, ), Conseil national de la concurrence, avocats spécialisés, professionnels de la sécurité, consultants spécialisés, CIL Les uns avec une réelle volonté de travailler à une meilleure protection des droits de l individu et leur sécurité, les autres avec des buts peut être moins avouables de «prospérité» politique ou financière. Ci-après sont signalés divers travaux réalisés s exprimant plus particulièrement sur la nécessité ou non de rendre obligatoire la notification des incidents de sécurités : Avis du conseil national de la consommation sur la protection des données personnelles des consommateurs (BO DGCCRF, 25 juin 2010, n 6) Le conseil national de la consommation recommande aux entreprises de s engager dans des démarches concrètes en vue de prévenir les risques d atteintes aux données. Suite à un important travail réalisé au sein du Conseil National de la Consommation (CNC) sur la protection des données personnelles et la vie privée, un avis a été adopté à l unanimité par les associations de consommateurs et les représentants des professionnels, lequel formule de nombreuses propositions favorisant la protection des données personnelles. Parmi celles-ci la proposition n 8 (1.2) relative à la sécurité des données : «Le Conseil national de la consommation souligne que la protection des données personnelles des consommateurs ne se limite pas à la question de la mise en œuvre du droit et à la maîtrise par les professionnels et les consommateurs de leurs échanges personnalisés d information : il existe un autre aspect du sujet, à savoir la sécurité des données qui implique la prévention des divulgations accidentelles d informations personnelles, imputables à des négligences dans la gestion des données et des supports, ainsi que la vigilance face aux actions intrusives et aux vols effectués par des tiers malveillants. L article 34 de la loi du 6 janvier 1978 relative à l informatique aux fichiers et aux libertés définit des obligations auxquelles le responsable de traitement, et notamment les professionnels, sont soumis, au regard de ces risques. La proposition de loi sénatoriale Détraigne/Escoffier visant à mieux garantir le droit à la vie privée à l heure du numérique prévoit de renforcer ces obligations et de définir une règle de signalement des violations de traitements à la CNIL, et d information des personnes lésées par ces violations. Les règles juridiques concernant la sécurité des réseaux, des traitements et des données sont par ailleurs précisées par la Directive 2009/136/CE du Parlement européen et du conseil du 25 novembre La meilleure solution est d éviter les risques graves quand cela est possible. Le Conseil National de la Consommation recommande aux entreprises de s engager à cet effet dans des démarches concrètes en vue de prévenir les risques d atteintes aux données personnelles.» La Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF) souligne cet important travail et souhaite que les engagements pris par les Page 15

22 professionnels soient respectés et que les mesures recommandées par l avis du CNC soient prises en compte et que les entreprises fassent des efforts pour les respecter. Afin de s assurer que les engagements pris par les professionnels seront respectés, un groupe de suivi doit être mis en place autour des rapports du groupe de travail (CLCV et FEVAD), de la DGCCRF et de la CNIL. ( 25 ) Propositions du groupe de travail «Ethique du Numérique» Extraits du rapport «Vive Internet! Libertés et règles dans le monde numérique» (31 mai 2010) : - «Un individu repérant une faille dans la sécurité informatique d une entreprise se doit de signaler cette dernière à l entreprise et ne peut être en aucun cas victime de poursuite s il le fait loyalement». - «Toute entreprise victime d une erreur ou d une attaque visant les données personnelles et mettant en péril la sécurité de ces dernières se doit de le signaler immédiatement auprès de la CNIL sous peine de sanction». A retenir : Les politiques, les associations de protection des consommateurs, le Conseil National de la Consommation, tous s attachent à demander un renforcement de la protection des données personnelles. B. Quelles évolutions pour demain? Demain, la France va-t-elle se doter d une loi rendant obligatoire les notifications des violations de traitements de données à caractère personnel? a. Projet de loi portant diverses dispositions d adaptation de la législation au droit de l Union Européenne en matière de santé, de travail et de communications électroniques Au plus tard d ici le 25 mai 2011, la France devra transposer sur son territoire les dispositions des directives dites «paquet Télécom» ( 26 ), dont la directive «vie privée et communications électroniques» ( 27 ). Cette directive apporte un lot de mesures dont l une (article 2, c), comme évoqué précédemment (voir 1.3, b.), vise à rendre obligatoire les notifications de violation de sécurité à l autorité nationale compétente sans retard indu et aux personnes concernées, du moins si celle-ci est de nature à affecter négativement les données à caractère personnel ou la vie privé de la personne concernée par la violation. Un projet de loi déposé par le Gouvernement à l Assemblée Nationale le 15 septembre 2010 ( 28 ) vise à transposer au plus vite (procédure accélérée) en droit français les dispositions portées par le «paquet Télécom» afin d éviter toute sanction de la Commission Européenne pour retard de transposition des directives européennes ( 29 ). Le projet de loi portant diverses dispositions d adaptation à la législation au droit de l Union Européenne en matière de santé, de travail et de communications électroniques du 15 septembre 2010 est un texte «fourre-tout» comportant dans ses onze articles les dispositions de transpositions de plusieurs directives sans rapport entre elles (santé, travail, communications électroniques). (25) CLCV : Association nationale de consommateurs et d usagers ; FEVAD : Fédération Nationale du e-commerce et de la vente à distance ; DGCCRF : Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes. (26) Directives européennes 2009/136/CE et 2009/140/CE du 25 novembre 2009 (27) Directive 2009/136/CE modifiant la directive 2002/58/CE (28) Projet de loi n 2789 du 15 septembre 2010 po rtant diverses dispositions d adaptation de la législation au droit de l union européenne en matière de santé, de travail et de communications électroniques. (29) Pour mémoire, ce nouveau levier de sanctions a été introduit par le traité de Lisbonne entré en vigueur le 1er décembre 2009 (articles 258 et 260 du traité sur le fonctionnement de l UE TFUE). Tout retard de transposition des directives européennes pouvant donner lieu, dès le premier arrêt de manquement, à des amendes forfaitaires et, le cas échéant, à astreintes journalières, exposant les Etats membres à des lourdes sanctions financières. La procédure contentieuse s engageant de façon automatique, sans délai à compter de la date d échéance de la transposition. Page 16

23 Seul nous intéresse dans le cadre de cette étude, le chapitre III du projet de loi portant les mesures relatives aux communications électroniques et qui impose l obligation de notification des violations de sécurité. L article 11, 2 autorise le gouvernement à prendre les dispositions législatives nécessaires à la transposition de la directive 2009/136/CE du 25 novembre 2009, cette directive prévoyant «une procédure de notification des violations de données à caractère personnel à la charge des opérateurs afin de les inciter à mettre en œuvre des mesures de protection efficace» ( 30 ). La directive 2009/136/CE du 25 novembre 2009 prévoit que les notifications de violations de sécurité devront être faites à l autorité nationale compétente. Jusqu alors, des doutes quant au régulateur concerné pouvaient exister : ARCEP, CNIL, ANSSI? ( 31 ) Or, au regard de l analyse des impacts de ces mesures sur les administrations présentée en annexe du projet de loi ( 32 ), la CNIL est clairement identifiée comme destinataire des notifications. «D autres mesures auront des conséquences plus importantes pour l autorité telles que l obligation incombant aux opérateurs de lui notifier les violations de données (cas accidentels ou illicites de perte, altération, divulgation, etc). Des charges et ressources supplémentaires sont à prévoir, initialement pour concevoir et développer en concertation avec certains acteurs des principes et un système informatisé de notification, puis entre 1 heure et 5 personnes/jours au fil de l eau par notification de violation». L analyse d impacts évoque la nécessité de prévoir des moyens et ressources supplémentaires notamment pour arrêter les principes de ces notifications et la conception d un système informatisé de notification. Le Gouvernement est autorisé à transposer ce nouveau cadre réglementaire par voie d ordonnance (article 11 du projet) dans un délai de six mois à compter de la date de publication de la loi. Le projet de loi de ratification devant être déposé au plus tard le dernier jour du troisième mois suivant la publication de l ordonnance devant le parlement. L objectif des autorités françaises est de respecter l obligation de transposer ces textes, et en particulier de se conformer aux délais imposés, raison principale pour laquelle elles ont choisi de recourir par voie d ordonnance. L importance du respect du délai de transposition fixé par la Commission Européenne est essentielle afin d éviter tout recours en manquement engagé par la Commission Européenne et de ce fait, toute sanction pécuniaire importante. «L essentiel des dispositions doit être applicable au plus tard le 25 mai 2011» ( , page 113 de l étude d impacte précitée). La procédure de notification des violations de sécurité ou perte d intégrité des données personnelles ayant eu un impact significatif s imposera donc a minima au secteur des communications électronique en France à partir de mai 2011 si le calendrier est tenu. La transposition en droit français des directives dites «paquet Télécom» viendront introduire de nouvelles dispositions dans le code des postes et communications électroniques, le code de la consommation, le code pénal, la loi informatique et libertés de 1978 notamment. b. Proposition de loi sénatoriale Détraigne/Escoffier visant à mieux garantir le droit à la vie privée à l heure du numérique Un autre texte français, la proposition de loi sénatoriale Détraigne/Escoffier visant à mieux garantir le droit à la vie privée à l heure du numérique prévoit l instauration en France de dispositions similaires de notification des violations de sécurité qui devraient s imposer à tous (30) Voir Etude d impact annexée au projet de loi, chapitre IV du projet de loi, «Une meilleure protection du consommateur et des données personnelles», page 98 (31) ARCEP : Autorité de régulation des communications électroniques et des postes ; ANSSI : Agence Nationale de la Sécurité des Systèmes d Information. (32) Voir Chapitre IV, 4 «Analyse des impacts», La CNIL, page 111 Page 17

24 les secteurs d activité. Ce texte a été adopté en première lecture par le Sénat le 23 mars 2010 et devrait être maintenant débattu à l Assemblée Nationale mais à une échéance non encore connue à ce jour. Cette proposition de loi présentée le 6 novembre 2009 au Sénat par les sénateurs Yves Détraigne et Anne-Marie Escoffier, fait suite au rapport d information du 27 mai 2009 qui avait mis en évidence les risques liés à l apparition des nouvelles «mémoires numériques» du fait des progrès technologiques et du développement des réseaux sociaux. Dans ce rapport, les deux sénateurs proposaient une modification de la loi n du 6 janvier 1978 modifiée en 2004 afin de renforcer la protection des données personnel. Lors de son examen par la Commission des lois le 24 février 2010, cette dernière a cherché à trouver un meilleur équilibre entre la protection des données et la liberté des acteurs. La proposition de loi tend au travers son article 7 à renforcer de manière substantielle l article 34 de la loi n du 6 janvier 1978 relatif à la sécurité des fichiers de données personnelles en précisant l obligation de sécurisation des données incombant au responsable de traitement et en instaurant, à l instar de ce qui existe déjà dans d autres pays, la notification obligatoire des «failles de sécurité», c est-à-dire «toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l altération, la divulgation, la diffusion, le stockage, le traitement ou l accès non autorisés ou illicite» (proposition de loi article 7). Dans sa rédaction actuelle, l article 34 de la loi n du 6 janvier 1978 modifiée dispose simplement que : le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Le responsable a une obligation de mettre en oeuvre des mesures de sécurité, mais non de notifier d éventuelles violations de sécurité. Par le vote de la loi en cours d élaboration, l article 34 serait ainsi complété : En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant informatique et libertés ou, en l absence de celui-ci, la Commission nationale de l informatique et des libertés. Le responsable du traitement, avec le concours du correspondant informatique et libertés, prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l intégrité et de la confidentialité des données. Le correspondant informatique et libertés en informe la Commission nationale de l informatique et des libertés. Si la violation a affecté les données à caractère personnel d une ou de plusieurs personnes physiques, le responsable du traitement informe également ces personnes, sauf si ce traitement a été autorisé en application de l article 26. Le contenu, la forme et les modalités de cette information sont déterminés par décret en Conseil d État pris après avis de la Commission nationale de l informatique et des libertés. Un inventaire des atteintes aux traitements de données à caractère personnel est tenu à jour par le correspondant informatique et libertés. Le responsable du traitement met en œuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l altération, la divulgation, la diffusion, le stockage, le traitement ou l accès non autorisés ou illicite.. En clair : dès que les informations personnelles traitées par un organisme présenteront une violation, il faudra en référer à la Cnil. Le responsable du traitement devra aussi informer les personnes dont les données personnelles peuvent avoir été compromises par une violation de la sécurité des données (à moins qu il ne s agisse d un fichier de police autorisé par l article 26 de la loi Informatique et libertés), et cela sans distinction de secteurs et quel que soit le type de données concernées. Le texte fait également apparaître un acteur clé dans la gestion des violations de sécurité en donnant au correspondant informatique et libertés un rôle important dans ce contexte. Page 18

25 A signaler que le projet d article 34 tel que rédigé à ce jour ne donne aucune définition de ce qu est une violation et ne fait aucune référence à la notion de «notification», mais prévoit une information de la CNIL par le Correspondant Informatique et libertés (CIL). Le but de l obligation de notification, nouvelle en droit français, est d inciter les responsables de traitement à mettre en œuvre préventivement des mesures de protection adéquates. Les entreprises devront d avantage veiller à la sécurité des données personnelles qui leurs sont confiées. CONCLUSION DU CHAPITRE 1 ER La question de la déclaration légale des violations de données personnelles est donc clairement posée en France. Si de telles dispositions sont adoptées, ce qui a de fortes chances d aboutir compte-tenu des travaux européens et français actuellement en cours, reste à en définir l échéance, les modalités et le périmètre d application. En effet à l heure actuelle, de nombreuses incertitudes demeurent. Si le CIL est clairement désigné pour la mise en œuvre des nouvelles mesures prévues par l article 34 précité, quel pourrait être son rôle et quels impacts en résulteront tant pour le CIL que pour les autres acteurs, directement ou indirectement concernés par cette mesure. Page 19

26 C h a p i t r e 2 VIOLATIONS DE DONNEES PERSONNELLES : QUEL ROLE POUR LE CIL? Pour mémoire, la proposition de loi sénatoriale Détraigne/Escoffier du 23 mars 2010 tendant à mieux garantir le droit à la vie privée à l'heure du numérique comporte de nombreuses dispositions tendant à renforcer la protection des données personnelles. Parmi ces mesures, sont uniquement traitées dans le cadre de cette étude : celle de notifier les atteintes aux données personnelles à la fois à la CNIL et aux personnes concernées (voir contexte et cadre légal en chapitre 1) ; celle visant à donner un rôle au correspondant informatique et libertés (CIL) en en faisant le premier destinataire de l information sur la violation de traitement de données personnelles. Dans un deuxième temps, le responsable de traitement avertirait par tout moyen les personnes concernées si une atteinte réelle a été portée à la confidentialité de leurs données. Enfin, le CIL tiendrait un inventaire des atteintes aux traitements de données à caractère personnel. Dans ce contexte, le Correspondant Informatique et Libertés (CIL) va-t-il devenir «incontournable»? Quels sont ses atouts? Ses obstacles? Tous les CIL seront-ils astreints aux mêmes obligations en fonction de leurs secteurs d activité? De quels acteurs, partenaires ou «adversaires», devra-t-il s entourer ou tenir compte? Face aux risques et conséquences induits par une atteinte aux données personnelles, comment l entreprise, le CIL, peuvent-ils (doivent-ils?) anticiper, se préparer, se protéger, faire face à la situation de crise engendrée par la violation et gérer l après? Autant de questions auxquelles nous allons tenter d apporter un éclairage et évaluer les impacts sur le métier de CIL, compte tenu bien entendu des incertitudes législatives existantes à ce jour en la matière. Pour débuter l analyse, il semble important en préambule de ce deuxième chapitre de rappeler brièvement le rôle et les missions actuels du CIL (II.1). Dans un deuxième temps, sera analysé comment son rôle pourrait évoluer en cas d atteintes aux données personnelles pour en faire un acteur de première importance en cas d obligation de notification (II.2) ; et s il devient «incontournable» de quels acteurs, internes ou externes, il devra tenir compte (II.3). Viendra ensuite le moment de savoir comment le CIL pourrait anticiper, se préparer à la gestion des incidents et faire face à l après (II.4), et de voir quelles conclusions pourront en être tirées. II.1. CIL : D AUJOURD HUI ET DE DEMAIN Les dispositions visées laissent fortement entendre que le CIL devra s impliquer et avoir un rôle à jouer en matière de prévention et d atteintes aux données personnelles si la France s oriente vers une obligation de notification telle qu envisagée à ce jour. Mais, quelles différences par rapport à aujourd hui? N a-t-il pas déjà une mission à remplir au regard des textes actuels? En quoi ce nouveau contexte pourrait-t-il renforcer son rôle et dans quelles proportions? Page 20

27 A. Etre CIL aujourd hui : rôle et missions La loi n du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés, par sa refonte de 2004 ( 33 ) a créé le poste de Correspondant à la protection des données à caractère personnel, communément appelé Correspondant Informatique et Libertés (CIL), dont tout organisme peut se doter s il le souhaite (non obligatoire à ce jour). Le CIL a cinq ans! En cet anniversaire, le site de la CNIL indique que 1803 Correspondants sont en activité. Ils sont désormais bien répartis sur toute la France, même si les professions réglementées (avocats, notaires, huissiers) représentent la moitié des 6055 organismes ayant désigné un CIL. Le rôle et les missions du CIL ont été définis par décret n du 20 octobre 2005 (articles 42 à 55) pris pour l application de la loi n du 6 janvier 1978 modifiée. On peut résumer très brièvement ce rôle en quelques mots (voir pour plus précisions, dispositions du décret précitées relatives aux Correspondants à la protection des données en annexe 3). Le CIL est chargé d assurer, de manière indépendante, le respect des obligations prévues par loi Informatique et Libertés, d informer et conseiller, d alerter le responsable de traitement comme l ensemble du personnel sur les questions de protection des données personnelles. Cette fonction peut être confiée à une personne interne à l entreprise ou externe à celle-ci lorsque moins de 50 personnes ont accès au traitement. Selon la CNIL, la désignation d un CIL permet d «alléger» les formalités déclaratives auprès de la CNIL (article 22, III de la loi, dispense de formalité l organisme ayant désigné un CIL, sauf pour traitement soumis à autorisation visés aux art.25, 26, 27- ou transferts d informations hors UE). En contrepartie, le CIL a l obligation de tenir à disposition de l autorité de contrôle une liste des traitements mis en œuvre au sein de l établissement. Il a également l obligation d établir un bilan annuel de ses activités qu il présente au responsable de traitement et tient à disposition de la CNIL (article 49 de la loi). On le constate, le vrai travail du CIL n'est pas uniquement de savoir gérer le Registre des traitements. Sa véritable fonction est d'être responsable de la conformité Informatique et Libertés "chargé d assurer, d une manière indépendante, le respect des obligations prévues dans la présente loi" (article 22). La loi (ou plutôt les lois puisqu il se doit de tenir compte des réglementations sectorielles impactant son entreprise), la jurisprudence, les décisions, recommandations, avis et conseils de la CNIL constituent le référentiel de cette conformité en constante évolution. Ce référentiel est jeune et mouvant, chaque document, chaque décision ou courrier de la Commission pouvant apporter de nouveaux éclairages ou de nouvelles règles. A retenir : Le CIL est chargé d assurer la conformité informatique et libertés de façon indépendante, d informer, conseiller, alerter le responsable de traitement, de tenir la liste des traitements et un bilan annuel de son activité Le CIL est donc un «moyen» de garantir la conformité en matière de données personnelles et notamment, pour le sujet qui nous préoccupe, la sécurité des données à caractère personnel traitées imposée par l article 34 de la loi (voir chapitre 1, I.4, A). (33) Loi n relative à la protection des pe rsonnes physiques à l égard des traitements de données à caractère personnel du 6 août 2004 modifiant la loi du 6 janvier 1978 (JO du 7 août 2004). Page 21

28 B. Et demain : quel avenir pour le CIL? L une des dispositions importantes portées par la proposition de loi sénatoriale Détraigne/Escoffier visant à garantir le droit à la vie privée à l heure du numérique tend à rendre obligatoire la nomination d un correspondant informatique et libertés dans tout organisme mettant en œuvre un traitement soumis à autorisation ou pour lequel plus de cent personnes y ont directement accès ou sont chargées de sa mise en œuvre. On voit également apparaître ce même souhait que la désignation d un correspondant «Informatique et Libertés» soit rendue obligatoire dans le rapport du Conseil National de la Consommation (CNC) sur la protection des données personnelles des consommateurs ( 34 ). Cette volonté a toutefois été «modérée» par le collège des professionnels suggérant préalablement la réalisation d une étude d impacts visant à mesurer les coûts financiers, humains et les répercussions organisationnelles de cette obligation. Dans le cadre des travaux en cours sur la révision de la directive 95/46/CE précitée, la commission au parlement européen dans une communication en date du 4 novembre 2010 ( 35 ), visant à définir l approche de modernisation du cadre juridique de l Union Européenne régissant la protection des données à caractère personnel s engage à examiner les mesures visant à rendre obligatoire la désignation d un correspondant à la protection des données personnelles (CIL), et à harmoniser les règles relatives à leurs tâches et compétences, tout en évitant de faire peser des charges administratives indues, notamment sur les petites et moyennes entreprises. Pour d autres, dont l Association Française des Correspondants à la Protection des Données Personnelles (AFCDP), rendre le CIL obligatoire risque d entraîner la désignation de personnes pour le seul besoin de répondre à l obligation et non pour une réelle volonté de l organisme d agir en conformité avec la réglementation Informatique et Libertés, d où peut-être, des désignations de personnes ne disposant pas forcément des compétences indispensables à la tenue de ce rôle. A signaler également, comme évoqué précédemment, que le nombre de correspondants informatiques et libertés désignés reste faible au regard du nombre d entreprises privées ou publiques existantes sur le territoire. Bien que leur nombre augmente sensiblement au fil du temps, cette tendance pourrait indéniablement s accélérer si des dispositions visant à le rendre obligatoire dans tout organisme venaient à être adoptées en France, ou si on le désigne expressément comme personne chargée des notifications des violations à l autorité de contrôle française. Mais dans ce cas également, on peut craindre des désignations pour le seul besoin de traiter la notification et non pas pour une réelle volonté de conformité à la réglementation. Il est donc vraisemblable que le CIL devienne au fil du temps un acteur de plus en plus important au cœur de l entreprise, obligatoire ou non, au vu de la prise de conscience actuelle des risques de violation de la vie privée ou d atteinte aux libertés fondamentales et d une apparente volonté de les encadrer. A retenir : Obligatoire ou non, le CIL est un acteur important dans l entreprise qui doit avoir certaines compétences Pour autant, le Correspondant Informatique et Libertés va-t-il devenir «incontournable» en cas d atteintes aux données personnelles? (34) Publié le 18/05/2010. (35) Communication COM (2010) 609/3 de la commission au parlement européen, au conseil, au comité économique et sociale européen et au comité des régions Une approche globale de la protection des données à caractère personnelle dans l UE (4 novembre 2010). Page 22

29 II.2. QUEL ROLE POUR LE CIL EN CAS DE VIOLATIONS DE DONNEES PERSONNELLES? Aujourd hui, aborder la sécurité des systèmes d information sans inclure les aspects de protection de la vie privée semble impossible puisque les systèmes stockent et traitent de plus en plus de données à caractère personnel qui doivent à ce titre être protégées conformément aux exigences légales et réglementaires (article 34 de la loi notamment). Alors quel rôle le Correspondant Informatique et Libertés peut-il avoir dans le cadre de la gestion des violations de données personnelles et de leur notification? Quels sont ses atouts et ses points faibles? Comment peut-il anticiper et prévenir les violations, faire face à la situation et gérer l après? A. Gestion des violations de données personnelles par le CIL La proposition de loi Sénatoriale Détraigne/Escoffier souhaite faire du CIL le premier destinataire de l information sur la violation des données personnelles (a) et lui imposer la tenue d un registre des incidents (b). a. CIL : premier informé des violations de traitement de données personnelles La proposition de loi précitée, en son article 7 modifiant l article 34 de la loi Informatique et Libertés, prévoit de donner un rôle au CIL en en faisant le premier destinataire de l information sur la violation : En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant informatique et libertés ou, en l absence de celui-ci, la Commission nationale de l informatique et des libertés. Le correspondant informatique et libertés en informe la Commission nationale de l informatique et des libertés.» Que sous-entend cette disposition pour le CIL? A minima, le CIL aura un nouveau rôle administratif : il recevra l information du responsable de traitement et en informera la CNIL, et consignera les faits dont il aura eu connaissance sur un registre des incidents (voir ci-après b.). Il est également prévu qu il accompagne le responsable de traitement sur la gestion de l atteinte aux données : «Le responsable du traitement, avec le concours du correspondant informatique et libertés, prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l intégrité et de la confidentialité des données» (proposition loi article 34). Ce rôle de conseil du CIL auprès du responsable de traitement est déjà prévu par l actuel article 49 du décret du 20 octobre 2005 puisqu «il peut faire toute recommandation». La future disposition Sénatoriale Détraigne/Escoffier n apporte donc en ce sens rien de nouveau quant au rôle du CIL car on peut supposer qu à ce jour il est déjà susceptible d être sollicité par le responsable de traitement sur ces problématiques, à condition toutefois qu elles soient portées à sa connaissance. Le problème de la remontée d information vers le CIL des incidents impactant les données personnelles est quant à lui «corrigé» par la proposition de loi sénatoriale Détraigne/Escoffier celle-ci visant à imposer une obligation d information du CIL par le responsable de traitement. Si la violation a affecté les données à caractère personnel d une ou de plusieurs personnes physiques, le responsable du traitement devra également informer les personnes ( 36 ). Cette (36) Sauf si traitement a été autorisé en application de l article 26 de la loi Informatique et Libertés. Le contenu, la forme et les modalités de l information seront déterminés par décret en Conseil d État pris après avis de la CNIL. Page 23

30 disposition n impacte pas directement le rôle du CIL, sauf si le responsable de traitement, ici encore, fait appel au CIL en sa qualité de «conseil». Le projet de texte est muet quant à l interlocuteur susceptible de répondre aux demandes de précisions de l autorité de contrôle suite à la notification faite par le CIL. Sollicitera-t-elle le responsable de traitement? le CIL? les deux? Des pistes de réponses existent dans les dispositions actuelles du décret du 20 octobre 2005 qui prévoient que «la commission peut à tout moment solliciter les observations du correspondant à la protection des données ou celles du responsable des traitements». On peut donc fortement supposer, du fait de ces dispositions et de sa pratique actuelle, qu elle sollicitera prioritairement le CIL pour obtenir toutes précisions utiles et nécessaires à l appréciation de la situation et des suites à donner. A retenir : Rôle de conseil, d accompagnement du responsable de traitement Rôle d information de la CNIL lors de la notification et sur ses suites Pour répondre aux sollicitations de la CNIL, le CIL pourra s appuyer sur le contenu du registre des incidents prévu par la future réglementation (et sur son registre des traitements). b. Registre des incidents «Un inventaire des atteintes aux traitements de données à caractère personnel est tenu à jour par le correspondant informatique et libertés». Il incomberait donc au CIL de tenir à jour un inventaire où les incidents seraient soigneusement consignés, décrits et documentés, d après le nouvel article 34. Comment le CIL pourra-t-il tenir son inventaire des atteintes aux traitements de données à caractère personnel? La remontée d information vers le CIL des incidents impactant les données personnelles a été prévue par la proposition de loi sénatoriale Détraigne/Escoffier. Toutefois, cette remontée d informations ne pourra s effectuer sans la mise en place au sein de l organisme de règles et procédures adaptées visant d une part à la détection de ces atteintes, et d autre part à leur déclaration au CIL et à leur gestion. Mais, avant de définir et mettre en œuvre de nouvelles procédures internes contraignantes visant à informer le CIL, il peut être judicieux de s interroger sur l existant, et le cas échéant de s appuyer dessus, pour ne pas complexifier et multiplier encore les procédures déjà nombreuses dans l organisme et ne pas renforcer la confusion des utilisateurs et services. Sur l existant et selon une étude du CLUSIF publiée en 2010 ( 37 ), un peu plus de 51 % des entreprises interrogées sur les pratiques de sécurité en France disposent d une cellule en charge de la collecte, de la gestion et du suivi des incidents de sécurité. (NB : A signaler que l étude visée ci-dessus porte sur des entreprises de plus de 200 salariés, et donc disposant de moyens importants tant en termes humains que financiers. On peut supposer que dans des entreprises de plus faible taille ou PME/TPE, les constats sont vraisemblablement tout autre). On peut s étonner de ce faible pourcentage, puisque dans un guide pratique «sécurité des données à caractère personnel» édité en 2009, la CNIL préconise un certain nombre de mesures en vue d atteindre l objectif de sécurité. Parmi ces préconisations, elle définie comme «mesure primordiale et donc à considérer en priorité» la mesure définie dans la norme ISO : «il convient que le responsable de traitement soit informé dans les meilleurs délais, des événements liés à la sécurité des données à caractère personnel (ISO )». Puis elle complète «il conviendrait que le responsable de traitement notifie aux personnes concernées l accès frauduleux à leurs données» (IL-Noti-1)» (voir extrait du guide en annexe 4). Ces deux recommandations sont reprises dans la Fiche n 8 «Traçabilité et gestion des (37) Club de la Sécurité de l Information Français, Menaces informatiques et pratiques de sécurité en France, édition Page 24

31 incidents» du guide «Sécurité des données personnelles» édité par la CNIL en octobre 2010 (voir site cnil.fr). Il est donc clair, au vu de ce qui précède, que les entreprises et organismes devraient normalement être en mesure de répondre à l obligation de notification si ils ont suivi les recommandations faites par la CNIL depuis Dans certains secteurs d activité, du fait de l existence de réglementations sectorielles très contraignantes (santé, banques, assurance, ), le CIL pourra s appuyer sur les process existants imposés en matière de gouvernance, de contrôle interne et de maîtrise des risques (dont risques opérationnels) pour obtenir une vision de la conformité et de la sécurité existantes. En résumé, le CIL pourra donc s appuyer sur ces procédures existantes pour trouver l information utile à la tenue de son inventaire des atteintes aux traitements. A défaut, il devra implémenter des procédures internes afin d organiser la remontée vers lui des incidents impactant les données personnelles. Il devra élargir le périmètre de sa «surveillance» de manière à pouvoir être informé de tous incidents pouvant entraîner une exposition des données personnelles, non seulement impactant les systèmes d information mais également tous autres supports (atteintes aux éléments stockés sur supports papiers et électroniques, fraudes/malveillances internes ou externes, négligences ou erreurs humaines ayant entraîné des accès non autorisé aux informations, sous-traitant défaillant, ). Bien qu il appartienne normalement au responsable de traitement de mettre en place les procédures adéquates lui permettant d informer le CIL de toutes atteintes aux données personnelles survenues au sein de son entreprise, le CIL peut ici encore être interrogé et conseiller le responsable de traitement sur les processus à déployer. Il convient également de ne pas perdre de vu les dispositions de l article 46 du décret du 20 octobre 2005 ( 38 ) «le correspondant ne reçoit aucune instruction pour l exercice de ses missions» qui peuvent permettre au CIL de mettre en place des processus internes adaptés et nécessaires à sa nouvelle obligation de tenue du registre des incidents, cette disposition faisant partie intégrante de ses missions si le texte est voté. A retenir : Nécessité de mettre place des règles et procédures de détection des atteintes sur un large périmètre incluant tous les supports d information, de déclaration des violations au CIL, de gestion et suivi des mesures afin de pouvoir tenir le registre des incidents du CIL Le registre des incidents tenus par le CIL permettra d apporter toutes réponses adaptées et fiables en cas de demandes d informations de la part de l autorité de contrôle, des personnes concernées, ou de tous autres interlocuteurs (journalistes, actionnaires, instances représentatives du personnel,.). Les textes sont toutefois muets à ce jour sur le point de savoir si ce registre des incidents devra être envoyé à l autorité, tenu à sa disposition tout comme le bilan annuel du CIL (à l instar de ce qui existe en Espagne et est en projet en Irlande), ou s il est susceptible d être communiqué à toute personne en faisant la demande (!!) comme cela est prévu pour la liste des traitements. Ni les modalités de tenue du registre des incidents, ni son contenu ne sont précisés à ce jour. Si l on se réfère aux dispositions existantes dans d autres pays ou dans les textes de révision du «paquet télécom», ce registre devrait comporter a minima : - la nature de l atteinte aux données à caractère personnel, la catégorie de données concernées (sensibilité), et leur volume ; - les mesures prises par l organisme pour permettre le rétablissement de la protection de l intégrité et de la confidentialité des données, (38) Décret n Page 25

32 - les mesures prises par l organisme pour informer les personnes et les recommandations données pour atténuer les conséquences négatives possibles de la violation, et l informer des points de contact auprès desquels des informations peuvent être obtenues (exemple mise en place d un numéro vert). Registre des incidents / Bilan annuel du CIL : «Le CIL a l obligation d établir un bilan annuel de son activité qu il présente au responsable de traitement et qu il tient à disposition de la Commission Nationale de l Informatique et des Libertés» (article 49 du décret du 20 octobre 2005). Il doit donc consigner dans ce bilan annuel tous les événements de l année écoulée pour lesquels il a été sollicité et toutes actions réalisées. Il se doit donc dores et déjà d y consigner les événements impactant les données personnelles dont il a pu avoir connaissance et les mesures prises pour y remédier. En ce sens, la proposition de loi ne vient qu apporter une précision quant au contenu du bilan annuel, le registre des incidents pourrait devenir un chapitre ou une annexe du bilan annuel du CIL. Mais attention : autant le CIL a l obligation de réaliser son bilan une fois par an, autant il se devra d être régulier dans la tenue de son registre des incidents : «Un inventaire des atteintes aux traitements de données à caractère personnel est tenu à jour par le correspondant informatique et libertés» (proposition modification article 34) A signaler également que la proposition de loi Sénatoriale Détraigne/Escoffier vise à modifier certaines dispositions concernant la tenue du bilan annuel du CIL. Ainsi, le CIL aurait l obligation (et non plus la simple faculté) de transmettre à la CNIL son «rapport» annuel d activité. A noter au passage, que le mot «bilan» a été remplacé par «rapport». Le CIL devrait donc RAPPORTER à la CNIL de l ensemble de son activité. La CNIL disposerait ainsi d un véritable outil de contrôle sur pièces si elle le souhaite. A retenir : Mettre le registre des incidents en annexe du bilan annuel du CIL Mais pour être en capacité de tenir à jour le registre des incidents et le bilan annuel, cela présuppose bien entendu que les incidents susceptibles d entraîner une exposition ou une atteinte aux données personnelles soient identifiés, ce qui n est pas toujours le cas ou l est a posteriori (sur ce point, voir ci-après II.3 : CIL incontournable mais pas seul au monde). B. CIL : quels atouts, quels obstacles dans la gestion des violations de données personnelles? a. Des atouts : facilité d accès à l information et aux personnes? Pour remplir ses obligations en matière de formalités préalables, le responsable de traitement doit établir une cartographie des traitements. Cette cartographie s effectue à partir d un recensement exhaustif des applications de l entreprise, les unes faisant l objet d une inscription sur la liste des traitements tenue par le CIL, les autres faisant l objet soit de dispenses, soit de demandes d avis ou d autorisation. L obligation incombant au CIL de tenir la liste des traitements fixée par le décret lui permet d avoir une bonne visibilité de la nature et de la sensibilité des informations, de leur localisation ou destinataires et des populations concernées (clients, patients, salariés, ). Il est ainsi en pleine mesure, à condition d avoir consigné sur le registre l ensemble des traitements de l entreprise (y compris traitements dispensés de déclaration ou ceux soumis à avis ou Page 26

33 autorisation de la CNIL ( 39 ), d effectuer sous un bref délai une évaluation des premières conséquences d une violation. Il connaît de plus les systèmes d information ou processus en place dans l entreprise puisqu il lui appartient de s assurer du niveau de protection des informations personnelles traitées, de leur conservation, de l encadrement juridique des partenaires externes à l entreprise intervenant dans la gestion et le traitement des données (existence de contrats de prestations ou soustraitance, Clauses Contractuelles Types encadrant les transferts hors UE, ). Il connaît également bien la structure de l entreprise et ses différents acteurs et collaborateurs, notamment du fait de la sensibilisation qu il effectue auprès de ceux-ci. Lorsqu il est désigné au sein de l entreprise, il bénéficie donc d un accès rapide à l information, ce qui en fait un interlocuteur de choix. Il est ainsi en capacité de trouver les bons interlocuteurs et prendre toutes décisions ou actions rapides visant à gérer les incidents impactant les données personnelles. Lorsqu il est désigné hors de l entreprise (CIL externe), l accès à l information et aux personnes peut au premier abord sembler plus difficile pour lui si l on perd de vue qu il agit sur des petites structures (moins de 50 personnes ayant accès aux traitements). Il est donc tout à fait à même de trouver l information nécessaire à la gestion des incidents relatifs aux données personnelles d une part à la lecture du registre des traitements qu il tient et d autre part avec l appui du responsable de traitement l ayant désigné. L efficacité du CIL est d autant plus renforcée qu il dispose d un accès rapide et privilégié aux services de la CNIL (extranet dédié, lignes téléphoniques et adresses électroniques dédiées, ) et qu il a pu bénéficier d actions de formation dispensées par les agents de la CNIL pour le sensibiliser à la complexité des textes et notamment à l obligation de sécurisation des données. Il peut ainsi entrer en contact rapide avec les agents de la CNIL en cas de problèmes ou donner une première appréciation des conséquences d une atteinte aux données personnelles au responsable de traitement. A retenir : Une bonne visibilité des traitements et des données, une bonne connaissance des systèmes, des processus, des interlocuteurs de l entreprise, un accès rapide à l information, une personne avec des compétences et un réseau, le CIL des atouts pour agir efficacement b. Des obstacles : les moyens de le faire? Selon les résultats de l enquête menée par l AFCDP ( 40 ) sur les impacts de cette future obligation de notification, une durée de 1 à 2 ans est estimée par les répondants pour se mettre en conformité (pour mémoire, seule la moitié des entreprises françaises est dotée de procédures de gestion des incidents de sécurité actuellement). Cette durée est bien entendue très variable en fonction de la taille de l entreprise et de son secteur d activité. Cela peut sembler curieux si l on se remémore les préconisations faites tant par la CNIL depuis 2009 dans son guide sur la sécurité des données personnelles sur la nécessité de mettre en place des procédures de gestion des incidents, que par la norme ISO dont beaucoup d entreprises suivent les mesures même si elles ne vont pas jusqu à la certification (voir ciavant, b. Registre des incidents) Le CIL pour répondre à l obligation de notification des violations de données personnelles devra donc, à défaut de pouvoir s appuyer pour partie sur de l information existante, disposer des moyens nécessaires lui permettant de gérer cette nouvelle mission, puisqu au regard de (39) Traitements soumis à autorisation visés aux art.25, 26, 27 ou transferts d informations hors UE (40) Etude réalisée dans le contexte de la conférence AFCDP sur la notification des «atteintes aux traitement de données personnelles» - Pilote : Bruno RASLE (délégué général AFCDP, 23 mars 2010). Page 27

34 la réglementation, des moyens doivent lui être attribués pour l exercice de ses fonctions. En effet, les moyens du CIL sont clairement énumérés dans le dossier de nomination transmis à la CNIL : «Les mesures prises par le responsable de traitement en vue de l accomplissement par le correspondant de ses missions en matière de protection des données» (article 43 6 du décret du 20 octobre 2005). Toutefois, la réalité semble toute autre pour beaucoup de CIL au regard de l analyse présentée par Aurélie Goyer fin 2009 suite à son enquête sur le métier de CIL : «Donne-t-on au correspondant informatique et libertés les moyens d être efficace? ( 41 ) Au regard de cette enquête il ressort que peu de CIL disposent de vrais moyens tant en temps qu en aide. En effet, plus de la moitié des CIL n ont accès à aucune aide et 45% d entre eux consacrent moins de 25% de leur temps de travail à leurs missions, puisqu en grande majorité ils exercent d autres fonctions au sein de leur entité. Ils ne semblent pas mieux lotis côté budget puisque 62% des correspondants n ont aucun budget dédié à leur fonction. La moitié d entre eux se satisfait par ailleurs des outils de bureautique classiques. Bilan, ils sont 53% à considérer que leurs moyens sont insuffisants. D autre part, tous les CIL ne sont pas des experts en terme de sécurité des données personnelles. Le CIL devra acquérir des compétences minima en techniques si elles lui font défaut afin de pouvoir comprendre et évaluer la situation et remplir efficacement cette nouvelle mission. Des efforts de formation seront nécessaires pour acquérir ces connaissances indispensables. Pour ce faire, la CNIL dispense des modules de sensibilisation à la sécurité à tous les CIL qu ils viennent d être nommés ou qu ils le soient depuis plusieurs années. Les responsables de traitement devront-ils compléter cette sensibilisation par des formations plus pointues et pourront-ils les refuser pour raisons budgétaires? A retenir : Nécessité pour le CIL de disposer de moyens (financiers, temps, aide, ) et de compétences afin de gérer cette nouvelle obligation Compte tenu de cette absence de moyens, l existant lui permettra-t-il de remplir pleinement cette nouvelle mission? Cartographie des traitements : La cartographie s effectue à partir d un recensement exhaustif des applications. Ce recensement permet d identifier pour l ensemble des applications informatisées les principales données collectées et traitées comme nous l avons vu précédemment. La difficulté résidera ici pour le CIL dans le fait que l atteinte aux données personnelles peut porter tant sur des applications informatiques (fichiers, bases de données, ) que sur des éléments figurant sur tous autres supports (dossiers papiers, listings, , clés USB, ordinateur portable, disque dur externe, CD, DVD ). Le registre du CIL ne permettra donc pas à lui seul de pouvoir répondre totalement à l obligation de notification des violations de données à la CNIL puisque seuls les traitements automatisés sont à inscrire sur la liste des traitements. Il devra donc élargir le périmètre «surveillé» pour avoir une vision globale des violations de données personnelles. Classement des données : Une méconnaissance des données traitées et leur absence de classification rendent également difficile la réponse à l obligation de notification. Force est de constater à l illustration de l enquête 2010 réalisée par le Clusif sur les menaces informatiques et les pratiques de sécurité en France, que peu d entreprises ont totalement inventorié leurs informations et identifié leurs propriétaires. «la notion d inventaire des informations et de leurs supports n est pas encore complètement ancrée dans la culture des entreprises. En effet, seulement 30 % d entre elles ont réalisé un inventaire complet de leurs (41) Thèse professionnelle Mastère Management et protection des données à caractère personnelle de l ISEP Aurélie Goyer Décembre 2009 Page 28

35 données et 4 % l ont fait sur des données qui ne dépendent pas uniquement de l outil informatique Une fois l inventaire réalisé la question de la classification des informations se pose. 23 % des entreprises ayant réalisé un inventaire annoncent avoir effectué une classification des informations ce qui signifie que seulement 7 % des entreprises disposent de cette classification sur la totalité de leurs biens informationnels.» ( 42 ) Des chiffres très bas qui vont nécessiter la mise en œuvre dans toute entreprise de procédures d inventaires et de classement beaucoup plus complètes qu à ce jour. Selon la norme ISO 27002, il convient de classifier les informations de manière notamment à indiquer si celles-ci sont des données sensibles. Cette classification a pour but notamment de rendre compte du niveau de sécurité appliqué (ISO 7.2.1). Lorsque cette classification existe, des mesures de sécurité plus «adaptées» à la sensibilité des informations semblent être mises en place par les entreprises et la protection s en trouve renforcée. (A titre d illustration, voir extrait «types de données traitées par les entreprises et mesures de sécurité mises en œuvre» - Annexe 6) La classification engendrant souvent des mesures de sécurité adaptées à la nature des informations, les risques en cas d atteintes seront de ce fait mieux maîtrisés. Voire, une possible exonération de l obligation de notification pourrait être prévue si les données ne peuvent pas être exploitées, par exemple si elles sont cryptées ou anonymisées (incertain à l heure actuelle) ou en tout cas espérer une certaine «clémence» de l autorité quant aux conséquences induites par la notification (sanction atténuée). A retenir : Nécessité pour le CIL de tenir un inventaire exhaustif des traitements informatisés (y compris traitements dispensés de déclaration ou soumis à autorisation de la CNIL) ; Nécessité de réaliser un inventaire précis des données (y compris hors systèmes informatique) et de classifier les données ; Nécessité d élargir le périmètre de déclaration des incidents au CIL pour y inclure tous supports de données (papiers, CD, ordinateur portable ) Le CIL devra donc avoir un rôle important de conseil et d alerte envers les acteurs de l entreprise et notamment allier ses efforts à ceux du RSSI (ou DSI), afin qu une classification des informations soit effectuée ; à défaut, il sera en difficulté pour renseigner le registre des incidents sur la nature des données impactées par la violation et les protections existantes. Autre faiblesse, l écoute, la réceptivité et la prise en compte des conseils et alertes faits par le CIL pourront avoir des échos bien différents en fonction de son positionnement et de son statut. L absence d autorité hiérarchique sur les collaborateurs et de pouvoir de décision sur les directions opérationnelles, peuvent aussi être un frein pour le CIL pour imposer et faire respecter les principes de la loi Informatique et Libertés. Bien souvent, les directions et collaborateurs de l entreprise ont d autres priorités à gérer et le CIL peut être perçu comme un «empêcheur», plutôt qu un «facilitateur». En l absence d impulsion forte de la part du responsable de traitement, d un positionnement visible dans l organigramme et d un statut relativement élevé lui conférant une certaine autorité (même indirecte) dans l entreprise, le CIL peinera à réaliser efficacement la nouvelle mission de gestion des violations de données personnelles et de tenue du registre des incidents qui vont lui être confiées. A retenir : Outre la nécessité d une forte impulsion de la part du responsable de traitement, le CIL doit disposer d un certain statut et d un bon positionnement dans l entreprise pour réaliser efficacement ses missions (42) Menaces informatiques et pratiques de sécurité en France, page 25, Edition 2010, Club de la sécurité de l Information Français (CLUSIF). Page 29

36 Les atouts et faiblesses du CIL dépendent très largement du responsable de traitement, de sa volonté d agir en conformité avec la réglementation Informatique et Libertés et des moyens qu il donnera au CIL pour tendre à cette conformité (positionnement, statut, budget, outils dédiés, ). Ces atouts et faiblesses tiennent également à la personnalité même du CIL, à sa capacité à agir ou non en situation de stress intense, à savoir coordonner, communiquer, négocier et faire preuve de diplomatie mais aussi de fermeté. C. CIL : notifier ou pas? La question peut en effet se poser. En cas d atteinte aux données personnelles, il conviendra d apprécier l opportunité de notifier ou non et d en mesurer les conséquences et responsabilités. Les projets de texte sont à ce jour insuffisamment précis quant aux principes et modalités de notification à l autorité de contrôle (nature des données concernées, durée d exposition, intention de nuire évidente ou accident, ) et des éventuelles sanctions encourues en cas de défaut de notification. La proposition de loi sénatoriale Détraigne/Escoffier du 23 mars 2010 prévoit «. Le correspondant informatique et libertés en informe (et non notifie) la Commission nationale de l informatique et des libertés». S il est effectivement clair que c est bien le CIL qui devra informer la CNIL de l événement, une incertitude existe quant à la personne qui prendra la décision de notifier ou pas (CIL ou responsable de traitement). Selon une étude menée par le Club de la Sécurité de l Information Français publiée en 2010 ( 43 ), seulement 5 % des entreprises victimes d incidents de sécurité déposent plainte. «Le dépôt de plainte comporte un risque d atteinte à l image des entreprises qui souhaitent éviter de défrayer la chronique avec des incidents de sécurité impliquant parfois les données de leurs clients, employés, fournisseurs ou partenaires (par exemple : fuites d informations massives)». Ainsi, elles sont 95 % à «faire le mort». Si l on rapproche l obligation de notifier du nombre de plaintes à ce jour déposé, on peut s interroger sur les comportements qui seront adoptés et le respect de cette obligation de notification. Ces comportements changeront-ils? Ou bien persistera-t-on dans le «pas vu, pas pris». Quelle serait la responsabilité du responsable de traitement s il décide de ne pas notifier? Les sanctions dont est passible le responsable de traitement n ayant pas assuré la sécurité et la confidentialité des données personnelles devraient, en principe, s appliquer au défaut de notification de violation des données rencontrées. ( 44 ) Au regard des constats ci-dessus où une très grande majorité des entreprises décident de ne pas porter plainte, le CIL se verra-t-il contraint par le responsable de traitement de ne pas notifier et quelle serait sa responsabilité dans ce cas? Pour répondre à cette question, il convient de ne pas perdre de vue que le CIL dispose selon la réglementation actuelle d une certaine indépendance et qu il «ne reçoit aucune instruction dans l exercice de ses missions» (art 46 du décret n du 20 octobre 2005), qu il a un devoir d alerte du responsable de traitement avant saisine de la CNIL en cas de manquements constatés (article 49). Il peut aussi saisir la CNIL à tout moment «de toute difficulté rencontrée à l occasion de l exercice de ses missions de correspondant» (article 51). A noter sur ce point que la (43) Menaces informatiques et pratiques de sécurité en France, édition 2010, CLUSIF. (44) Le non respect des règles de sécurité est encadré par l article du code pénal. Le fait de : procéder à un traitement ne respectant pas les exigences de sécurité définies par l article 34 de la loi Informatique et Libertés, faire procéder à de tels traitements dans un tel contexte expose à des peine de cinq ans d emprisonnement et d amende. L amende peut être multipliée par cinq lorsqu une personne morale est reconnue coupable de l infraction. Page 30

37 proposition de loi Sénatoriale Détraigne/Escoffier lui donne l obligation (et non plus la simple faculté) de saisir la CNIL des difficultés rencontrées (article 3 proposition loi Sénatoriale Détraigne/Escoffier). Si le responsable de traitement décide de ne pas notifier, le rôle du CIL sera en cas de désaccord très inconfortable quant à la décision de saisine de la CNIL puisque l absence de notification constituera un manquement à la réglementation et un manquement dans l exercice de ses missions. Sa responsabilité pourrait être engagée au même titre que le responsable de traitement pour complicité. A retenir : Appréciation de l opportunité de notifier ou non : qui décide? Des conséquences tant pour le responsable de traitement (sanctions) que pour le CIL (manquement à ses fonctions) en cas d absence de notification Si c est le CIL qui décide de ne pas notifier ou de ne notifier que certains cas (cas de violations graves susceptibles d avoir des conséquences importantes pour les personnes), quelle pourrait être sa responsabilité? Lorsque la commission nationale de l informatique et des libertés constate que le correspondant manque à ses devoirs, elle demande au responsable des traitements de le décharger de ses fonctions (article 52 du décret du 20 octobre 2005). En cas de manquement à son obligation de notifier, le correspondant pourra donc être déchargé de ses fonctions sur demande de la CNIL. Quel serait son sort s il se trompe dans son appréciation de notifier ou non et que des conséquences importantes en résultent pour les personnes ou l entreprise? Le responsable de traitement a la possibilité de saisir la CNIL en cas de difficulté rencontrée à l occasion de l exercice des missions du CIL. Si le CIL se trompe dans l appréciation de la situation, le responsable de traitement pourrait être tenter d utiliser ce levier pour demander à la CNIL de décharger le correspondant de ses fonctions. Mais, une erreur d appréciation peut-elle être qualifiée de «manquement aux devoirs de sa mission» tel que prévu à l article 52 du décret du 20 octobre 2005? A retenir : Des conséquences pour le CIL en cas de manquements : il peut être déchargé de ses missions sur demande de la CNIL ou sur demande du responsable de traitement Quelles seraient les conséquences si l entreprise décide de notifier? Il convient de ne pas perdre de vue que la proposition de loi Sénatoriale Détraigne/Escoffier propose de renforcer les pouvoirs actuels de la CNIL en augmentant considérablement le seuil des sanctions pécuniaires pouvant être prononcées à l encontre d un responsable de traitement défaillant (les sanctions actuellement limitées à ou en cas de manquement réitéré seraient portées respectivement à et ). Ce projet de texte prévoit également de faciliter la publicité faite par la CNIL prononçant une sanction, laquelle est actuellement conditionnée à la «mauvaise foi» du responsable de traitement. Le Sénat propose de supprimer cette notion permettant ainsi à la CNIL de diffuser plus largement ses décisions, ce qui constitue pour la CNIL une mesure efficace et dissuasive à l encontre des responsables de traitements ayant enfreint la réglementation (sur les impacts de cette future obligation de notification sur les entreprises et administrations, voir ci-après Chapitre 3). A retenir : Des sanctions financières pour l entreprise manquant à ses obligations de sécurité et une atteinte à l image en cas de publicité faite par la CNIL. Page 31

38 D. Etre CIL, pas le même régime pour tous en cas de notifications? Comme nous l avons vu, dans le futur le CIL pourrait être amené à jouer un rôle dans la gestion des violations de données personnelles si l on s en tient aux dispositions de la proposition de loi sénatoriale Détraigne/Escoffier qui en fait le premier destinataire de l information. A charge pour lui ensuite d assurer la communication avec la CNIL, d accompagner le responsable de traitement dans le rétablissement de la protection de l intégrité et de la confidentialité et l information des personnes concernées. Des incertitudes persistent à ce jour quant à l échéance, à la nature des données, aux secteurs concernés par l obligation de notification (notification des seules atteintes susceptibles d avoir des conséquences graves pour les individus, existence de seuils, ). Il peut donc être considéré que cette obligation concernera la majorité des CIL, quelque soit son secteur d activité. Mais, lorsqu on examine de près la fonction de CIL, on peut s apercevoir que celle-ci peut être très différente d un secteur d activité à l autre, et donc d un correspondant à l autre. En effet, si la loi est la même pour tous, chaque CIL doit aussi tenir compte des textes sectoriels encadrant le domaine de l entreprise : santé, éducation, opérateurs de communications électroniques, banques, assurances, collectivités et administrations, justice,... qui sont soumis à des règles spécifiques, pouvant définir ou imposer des durées de conservation, des destinataires de données, des niveaux de sécurité particuliers, ou encore des formalités différentes (autorisation, décret, avis ). Ces mêmes conséquences sectorielles semblent se retrouver en matière de notification des violations de données personnelles. Voir à titre d illustration les trois secteurs ci-après : a. Secteur des communications électroniques : Lorsque le CIL est désigné dans le secteur des communications électroniques, il ne fait aucun doute qu il va très prochainement être confronté, directement ou indirectement, à cette problématique puisque le projet de loi déposé à l Assemblée Nationale par le Gouvernement le 15 septembre 2010 ( 45 ) visant entre autre à transposer la directive «vie privée et communications électroniques», prévoit une procédure de notification des violations de données à caractère personnel à la charge des opérateurs, sans toutefois préciser les modalités de notification. La seule piste donnée par le projet de loi figure dans l analyse d impacts annexée au projet de loi, où la CNIL est expressément désignée comme destinataire des notifications (p.111 du projet de loi). Par déduction, il peut donc sembler envisageable qu elle souhaite donner un rôle au CIL de ce secteur d activité dans la gestion des notifications puisqu elle incite très fortement les organismes à la désignation de CIL. b. Hébergeurs agréés de données de santé à caractère personnel : Quant au CIL exerçant dans le secteur santé (hébergeurs données de santé agréés), celui-ci est déjà confronté de près ou de loin à cette obligation de notification puisque le code de la santé publique (article R ) prévoit une obligation de «signalement des incidents graves, dont l altération des données ou la divulgation non autorisée des données personnelles de santé» à l autorité de contrôle du secteur santé (ASIP). Le CIL exerçant au sein d une structure hébergeant des données de santé est ainsi déjà concerné par l obligation de signalement des incidents à l ASIP ; devra-t-il procéder à une double notification en cas d atteintes aux données de santé? l une à l ASIP, l autre à la CNIL puisque les projets de textes (sénatorial et gouvernemental) mentionnent expressément une notification auprès de la CNIL? Ou bien, dans un souci de simplification des démarches la notification faite à l ASIP sera-t-elle également recevable à la CNIL, comme cela a déjà été fait pour les demandes (45) Projet de loi AN portant diverses dispositions d adaptation de la législation au droit de l Union Européenne en matière de santé, de travail et de communications électroniques, n 2789 du 15 septembre Page 32

39 d agrément à l hébergement des données de santé où ce dossier de demande d agrément peut se substituer aux annexes prévues dans les dossiers de déclarations exigées par la CNIL ( 46 ) c. Secteur Presse écrite et audiovisuelle : Quant au CIL appartenant à un organisme de presse écrite ou audiovisuelle, on peut s interroger sur les impacts de cette future obligation de notification des atteintes aux données personnelles sur son activité. En effet, la loi informatique et libertés prévoit actuellement un aménagement des dispositions réglementaires pour ce secteur d activité qui n est à ce jour pas soumis aux règles de limitation de durées de conservation des données, d interdiction des traitements sur les infractions, d obligation de déclaration ou autorisation pour les traitements de données à caractère politique, Il est également dispensé des dispositions relatives aux droits des personnes (information préalable -article 25- droit d accès, de rectification articles 39/40) et des dispositions relatives aux transferts hors UE. Le décret n du 20 octobre 2005 (article 56) aménage en conséquence le rôle des CIL désignés dans ce secteur d activité en le dispensant de porter au registre des traitements les durées de conservation, le service en charge du droit d accès et prévoit des règles particulières quant à la tenue et à la communication de la liste des traitements. Et surtout, il est exonéré de l obligation d information du responsable des traitements des manquements constatés avant toute saisine de la commission nationale de l informatique et des libertés (article 49 du décret). Il est en revanche tenu à des dispositions issues notamment du code civil, de lois relatives à la presse écrite ou audiovisuelle et au code pénal encadrant l exercice de son activité et réprimant notamment les atteintes à la vie privée et à la réputation des personnes. Ce CIL, ira-t-il notifier les atteintes aux données personnelles faites dans le cadre de la liberté d expression et de publication, alors que celle-ci peut parfaitement s exprimer dans le respect de la vie privée? Peut-on parler d atteinte aux données personnelles lorsque des noms, des visages s étalent dans les médias? (atteintes aux données personnelles//atteintes à la vie privées). Et qu en serait-il du secret des sources? La dispense d information des personnes, la dispense d alerte du responsable de traitement et de saisine de la CNIL en cas de manquements constatés dont il bénéficie sont-elles compatibles avec les obligations de l article 34 envisagées? Il semble y avoir une certaine incompatibilité entre la fonction de CIL désigné dans le secteur de la presse et cette disposition de notification, sauf à ce que des aménagements soient trouvés par le législateur (exonération?). d. Secteurs relevant de l article 26 de la loi Informatique et Libertés Quant au CIL exerçant dans les secteurs mettant en œuvre des traitements soumis à autorisation prise par arrêté après avis motivé et publié de la CNIL : - traitements de données à caractère personnel mis en oeuvre pour le compte de l état (intéressant la sûreté de l Etat, la défense ou la sécurité publique, ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l exécution des condamnations pénales ou des mesures de sûreté) - traitements portant sur des données mentionnées à l article 8 (origine raciales, ethniques, opinions politiques, philosophiques, religieuse, appartenance syndicale, ou relative à la santé ou à la vie sexuelle de celle-ci), il se verra dispensé de son obligation d information des personnes concernées lorsque les violations portent sur un traitement autorisé en application de l article 26 de la loi Informatique et libertés, mais pas de son obligation de notification à l autorité. En effet, dans la proposition de loi sénatoriale Détraigne/Escoffier, l article 34 ainsi complété précise : En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant informatique et libertés. le correspondant informatique et libertés en informe la Commission nationale de l informatique et des libertés. Si la violation a affecté les (46) Référentiel de constitution des dossiers de demande d agrément à l hébergement des données de santé à caractère personnel Guide de constitution des dossiers de demande Asip Santé Page 33

40 données à caractère personnel d une ou de plusieurs personnes physiques, le responsable du traitement informe également ces personnes, sauf si ce traitement a été autorisé en application de l article 26». A retenir : Il existe des différences sectorielles en matière de notification des violations de données personnelles : certains secteurs y sont déjà contraints ou vont l être à brève échéance (secteurs santé ou communications électroniques), alors que pour d autres cela semble incompatible (secteur presse écrite et audiovisuelle) ; Cette obligation pourrait à moyen terme se généraliser à d autres secteurs (lesquels?) si la France adopte des dispositions en se sens, et d autres en seraient dispensés pour certains traitements (traitements relevant de l article 26 de la loi) et pour On peut donc constater que tous les CIL ne sont pas soumis aux mêmes contraintes en fonction de leur secteur d activité. Que cette notification soit rendue obligatoire ou non, le CIL en tant que garant de la conformité avec les exigences en matière de données personnelles doit jouer un rôle important dans la gestion des violations de données personnelles et l on constate qu hormis le fait de notifier, il peut (doit?) mettre en œuvre les mesures permettant de prévenir et gérer les violations de données personnelles. Compte tenu de ce qui précède et notamment du fait qu il doit s appuyer sur autrui pour constituer son registre des incidents, il en découle que le CIL ne pourra agir seul en cas de violation des données personnelles. De quels acteurs, partenaires ou «adversaires», devra-t-il s entourer ou tenir compte? II.3. LE CIL : INCONTOURNABLE MAIS PAS SEUL AU MONDE Face à une violation, le CIL ne peut rester «inactif» qu il y ait obligation de notifier ou non. En tant qu acteur de cette protection, il doit avoir sa place dans la gestion des violations de traitements de données à caractère personnel. Mais à mon sens et dans l intérêt de l entreprise, le CIL ne doit en aucun cas agir seul et doit savoir s entourer et s appuyer sur les compétences disponibles dans l entreprise et hors de celleci. Il est en outre fort probable qu il ne dispose pas de l ensemble des compétences ou connaissances nécessaires à l anticipation et à la gestion des atteintes aux données personnelles. Il agit dans l entreprise en tant qu expert chargé de la conformité Informatique et Libertés, de «coordinateur» et de «facilitateur» vis-à-vis des différents acteurs internes ou externes. Il doit être attentif à rester dans son champ de compétence et à ne pas se suppléer au responsable de traitement, aux spécialistes de la sécurité (RSSI, DSI,.) ou à tous autres spécialistes de l entreprise (juristes, déontologues, service communication ) ou externes à celleci (conseils juridiques, autorités, ). A. Partenaires du CIL internes à l entreprise Au sein de son entreprise, le CIL se trouve face à différents acteurs qui pourront avoir des rôles plus ou moins importants au moment de la prévention ou de la gestion des incidents. a. Le responsable de traitement : Le duo CIL/responsable de traitement est mis en avant par l article 34 dans sa nouvelle rédaction. Les rôles sont précisément définis : En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant informatique et libertés Le responsable du traitement, avec le concours du correspondant informatique et libertés, prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l intégrité et de la confidentialité des données. Le Page 34

41 correspondant informatique et libertés en informe la Commission nationale de l informatique et des libertés. Le rôle donné au CIL dans ce contexte le positionne clairement aux côtés du responsable de traitement dans la gestion des violations de données personnelles. Reste à voir jusqu où ira ce rôle et si le responsable de traitement choisira ou non d en faire un acteur majeur. Le positionnement du CIL trouve ici toute son importance, de même que sa réelle indépendance. «Le correspondant à la protection des données à caractère personnel exerce sa mission directement auprès du responsable des traitements. Le correspondant ne reçoit aucune instruction dans l exercice de sa mission» (article 46, alinéas 1 et 2 du décret du 20 octobre 2005). De simple «facteur» remettant l information à la CNIL, à celui d acteur impliqué et partie prenante dans les décisions de notifier et d informer les personnes, de conseiller sur les mesures et actions à entreprendre, cela sera sans doute extrêmement variable d une entité à l autre, d un CIL à l autre. A retenir : Le CIL, partenaire indispensable du responsable de traitement pour la gestion des violations des traitements de données à caractère personnelles. b. L incontournable partenaire du CIL : l expert en systèmes d information (RSSI, DSI, ) Afin de pouvoir prévenir le législateur, le responsable de traitement ou le CIL doivent être informés des incidents intervenus dans l entreprise. Si le correspondant à un rôle étendu dans le cadre de la gestion des violations, ce n est pas à lui de prendre en charge la sécurité de l entreprise. L article 34 de la loi informatique et libertés fait en effet obligation au responsable de traitement de veiller à l intégrité et à la confidentialité des données en prenant toutes les précautions utiles. En pratique, il lui appartient de s assurer que les données ne peuvent pas être compromises, notamment à l occasion d un accès non autorisé et d en assurer le rétablissement en cas de problème. Pour préserver la sécurité des systèmes d information de l entreprise, le responsable de traitement fait en général appel à un expert chargé de la mise en œuvre d une politique de sécurité de l entreprise. Cet expert pourra avoir un statut et un rôle variable en fonction de ses qualifications ou encore de la taille de l entreprise : RSSI (Responsable Sécurité des Systèmes d Information), DSI (Directeur des Systèmes d Information), ou encore informaticien dans les petites structures. Selon le positionnement et le statut de cet expert en systèmes d information, les responsabilités qui en découlent pourront également considérablement varier d un individu à l autre. Cela peut aller jusqu à porter une responsabilité pénale pour certains RSSI ou DSI s ils disposent de délégations de pouvoirs adéquates ayant pour objet et pour effet d opérer un transfert de responsabilité pénale du chef d entreprise vers le RSSI ou DSI. Cette délégation de pouvoirs ne sera réellement reconnue que si le RSSI ou DSI possède les compétences nécessaires (maîtrise des textes légaux notamment), l autorité nécessaire (pouvoir de décision et de commandement suffisant pour faire respecter les modalités d utilisation des systèmes d information // absence de pouvoir hiérarchique du RSSI (ou DSI) sur les utilisateurs) et les moyens nécessaires (budget propre notamment). Cet expert en systèmes d information a des fonctions transversales, tant organisationnelles que techniques. Son rôle est de conseiller, assister, alerter et informer la direction générale et les utilisateurs. Il doit aussi former et sensibiliser les collaborateurs. Beaucoup de points communs avec la fonction de CIL. Page 35

42 En alliant leurs expertises et leurs efforts, CIL et spécialiste des systèmes d information auront à l esprit qu il vaut mieux prévenir que guérir et chercheront à mettre en place toute mesure de prévention utile à la protection des données personnelles, chacun dans leur périmètre mais toujours en étroite collaboration. Tous deux doivent veiller à la sécurité et la confidentialité des informations traitées au sein de l entité avec toutefois un périmètre différent : - La sécurité du patrimoine informationnel de l entreprise, dont les données à caractère personnel est dans le périmètre du RSSI (ou DSI), - La conformité des traitements de données à caractère personnel est dans le périmètre du CIL, quelle que soit la nature de leur support (adéquation et pertinence des informations, durées de conservation, destinataires des données, encadrement des prestataires, ), donc y compris supports papiers, échanges et flux, notamment vers les sous-traitants (nécessité de formaliser les relations). Les dispositions prévues par la révision de l article 34 de la loi Informatique et Libertés ont des incidences sur les deux praticiens : - En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant informatique et libertés ou, en l absence de celui-ci, la Commission nationale de l informatique et des libertés.» Pour pouvoir répondre à cette disposition, le RT ou le CIL ont ici besoin de l appui du spécialiste informatique (RSSI, DSI, ) et de ses remontées d informations ; - «Le responsable du traitement, avec le concours du correspondant informatique et libertés, prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l intégrité et de la confidentialité des données. Le correspondant informatique et libertés en informe la Commission nationale de l informatique et des libertés». Ici encore, le concours du RSSI/DSI est essentiel au rétablissement de la protection de l intégrité et de la confidentialité en tant qu expert technique. - «Un inventaire des atteintes aux traitements de données à caractère personnel est tenu à jour par le correspondant informatique et libertés». Nécessité absolue d avoir une remontée des incidents du RSSI/DSI vers le CIL pour pouvoir tenir à jour ce document. - Le responsable du traitement met en œuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l altération, la divulgation, la diffusion, le stockage, le traitement ou l accès non autorisés ou illicite. Le responsable de traitement à l obligation de mettre en place des mesures adéquates pour protéger les informations qu il traite ; mais seule une personne disposant de compétences techniques nécessaires sera en capacité de prendre les mesures adaptées en fonction des situations, des risques et de l état de l art (choix des outils anti-intrusion, anti-virus, des moyens d authentification et d habilitation, sécurisation des supports de stockage, réalisation de tests, ). Là encore le rôle du RSSI/DSI est fondamental. Il en résulte que CIL et RSSI/DSI devront allier leurs compétences et leurs efforts pour répondre aux dispositions de l article 34. Le CIL pourra s appuyer sur l expérience et le savoirfaire du RSSI/DSI pour analyser et comprendre la situation. Il pourra également s appuyer sur les politiques de sécurité des systèmes d informations, procédures mises en place par celui-ci pour avoir une vision globale des règles de sécurité de l organisme. Les cartographies des applications et des données et grilles de gestion des incidents établies et gérées par le RSSI/DSI sont également des éléments indispensables à une appréciation rapide de la situation et à la prise de décision de notifier ou non à l autorité de contrôle. Ils devront aussi allier leurs efforts pour augmenter le niveau de conformité à la réglementation informatique et liberté et sensibiliser et inciter les acteurs de l entreprise à : - limiter la collecte des données strictement nécessaires à la finalité poursuivie, - limiter le nombre de personnes ayant accès aux données personnelles dans le seul cadre de leurs fonctions, Page 36

43 - limiter les destinataires des informations et les durées de conservation, - adopter des solutions techniques visant à la protection des informations en fonction de leur sensibilité (anonymisation, chiffrement des données sensibles par exemple) ou encore favoriser le «privacy by design» ( 47 ), - alerter en cas d insuffisance constatée. Face à cette obligation de notification, le CIL devra nécessairement coopérer avec le RSSI (ou DSI) et inversement, le RSSI/DSI sera «soutenu» par le CIL qui pourra être un allié, mais aussi un gardien contre toute dérive sécuritaire et apporter un éclairage des exigences imposées par la réglementation Informatique et Libertés. Le RSSI/DSI pourra d ailleurs se servir du levier «conformité IL» pour imposer des mesures adaptées. La prise en compte des enjeux de sécurité des systèmes d information ne peut se faire sans une réelle collaboration entre ces deux experts au sein de l entreprise. Si de plus, le RSSI (ou DSI) dispose d une délégation de pouvoirs telle qu évoquée précédemment il sera à même de prendre les décisions adéquates pour renforcer la sécurité et la confidentialité des données personnelles. Face à l obligation de notifier les violations de données personnelles, la gestion des événements pourrait bien leur revenir conjointement, même si les obligations en matière de sécurité pèsent sur le responsable de traitement. En alliant leurs compétences, ils sont effectivement les deux acteurs phares dans la gestion des atteintes aux données personnelles. A retenir : Une réelle collaboration est indispensable pour la prévention et la gestion des violations de données personnelles entre le CIL et l expert en systèmes d information (RSSI, DSI) ; Ils doivent allier leurs compétences et leurs efforts pour améliorer le niveau général de protection des données traitées, sensibiliser les personnes et alerter. Et ne dit-on pas que l union fait la force. Cela induira-t-il pour autant qu ils disposeront de moyens nécessaires (budget, personnel, ) à la gestion de cette nouvelle obligation contraignante pour l entreprise? Rien n est moins sûr compte tenu du contexte économique actuel et des restrictions budgétaires qui en découlent. Le CIL devra également s appuyer sur d autres partenaires tant au sein de l entreprise qu en dehors de celle-ci pour remplir la mission qui lui sera confiée dans la gestion des violations des données à caractère personnel puisque celle-ci nécessitera également la mise en œuvre de multiples compétences (organisation, communication, juridique, ). c. La cellule de crise et son programme d action : Il semble indispensable de constituer un groupe de personnes chargées de réagir dans les meilleurs délais en cas d atteintes aux données personnelles et d en gérer les conséquences : la mise en place d une cellule de crise. Parmi les membres de cette cellule de crise, le trio responsable de traitement / CIL / RSSI (ou DSI) est essentiel à la gestion de l événement, à sa notification à l autorité et à l information des personnes. A cela pourront s ajouter d autres membres susceptibles d être, directement ou indirectement, concernés par les impacts de la violation : juristes, service communication, direction contrôle/conformité, direction opérationnelle concernée (marketing, RH ). Ce groupe pourrait être placé sous l égide du CIL, apte à conseiller, gérer, faciliter et coordonner les différentes actions du fait de sa connaissance du contexte, de la réglementation, des traitements et des données concernées, des personnes et de l organisation. Là encore, son (47) Prise en compte de la protection des données personnelles dès la conception des outils. Page 37

44 positionnement dans l entreprise sera essentiel de même que la «place» que voudra bien lui laisser le responsable de traitement. Pour avoir des réactions adaptées au moment de l évènement, cela suppose qu en amont ce groupe ai mené une réflexion approfondie afin de définir une véritable politique de gestion de la situation de crise avec définition d un plan d actions, d un plan de communication et identification des interlocuteurs associés. Plan d actions de la cellule de crise (exemple) : Pour chaque action : définition des actions à réaliser, identification des personnes en charge de leur mise en œuvre et délais Plan de communication (exemple) : Identification des personnes chargées de la communication vers : Identification des moyens nécessaires à la mise en œuvre du plan de communication : Expression : - - Mise en place de mesures techniques de détection des violations, les tester, les actualiser ; - Mise en œuvre de mesures juridiques encadrant le traitement des données personnelles notamment en cas de recours à la sous-traitance afin que les incidents soient remontés ; - Identification des incidents (interne/externe, vol, erreur humaine, ), de la nature et du volume de données atteintes (toutes ou certaines, sensibilité, population concernée, ), du niveau de protection en place (exemple données cryptées) ; - Procédure d information du responsable de traitement et du CIL sur la violation impactant les données personnel ; - Décision et suivi des mesures techniques à prendre visant à rétablir la sécurité et la confidentialité ; - Inscription au registre des incidents ; - Décision de notifier (ou non) et notification à l autorité ; - Détermination des personnes à informer, des moyens de communication à envisager et suivi du plan de communication. - l autorité de contrôle, - les personnes concernées, - les médias, - les salariés et instances représentatives du personnel, - et autres publics (comité direction, directoire, actionnaires par exemple) - plate forme ou standard adapté pour réception d un volume important appels, - formation et élaboration d un script pour les téléopérateurs, disponibilité du personnel, - Sites internet/intranet : disponibilité du site, réactivité des équipes, affichage de messages adaptés au public concerné (interne ou externe) - Information des victimes : canal de communication à privilégier : courrier postal ou électronique ( , sms, ), téléphone, presse si particulièrement grave et pouvant avoir des conséquences importantes pour la sécurité des personnes - Où «piocher» les adresses? base client, gestion des NPAI, Anticipation des questions de l autorité de contrôle, que dire et avec quels termes ; - Informer les personnes concernées sans créer la panique, présenter ses excuses, rassurer et décrire les mesures mises en place par l entreprise (remplacement de tous les codes d accès, mise sous surveillance des comptes clients, remplacement cartes clients ou carte de paiement ) ; - Modèles types de courrier aux victimes, aux actionnaires (termes différents à utiliser en fonction des populations, qui signe?) A retenir : Nécessité de mener une réflexion en amont et de constituer une cellule de crise pour être en capacité de gérer efficacement la situation induite par une violation de données à caractère personnel. Placer ce groupe sous l égide du CIL, interlocuteur en pleine capacité d avoir une vision globale de la conformité informatique et libertés, des textes et contexte de par son rôle au quotidien et, de ce fait, apte à alerter, conseiller, gérer, coordonner les actions et accompagner le responsable de traitement dans la situation de crise. Page 38

45 Hormis le responsable de traitement, le RSSI (ou DSI), le CIL pourra s appuyer sur d autres interlocuteurs internes, chacun portant une expertise métier propre pouvant l accompagner dans l anticipation et la gestion des violations de données personnelles. Comme on l a vu, la mise en œuvre du plan d action et de communication fait appel à des spécialistes, notamment la direction de la communication largement sollicitée dans la mise en œuvre du plan de communication, encore la direction juridique. d. La direction juridique (ou conseil juridique externe) Le rôle «préventif» que sera amené à jouer la Direction Juridique de l entreprise (ou son conseil lorsque l entreprise ne dispose pas de spécialistes en son sein) est extrêmement important, notamment dans l encadrement juridique des contrats conclus avec des partenaires ou des sous-traitants qui devront être adaptés pour prendre en compte et répondre à cette nouvelle obligation de notification. En effet, déléguer la responsabilité technique d un traitement de données ne dispense pas d en assumer les contraintes légales. Lorsque l entreprise recourt à des tiers soustraitants, l article 35 de la loi Informatique et Libertés prévoit expressément que le sous-traitant prenne des mesures adéquates de sécurité et de confidentialité. Cela ne décharge en rien le responsable de traitement de sa responsabilité quant à la sécurisation et à la confidentialité des données. Le CIL devra donc veiller au respect de ces mesures. Le contrat liant le sous-traitant au responsable de traitement doit préciser que «le sous-traitant ne peut agir que sur instruction du responsable de traitement» (article 35 loi IL) et décrire les engagements de sécurité et de confidentialité exigés et mis en oeuvre. Pour répondre à la nouvelle obligation de notification des violations de données personnelles, la clause type proposée sur le site de la CNIL en cas de recours à la sous-traitance pourrait être complétée afin d imposer au prestataire une obligation d information systématique de tous incidents impactant les données personnelles. Il est en effet indispensable que le responsable de traitement soit informé du sort réservé aux données confiées à ses prestataires, et dans l anticipation de l obligation de notification lui permettrait d y répondre. A noter également qu en l absence de référence aux violations de données personnelles dans les Clauses Contractuelles Types élaborées par la Commission Européenne et encadrant les transferts de données hors Union Européenne de responsable de traitement à sous-traitant ( 48 ), il conviendrait d insérer une clause supplémentaire imposant l information du responsable de traitement par le sous-traitant de tout incident impactant les données à caractère personnel. La Direction Juridique pourrait également avoir un rôle «défensif» en cas de recours des personnes victimes contre l entreprise ou de recours de l entreprise vers le responsable de la violation (gestion des plaintes et contentieux pénaux). A retenir : Pour anticiper la future obligation de notification des violations de données à caractère personnel, il est nécessaire d adapter les contrats liant l entreprise à ses partenaires et sous-traitants afin que tous incidents impactant les informations confiées soient remontées au responsable de traitement. e. Autres partenaires internes Lorsque la violation, par exemple, porte sur des dossiers papiers ou fichiers gérés très localement ou encore échangés par mails, les interlocuteurs du CIL pourront être très variables en fonction des métiers et secteurs d activités concernés. A titre d exemple : - Directeur des ressources humaines pour les violations impactant les dossiers du salarié ; - Services marketing pour les violations survenant sur les bases clients ; - Services généraux si violations survient dans les salles d archives (dossiers papiers) ; - (48) Clauses contractuelles types de la commission européenne pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers (comm UE, n 2010/87/UE, 5 février 2010, JOUE L 39, 12 février Page 39

46 Lorsque l atteinte aux données porte sur des informations soumises à un secret professionnel (exemple soumises au secret médical ou bancaire), les interlocuteurs du CIL seront les professionnels responsables de ce secret (exemple : dossier patient placé sous la responsabilité du professionnel de santé, comptes bancaires placé sous la responsabilité d un établissement bancaire, ). Tour à tour, le CIL pourra également trouver sur sa route le déontologue, les services conformité et contrôle interne, le service qualité, le risk-management, les services communication interne/externe, chacun étant susceptible de lui apporter ses compétences dans le cadre de la gestion des violations de données personnelles. - Services communications indispensables à la réalisation du plan de communication envers les différents publics (salariés, actionnaires, clients, autorités, ; - Déontologue, services conformité, contrôle interne impactés dans le cadre de la maîtrise des risques liés aux violations ; En cas de violation, surtout si celles-ci font l objet d une publicité dans les médias, le CIL trouvera sur son chemin les salariés, les instances représentatives du personnel, ou encore les organisations syndicales. Face à tous ces interlocuteurs, il est indispensable qu en amont des réflexions aient été menées par la cellule de crise afin de savoir qui communique et en quels termes avec ces personnes. Le travail du CIL s en trouvera grandement facilité s il peut orienter les demandeurs vers les interlocuteurs identifiés dans le plan d action et de communication (responsable de traitement, communication,..) et ce qu il est autorisé ou non à communiquer et à qui. Bien évidemment, selon la taille et l organisation de l entreprise, le CIL sera en présence de tout ou partie de ces acteurs. Dans les petites ou moyennes structures, c est vraisemblablement un nombre restreint de personnes, voire une seule et même personne qui portera l ensemble des casquettes : responsable de traitement, responsable de la communication, juriste, responsable de la sécurité informatique,. A retenir : Savoir s entourer, collaborer, communiquer avec les différents acteurs internes de l entreprise est essentiel pour le CIL pour une bonne efficacité et pour faciliter son action en cas de violation de traitement de données personnelles. Mais le CIL devra rester attentif à ne pas se substituer aux autres acteurs et s appuyer sur les compétences propres à chacun. Le CIL, au moment de la mise en place des plans d actions et de communication devra se montrer vigilant quant au rôle qui lui sera défini. Il ne serait en effet pas normal que tout lui incombe. Est-ce à lui de faire la communication, de rédiger les notes d alerte, de contacter les actionnaires, de mettre en œuvre les mesures techniques, d assurer les courriers à la CNIL, Sauf s il le souhaite ou si la taille de l entreprise est très petite, il devra être attentif à agir en tant que facilitateur et coordinateur, à apporter conseil et assistance mais pas à se substituer au responsable de traitement ou aux spécialistes. A titre d illustration, sont présentées ci-après quelques actions (non exhaustif) pouvant relever des différents acteurs en cas de violations des données personnelles : Responsable de traitement Décider des mesures préventives à mettre en place (procédures organisationnelles, moyens techniques ou humains, budget) Décider des mesures de gestion de l incident (composition de la cellule de crise, rôle défini à chacun, moyens nécessaires, plan de communication) Informer le CIL des violations, prendre les mesures permettant le rétablissement de la confidentialité et décision de notifier à l autorité (avec conseil du CIL) Relations avec l autorité (avec le CIL) Service communication Préparer les courriers d information aux personnes concernées, les scripts des téléopérateurs, flash sites web, communiqués presse, informations aux actionnaires, IRP, salariés Gérer les aspects communication des réclamations Direction juridique Encadrement juridique des contrats de prestation et sous-traitance, contrats de travail, engagements de confidentialité (prévention) Page 40

47 Direction des ressources humaines Direction logistique/moyens généraux RSSI / DSI Participation à la rédaction de la communication vers les personnes concernées et l autorité (choix de termes utilisés notamment) Gestion des contentieux post notification (si actions en responsabilités engagées contre l entreprise ou dépôt plaintes) Adaptation des contrats de travail et engagements de confidentialité (avec direction juridique). Mise en place de chartes d utilisation des moyens de communications électroniques S assurer de la disponibilité du personnel nécessaire à la gestion de l événement Communication envers les salariés et les instances du personnel (avec RT) Mise en œuvre des divers moyens nécessaires à la gestion de l incident (plateforme téléphonique ou standard adapté à réception volume important d appel, expédition des courriers,..) Mise en oeuvre des mesures de protection techniques, réalisation tests (préventif) Mettre en place des processus (PSSI, identification et déclaration des incidents, cartographie de données, gestion des habilitations, ) Informer le responsable de traitement et le CIL des violations de données personnelles Mettre en œuvre et suivre les mesures correctives Veiller à la disponibilité site internet pour information des personnes B. Partenaires du CIL externes à l entreprise : Les violations de données personnelles auront également pour conséquence de faire intervenir un nombre important d acteurs externes à l entreprise. Comme pour les relations internes à l entreprise, les plans d actions et de communication arrêtés par la cellule de crise devront clairement préciser les rôles et missions incombant à chacun, dont ceux dédiés au CIL, afin qu il puisse agir dans son périmètre face aux interlocuteurs externes et renvoyer sur les autres personnes les actions n étant pas de son ressort. Les acteurs externes sont nombreux et leurs rôles plus ou moins importants en cas de notification. En première position on trouve bien entendu les agents de la CNIL à qui l entreprise devra notifier et répondre des mesures prises et conséquences induites par la violation ayant impacté les informations personnelles. Ici, le rôle du CIL risque de trouver tout son sens puisque la CNIL en fait son interlocuteur privilégié pour répondre à ses demandes, conjointement avec le responsable de traitement. En seconde position, on trouve les personnes concernées (internautes, clients, salariés, ) par la violation. Si une information doit être effectuée, si la violation est révélée dans la presse, l entreprise aura à répondre à un volume conséquent de sollicitations et adapter sa communication (communiqué presse, courriers aux personnes, mise en place d une plate-forme téléphoniques de réception des réclamations,.). Ici le rôle du CIL viendrait plutôt en qualité de conseil et d accompagnateur des actions à mener. Pourront ensuite venir divers interlocuteurs, plus ou moins directement impactés par les violations de traitement à caractère personnel, et dont l entreprise et le CIL devront tenir compte. Des acteurs qui pourront l épauler dans cette situation : autres CIL, association AFCDP, cabinets de conseil juridique, et là le réseau du CIL est important pour trouver des recommandations, des bonnes pratiques ou retours d expérience. On pourrait ajouter ici également les agents de la CNIL qui pourraient venir en soutien pour la gestion du problème. Des acteurs face auxquels l entreprise devrait se justifier et «rendre des comptes» : conseils de surveillance, actionnaires, associations de consommateurs, journalistes, élus, tribunaux, victimes, autorités de contrôles,. Page 41

48 Des acteurs qui pourront tirer profit des conséquences des violations, tels les concurrents qui pourraient ici trouver un avantage concurrentiel (perte de clientèle, dénigrement, ), les cabinets de conseil en sécurité (marché économique à prendre), Parmi ces derniers acteurs, on peut bien entendu citer les personnes pouvant se trouver à l origine de l attaque et de la violation (pirates, cybercriminels, concurrents, sous-traitants) ou qui pourront exploiter la violation existante. A signaler que ces personnes pourront se trouver soit hors de l entreprise, mais aussi parfois en son sein (acte de malveillance de certains collaborateurs). A retenir : En cas de violation de traitements, le CIL trouvera sur sa route à l extérieur de l entreprise, soit des partenaires qui pourront venir l épauler (autres CIL, AFCDP, conseils juridiques, ), soit des «adversaires» auxquels il devra rendre des comptes ou se justifier (personnes concernées, autorités, journalistes) ou encore contre lesquels il devra lutter (pirates, concurrents ). Face à ce risque et aux conséquences induites par une atteinte aux données personnelles, comment l entreprise, le CIL, peuvent-ils anticiper, se préparer, se protéger? II.4. CIL : COMMENT ANTICIPER, SE PREPARER, FAIRE FACE ET GERER L APRES? L atteinte à tout traitement de données à caractère personnel pouvant avoir de forts impacts tant pour l entreprise que pour les personnes concernées, il est indispensable d anticiper et de se préparer à la gestion de tels incidents. Le CIL dans le cadre des missions qui lui incombent et notamment au regard des dispositions posées par l article 34 de la loi Informatique et Libertés, devra s enquérir des mesures en place visant à protéger la sécurité et la confidentialité des informations. Il pourra conseiller l entreprise et le cas échéant exercer son devoir d alerte auprès du responsable de traitement en cas d absence ou d insuffisance de niveau de sécurité adéquat. L anticipation des conséquences des violations de données se fait par la mise en place d actions préventives tant techniques, qu organisationnelles ou encore humaines. Actions Préventives : mesures techniques, logiques et physiques Les enjeux de la protection des données à caractère personnel devraient être pris en compte dès l achat ou la phase d expression des besoins. Ici, le rôle du CIL est essentiel afin qu il soit associés aux réflexions le plus tôt possible pour que les nouveaux outils prennent en compte les principes de la loi Informatique et libertés d adéquation, de pertinence, de durées et de sécurité des informations notamment. Le CIL pourra, en fonction de la sensibilité des informations traitées recommander un niveau de sécurité approprié et le cas échéant alerter le responsable de traitement. Faire le choix dès la conception ou l achat d outils respectant la protection des données (Privacy by Design) peut grandement faciliter le rôle du CIL, notamment en cas de violations (niveau de sécurité adapté à nature des données, volume des données limité, ). La mise en œuvre de mesures de sécurité techniques (antivirus, parefeu, anti-spyware à jour, application des patchs de sécurité proposés par les éditeurs, moyens d authentification, utilisation de mots de passe forts renouvelés régulièrement,.) est également fondamentale à la sécurisation des systèmes d information. Le recours à des moyens de protection renforcés est indispensable pour la protection des données particulièrement sensibles : Chiffrement, conservation sur des supports dédiés, utilisation de matériels non connectés au réseau La réalisation de tests d intrusion permettant de vérifier la solidité des défenses en place, ou encore la réalisation d audit de sécurité permettront de vérifier en permanence le niveau de sécurité de l entreprise. Ici, l expertise du RSSI (ou DSI) est essentielle pour donner au CIL l assurance que les bonnes mesures sont prises. Page 42

49 Une bonne protection des informations passe également par des mesures de sécurité permettant de limiter l accès physique à celles-ci (contrôle d accès aux locaux, vidéosurveillance, sécurisation des salles «sensibles», broyeurs ). Le rôle du CIL est ici fondamental pour conseiller aux directions la mise en place de moyens adaptés pour préserver la sécurité et la confidentialité des informations. A retenir : Afin de prévenir et limiter les atteintes aux données personnelles, le CIL devra s enquérir des mesures et niveaux de protection existants, conseiller la mise en place de moyens physiques et logiques adaptés à la sensibilité des informations traitées et le cas échéant alerter le responsable de traitement en cas d insuffisance. A titre d exemple sont présentées en Annexe 7 des mesures à mettre en place pour protéger les données personnelles. Actions préventives : mesures organisationnelles et humaines Si des moyens techniques et logiques sont nécessaires, la protection des données personnelles repose aussi beaucoup sur l organisation mise en place et sur les comportements individuels. La confidentialité des données et la sécurisation des systèmes d information tiennent d abord aux comportements des collaborateurs. La cause n 1 des pertes de données serait l erreur humaine, qui pour 70 % d entre elles serait des données personnelles ( 49 ). Il est donc nécessaire de travailler sur le comportement des collaborateurs. La communication, la formation et la sensibilisation est donc extrêmement importante pour accroître le niveau de sécurité. La présence du CIL dans l entreprise augmente ce niveau de protection du fait des actions de communication, de formation et de sensibilisation qu il réalise. La mise en place de chartes (TIC et administrateurs) et d une politique de sécurité des systèmes d information (PSSI) adaptées à l entreprise donne également un socle de procédures et des règles à respecter par tous. Ces documents devront prévoir l obligation pour toute personne de déclarer les violations de données personnelles au responsable de traitement (ou au CIL), et des procédures de détection des incidents et de déclaration devront être déployées au sein de l entreprise. La réalisation d audits de conformité Informatique et Libertés permet également de s assurer des mesures en place, de leur efficacité et des pratiques et de définir des plans d action visant à corriger et augmenter le niveau général de sécurité. Au cours de ces audits et lors de la phase de mise en œuvre des plans d actions qui en résultent, le rôle du CIL en terme d information, de sensibilisation et de pédagogie est extrêmement important pour inculquer une culture «sécurité» et améliorer les pratiques. Le rôle préventif joué par la Direction Juridique de l entreprise (ou son conseil lorsque l entreprise ne dispose pas de spécialistes en son sein) est également essentiel comme nous l avons vu notamment dans l encadrement juridique des contrats conclus avec des partenaires ou des sous-traitants qui devront prendre en compte cette nouvelle obligation de notification. Il en va de même pour la rédaction de clauses indispensables à la confidentialité des informations traitées par l entreprise à prévoir dans les contrats de travail et d engagements de confidentialité. A retenir : Des efforts de communication et de formation sont essentiels pour inculquer de bonnes pratiques et agir sur le comportement des collaborateurs ; 49 Selon une enquête réalisée par Kroll Onrack sur les pertes de données, ITRNews.com 6 sept 2010 Page 43

50 Associés à l élaboration de règles et chartes à respecter par tous et à la réalisation d audits, ces efforts permettent d accroître le niveau de protection des informations de l entreprise La prévention et les mesures de sécurité en place sont extrêmement importantes surtout si l entreprise avait à répondre aux investigations de la CNIL suite à une notification. L appréciation de l autorité sur les conséquences de la violation, voire sa décision de publicité ou non, de sanctions financières, pénales ou non dépendront des mesures suffisantes de protection existantes. On peut espérer qu un niveau de protection adéquat implique une certaine clémence de la part de l autorité et limite de ce fait les conséquences lourdes pour l entreprise. Actions curatives et gestion de l après Suite à la violation, le CIL devra en tirer des conséquences et revoir les mesures de prévention en place, renforcer la sécurité, réaliser des actions de sensibilisation, réadapter les procédures d alertes dans le but d une amélioration continue de la conformité informatique et libertés. L entreprise est tenue à une obligation de moyens, et non de résultats, et se doit donc de réaliser ses meilleurs efforts pour préserver la sécurité et la confidentialité des informations personnelles traitées. A retenir : Il faut savoir tirer des enseignements des violations dont l entreprise a été victime et réadapter en conséquence ses processus internes ; il faudra aussi savoir faire face à ses responsabilités envers les personnes victimes et l autorité. Suite à une violation des données personnelles, l entreprise pourrait voir sa responsabilité engagée (actions en dédommagement des personnes) ou encore vouloir engager une procédure à l encontre des personnes à l origine de l acte de violation. Ces actions n impactant pas directement les fonctions du CIL, sauf pour ce qui concerne l éclairage ou la justification des actions et impacts qui pourront servir à argumenter ou défendre les dossiers, elles font l objet d un développement particulier dans le chapitre 3 traitant des impacts de cette obligation sur d autres acteurs que le CIL (autorité, entreprise, victime ). CONCLUSION DU CHAPITRE 2 Ces premières réflexions et propositions sur le rôle du CIL dans les violations de traitement de données à caractère personnel, intermédiaires compte tenu de la jeunesse du métier de CIL (5 ans!) et du contexte législatif et réglementaire non encore fixé, doivent être considérées comme une ouverture à la discussion, plutôt que comme une «production finie». Les pistes qu elles esquissent devront être affinées, critiquées, retravaillées en fonction du contexte et de ses évolutions, et du métier de CIL qui se construit. Actuellement au stade de proposition de loi, le texte visant à rendre obligatoire la notification des violations de données personnelles tant à la CNIL qu aux personnes concernées (clients, salariés, membres, ) verra-t-il le jour sous cette forme? Le rôle du CIL dans ce cadre sera-t-il précisé, notamment par voie de décrets d application? Il serait bien étonnant que la France ne se dote pas à plus ou moins court terme d une telle législation à l instar des autres pays de plus en plus nombreux qui obligent déjà leurs entreprises à faire preuve de transparence. A minima courant mai 2011, cette obligation s imposera aux opérateurs de communications électroniques du fait de la prochaine transposition du Paquet Télécom. Page 44

51 Mais dans cette attente, obligation de notification ou pas, il semble essentiel que tout responsable de traitement respecte les obligations actuelles posées par l article 34 de la loi Informatique et Libertés lui imposant de veiller à la sécurité et la confidentialité des informations qui lui sont confiées, et notamment d empêcher qu elles ne soient accessibles par des tiers non autorisés. Pour cela il doit prendre tous moyens visant à préserver la sécurité des informations ; des moyens techniques bien entendu, mais également s entourer des moyens humains indispensables à la prise en compte des enjeux de sécurité des systèmes d information au sein de son entreprise. Parmi ceux-ci, la désignation d un CIL peut être un réel facteur de conformité et de sécurité des traitements mis en oeuvre. Cette nouvelle mission pourrait être un levier majeur pour renforcer le rôle du CIL et que celui-ci prenne de l importance en France. Le premier mérite d'un CIL dans son organisation, c'est d'exister et de répondre à un réel besoin. Le fort accroissement de la complexité des organisations, des systèmes d information et le cadre réglementaire de plus en plus contraignant rendent difficile la maîtrise du risque Informatique et Libertés. A l'évidence, le CIL remplit cette fonction de maîtrise et est naturellement bien placé pour l appréhender de par sa vision transversale et ses multiples compétences (techniques, juridiques, organisationnelles, fonctionnelles, communicant, diplomate, ). Il est donc parfaitement à même d évaluer les conséquences des violations de données à caractère personnel tant pour les personnes concernées que pour l entreprise, d apprécier la pertinence d une notification ou non à l autorité, et de coordonner les mesures et suites de la violation. L'avenir du CIL n'est donc définitivement pas seulement dans la tenue de la liste des traitements auquel souvent on le réduit. Obligatoire ou non et outre les missions qui lui incombent déjà, il a aussi un rôle à jouer en matière de prévention et de gestion des violations des données à caractère personnel. Il devra toutefois être attentif à s appuyer sur l existant et les compétences internes et externes de l entreprise pour ne pas complexifier d avantage les organisations et procédures, être proactif, expliquer son rôle souvent complexe et mal perçu pour transformer ses faiblesses en de réels atouts. C est une fonction difficile par sa nouveauté et par sa nature, avec une dimension importante de communication, de négociation, d échanges ; il faut être diplomate, ne pas avoir peur des crises et savoir agir sous situation de stress. Trop pour un seul homme ou une seule femme? Page 45

52 C h a p i t r e 3 VIOLATIONS DE DONNEES PERSONNELLES : AUTRES IMPACTS L instauration d une obligation de notification des violations de données personnelles en France semble quasi certaine (mais à quelle échéance?) compte-tenu d une volonté partagée par de nombreux acteurs (gouvernement, parlementaires, autorités de contrôle, associations de consommateurs, ) tant nationaux, qu européens ou internationaux de renforcer la protection des données personnelles. Les entreprises, chose assez surprenante, semblent aussi «réclamer» un encadrement plus sévère et estimer pour 87 % d entre elles qu il devrait être imposé de divulguer publiquement les fuites de données, selon une étude Sophos de juin 2010 menée auprès de 1200 entreprises du monde entier. Les résultats de cette enquête montrent clairement la nécessité de voir les fuites d informations dévoilées publiquement. Il semble toutefois que 41 % des entreprises s inquiètent de la complexité et des coûts supplémentaires induits par l obligation de se conformer aux réglementations. Cette tendance semble confirmée par les participants (majorité de RSSI et de CIL) ayant répondus à l enquête AFCDP fin 2009 sur le contexte de la notification des atteintes aux traitements de données personnelles, qui se sont déclarés pour 62 % favorables à cette mesure ( 50 ), mais également inquiets quant aux conséquences. Les individus quant à eux semblent pour l instant peu se préoccuper des atteintes pouvant concerner leurs données personnelles, ou très à la marge lorsqu il s agit de défendre le respect à leur vie privée. Paradoxalement, ils semblent exiger que les organismes traitent dans une absolue sécurité les informations confiées, alors qu ils en dévoilent spontanément de bien plus sensibles et les exposent à la vue de tous (ou presque) et cela sans aucune assurance de sécurité ou de confidentialité. On peut s interroger sur leur réaction au moment de l envoi des premiers courriers d information. Quand à la CNIL, celle-ci ne s est pas, à ma connaissance, prononcée officiellement quant à l obligation de notification des violations de données à caractère portée par les projets de textes français (proposition loi sénatoriale Détraigne/Escoffier du 23 mars 2010 et projet de loi AN du 15 septembre 2010). Quelle est donc sa position? Dans un communiqué publié en novembre 2010, elle affirme «accueillir favorablement les orientations générales» proposées par la Commission européenne dans une communication en date du 4 novembre 2010 ( 51 ) détaillant les grands axes envisagés de renforcement de la loi sur la protection des données personnelles (révision de la directive 95/46 CE). Si elle se dit soutenir les orientations proposées par la Commission européenne dans leur ensemble, on peut donc en déduire qu elle adhère aussi à l obligation de notification des violations des données à caractère personnel portée par ces orientations. Les impacts de cette future obligation sur le métier de CIL ont fait l objet d un long développement précédemment. Mais les CIL ne seront pas les seuls à être touchés par cette réforme et beaucoup d autres conséquences pourront en découler. En effet, lorsqu il y a violation et que les données sont atteintes, les conséquences pourront être variables selon l angle de sous (50) Etude réalisée dans le contexte de la conférence AFCDP sur la notification des atteintes aux données personnelles pilote : Bruno RASLE, Délégué général AFCDP 23 mars (51) Communication COM (2010) 609/3 de la commission au parlement européen, au conseil, au comité économique et sociale européen et au comité des régions Une approche globale de la protection des données à caractère personnelle dans l UE (4 novembre 2010). Page 46

53 lequel on se place : personne «victime» (III.1), entreprise/administration (III.2), régulateur (III.3). III.1. IMPACT SUR LES PERSONNES «VICTIMES» Les données personnelles représentent une valeur particulière pour l individu, puisqu elles lui appartiennent et, lorsqu il les confie, il peut exiger un traitement dans le respect de ses droits et de la loi. a. Information des personnes victimes Il est prévu que le responsable du traitement devra informer les personnes dont les données personnelles peuvent avoir été compromises par une violation de sécurité (à moins qu il ne s agisse de l un des traitements autorisé par l article 26 de la loi Informatique et libertés). Le commissariat à la protection de la vie privée du Canada, dans un guide relatif à la protection de la vie privée au sein de l entreprise ( 52 ), donne quelques raisons d aviser les personnes concernées par les atteintes à la vie privée dans certaines circonstances et y voit plutôt un gage de confiance des personnes qu un risque d atteinte à l image et de désavantage concurrentiel : «Vos clients et vos employés s attendent à ce que les entreprises protègent leurs renseignements personnels. Ils veulent être informés des risques en matière de vie privée associés à vos pratiques de traitement des renseignements personnels. En avisant les personnes concernées, vous démontrez que vous avez de bonnes pratiques en matière de protection de la vie privée et vous instaurez un climat de confiance à l égard de votre entreprise» Mais l information des personnes a surtout principalement pour objectif de les inviter à une plus grande vigilance suite à la violation de leurs données personnelles afin d en limiter les conséquences éventuelles notamment en terme d usurpation d identité. Si l on se réfère aux dispositions existantes dans d autres pays ou dans les textes de révision du «paquet télécom», cette information pourrait porter sur : - la nature de l atteinte aux données à caractère personnel ; - les mesures prises par l organisme pour le rétablissement de la protection de l intégrité et de la confidentialité des données ; - les recommandations à suivre pour atténuer les conséquences négatives possibles de la violation, et les points de contact auprès desquels des informations peuvent être obtenues (exemple : mise en place d un numéro vert). Les cas dans lesquels une information des personnes sera nécessaire ne sont à ce jour pas précisés, de même que le contenu de cette information, et le délai dans lequel elle devra être réalisée. Limiter l information aux seules atteintes qui seraient susceptibles de porter préjudice aux personnes viendrait considérablement réduire les impacts au niveau de l entreprise. En revanche, les cas pour lesquels une information des personnes concernées ne devra pas être effectuée sont délimités par l article 34 modifié : «Si la violation a affecté les données à caractère personnel d une ou de plusieurs personnes physiques, le responsable du traitement informe également ces personnes, sauf si ce traitement a été autorisé en application de l article 26». Pour mémoire l article 26 de la loi Informatique et Libertés vise les traitements de données à caractère personnel mis en oeuvre pour le compte de l état et qui intéressent la sûreté de l Etat, la défense ou la sécurité publique, ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l exécution des condamnations pénales ou des mesures de sûreté (article 26 - I). Il vise également les traitements portant sur des données (52) Voir : Page 47

54 mentionnées à l article 8 (origine raciales, ethniques, opinions politiques, philosophiques, religieuse, appartenance syndicale, ou relative à la santé ou à la vie sexuelle article 26 II). Autant l absence d information des personnes semble compréhensible concernant les dispositions prévues au I- de l article 26, autant celle-ci semble moins justifiée concernant les dispositions prévues au II. En effet, si ces données particulièrement sensibles ont fait l objet d une autorisation par arrêté, que les personnes ont été informées de leur traitement, quelle raison peut justifier une absence d information si ces données sont violées alors que les conséquences en terme d atteinte à la vie privée peuvent s avérer extrêmement préjudiciables pour les individus concernés. On peut également s interroger sur le destinataire de l information lorsque l atteinte porte non seulement sur les données du client de l organisme, mais aussi sur des données de tiers (bénéficiaires ou ayants droit de prestations, parties à un contrat, tiers cautions, ), ou encore si elle concerne des personnes sous tutelle, des enfants mineurs, voire même des personnes décédées. A titre d exemple, en cas d atteinte ou de violations des dossiers patients d un hôpital soumis à une obligation de conservation des dossiers durant 20 ans minimum, dont certaines concernent des mineurs ou des personnes décédés, à qui fait-on l information : aux familles de la personne décédée, aux représentants légaux de l enfant mineur, à l enfant lui-même? En assurance, en cas d atteinte à la base de gestion des garanties d assurance maladie complémentaire, doit-on informer le titulaire du contrat ou également les bénéficiaires ou ayants droit des garanties dont les informations sont traitées? En gestion locative, devra-t-on aussi informer les personnes se portant caution et dont on collecte des éléments patrimoniaux si la base de gestion est touchée par une violation? A retenir : L information des personnes victimes a pour objectif de les inciter à une plus grande vigilance afin d atténuer les conséquences possibles de la violation et le risque d atteinte à leur vie privée qui peut en résulter. Elle a également pour but de les informer des mesures et points de contacts mis en place par l organisme pour les rassurer et répondre à leurs demandes. A signaler que dans certains cas, l information n est pas opportune pour des raisons de sûreté l Etat, de défense ou de sécurité publique. Peut aussi parfois se poser la question du destinataire de l information lorsque la violation atteint des données de tiers, de mineurs ou de personnes décédées. Une fois informé, quels moyens de recours peut avoir l individu concerné? b. Quels recours pour la personne victime d une violation de données personnelles? La responsabilité du responsable de traitement peut être engagée dès lors qu un préjudice personnel direct est occasionné à une personne victime de ses négligences (article 1382 du code civil). Le défaut de mesures préventives adaptées (absence de moyens de lutte contre les intrusions, patch correctifs non utilisés, locaux non sécurisés, mauvaise gestion des habilitations et des codes d accès, ) ouvre la voie à des actions en responsabilité à l encontre de l entreprise défaillante. Selon la nature de ses relations avec le responsable de traitement, la victime pourra saisir la juridiction civile, commerciale ou administrative. En informant les personnes concernées de la violation de données personnelles, le responsable de traitement, s il n a pas mis en œuvre des mesures de protection adéquates apporte la preuve de son manquement ou de sa défaillance : «aveu de l auteur» (auto-incrimination). La preuve du manquement est faite, mais restera à établir l existence d un préjudice pour la personne concernée (lien de causalité entre le manquement et le préjudice subi). En l absence de preuve d un préjudice (financier, moral en cas d atteinte à la vie privée, usurpation d identité, ), l indemnisation allouée aux victimes par les tribunaux risque d être très réduite. Page 48

55 Dans les pays où les actions de groupe (ou «class action») existent, elles peuvent conduire en cas de «data breach» à des condamnations de plusieurs millions de dollars, à l exemple de ce cas aux USA où «les patients attaquent un hôpital en justice après la perte d un disque contenant les dossiers de patients» (lettre AFCDP n 49, juillet 2010). Cette incitation indirecte à la sécurisation des systèmes semble efficace. Les actions de groupe actuellement ne sont pas possibles en France. Il convient toutefois de signaler qu une proposition de loi «portant réforme de la responsabilité civile», enregistrée au Sénat le 9 juillet 2010, envisage de modifier le régime général de droit commun «Tout fait quelconque de l homme ou toute contravention à une obligation contractuelle qui cause à autrui un dommage, oblige l auteur à le réparer» et prévoit l introduction en France des actions de groupe lorsque plusieurs personnes sont victimes de dommages matériels similaires. Ce texte pourrait peut être trouver à s appliquer en cas de violations de traitement de données personnelles impactant de nombreux consommateurs. Il convient également d être attentif à l issue des travaux menés dans le cadre de la révision de la directive 95/46 CE actuellement en cours qui, au regard d une communication du 4 novembre 2010 ( 53 ) de la commission chargée de définir l approche de modernisation du cadre juridique de l Union Européenne régissant la protection des données à caractère personnel s engage à examiner des possibilités d actions collectives (p.11) : «la commission engagera les actions suivantes : envisager la possibilité d accorder le pouvoir de saisir les juridictions nationales aux autorités chargées de la protection des données et aux associations de la société civile, ainsi qu à d autres groupements représentant les intérêts légitimes des personnes concernées». Sans aller jusqu à une action contentieuse, des «compensations» pourraient être offertes aux personnes victimes par les entreprises pour les aider à se prémunir des conséquences de la violation, tel par exemple : don d antivirus pour protéger leurs installations, mise sous surveillance des comptes en banque, remplacement des cartes de crédit ou de fidélité, par le responsable de traitement. A retenir : Des actions individuelles des personnes victimes d une violation peuvent être intentées à l encontre de l organisme «défaillant». A surveiller aussi, les travaux en cours qui pourraient introduire prochainement en France des possibilités d actions collectives (class-actions). III.2. IMPACTS SUR L ORGANISME CONCERNE Les données personnelles représentent une ressource fondamentale de l'entreprise (valeur patrimoniale, intellectuelle, financière, stratégique, concurrentielle, ). Il est essentiel que ces informations respectent les droits des personnes et soient protégées de toutes atteintes ou accès par des personnes non autorisées. Les conséquences induites par toutes violations des traitements de données à caractère personnel sont multiples pour l organisme concerné. Il en découle un risque important d atteinte à l image (a) et des risques liés aux manquements et défaillances (b). Si l entreprise est victime de violations, quels pourraient être ses recours et ses moyens de défense (c). Des coûts financiers importants et des bouleversements organisationnels sont aussi engendrés par cette obligation (d). Pour atténuer au maximum les impacts induits par une violation, l entreprise pourra chercher à se protéger en faisant de la sécurité une de ses priorités (e). (53) Communication COM (2010) 609/3 de la commission au parlement européen, au conseil, au comité économique et sociale européen et au comité des régions Une approche globale de la protection des données à caractère personnelle dans l UE (4 novembre 2010). Page 49

56 a. Atteinte à l image L une des pires conséquences induites par une violation des informations serait de voir le nom de l entreprise publié dans les médias pour défaut de sécurité. Ce risque d atteinte à l image et à la réputation de l organisme est, semble-t-il, plus incitatif à l adoption de mesures de protections adéquates que les risques de sanctions administratives, financières ou pénales dans la mesure où celles-ci restent à ce jour rares et de faibles montants (voir sur ce sujet proposition de loi sénatoriale Détraigne/Escoffier précitée qui prévoit un renforcement conséquent des sanctions pénales et financières en cas de non respect des obligations visant au respect de la vie privée). Le risque d atteinte à l image serait d autant plus important que la CNIL se verrait dotée d un pouvoir de publication facilité par la proposition de loi des sénateurs Y. Detraigne et A.M. Escoffier (plus uniquement en cas de mauvaise foi de la part du responsable de traitement). Si ce risque d atteinte à l image semble réel pour le secteur privé et peut l inciter à prendre des mesures de sécurité renforcées afin de limiter les conséquences induites par cette publicité négative en terme de perte de confiance des utilisateurs ou consommateurs, de désavantage concurrentiel et par conséquent de pertes financières, on peut se demander quels impacts ces atteintes et leur notification pourront avoir pour les services publics ou l administration. Pour ce secteur en effet le risque d image, même s il est fort regrettable, n a pas d impact sur l activité et les ressources financières (sauf si amende). Cela ne changera pas le comportement du citoyen victime qui n a d autre choix que de passer par ces administrations ou services publics pour payer ses impôts, se faire soigner, se faire rembourser, ou encore s éduquer, A retenir : Il existe un fort risque d atteinte à l image et à la réputation de l entreprise en cas de publication des violations de traitement de données personnelles dont elle a été l objet. Ces deux facteurs incitent les entreprises à prendre des mesures de sécurité renforcées afin de s en prémunir et ainsi conserver la confiance de leurs clients. b. Manquements de l entreprise à l obligation de sécurité et notification Le responsable de traitement doit prendre les précautions utiles exigées par la loi Informatique et Libertés pour assurer «compte tenu de l état de l art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par les traitements et de la nature des données à protéger» (article 17, 1 de la directive 95/46 précité). En cas de défaillance, le responsable de traitement risque d engager sa responsabilité civile ou pénale s il n a pas pris les «mesures techniques et d organisation appropriées pour protéger les données à caractère personnel» (article 17, 1 de la directive 95/46 du 24 octobre 1995). La faute, l imprudence ou la négligence peuvent engager sa responsabilité pénale en cas de divulgation des données à caractère personnel (articles et du code pénal). A signaler que la jurisprudence a sanctionné a plusieurs reprises la violation de l obligation de sécurité et de confidentialité de données nominatives. Un arrêt de la chambre criminelle de la Cour de cassation en date du 30 octobre 2001 a ainsi confirmé la condamnation d un responsable d organisme, considérant que l insuffisance de sensibilisation des employés avait favorisé des accès non autorisés à des données nominatives ( 54 ) (54) Crim, 30 octobre 2001, n Page 50

57 Nous retiendrons aussi à titre d illustration une décision de la Cour d Appel de Paris en date du 9 septembre 2009 ( 55 ) faisant ressortir qu en dépit d éventuels manquements à l obligation de sécurité, l entreprise victime n a pas été sanctionnée. «Une entreprise qui a aspiré le site d un concurrent est condamnée pour accès et maintien frauduleux dans un système de traitement automatisé de données et collecte frauduleuse de données personnelles. L article du code pénal interdisant le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite les auteurs ont été sanctionnés. En revanche, en dépit du faible niveau de sécurisation du site, l entreprise victime n a pas été inquiétée pour un éventuel manquement à l obligation de sécurité posée par l article 34 de la loi Informatique et Libertés (TGI Paris, 18 septembre 2008 : com. Electronique 2009, comme 10 ; RLDI déc. 2008, n 1465). Peu de jurisprudence en effet car, selon le Clusif, 95 % des entreprises victimes d incidents liés à la sécurité de l information se refusent à porter plainte afin de se préserver du risque d atteinte à l image en défrayant la chronique avec des incidents portant parfois sur les données de leurs clients, salariés, partenaires. En cas d obligation de notification à la CNIL des violations impactant les traitements de données personnelles de l entreprise, le responsable de traitement informe de sa «défaillance» (autoincrimination) à l autorité et lui livre les «bâtons pour se faire battre». Seront-elles nombreuses les entreprises à s auto-incriminer? A retenir : En cas de manquements à ses obligations de sécurité, le responsable de traitement peut voir sa responsabilité civile ou pénale engagée. La responsabilité civile du responsable de traitement pourrait également être engagée sur le fondement de l article 1382 du code civil dès lors qu un préjudice personnel et direct serait occasionné à la personne victime de négligence (voir ci-avant b. recours des personnes victimes). Rappelons en outre que le défaut de notification pourrait être pénalement sanctionnable (voir sur ce point Chapitre 2, C. «CIL, notifier ou pas»). c. Quelles conséquences judiciaires pour l entreprise? Les violations de traitements de données à caractère personnel peuvent avoir des conséquences judiciaires de plusieurs ordres pour l entreprise victime. L entreprise est victime : responsabilité pénale Les causes sont généralement définies par les articles du code pénal : - les atteintes aux systèmes de traitement automatisé de données (articles à 3) ( 56 ) - le vol (article 321-1) - l escroquerie, l abus de confiance, les faux et usages de faux. Dans ces cas, l organisme peut porter plainte à l encontre les auteurs pour tenter d obtenir condamnation devant les juridictions pénales, mais l on sait que ce moyen est très peu utilisé puisqu à ce jour moins de 5 % des entreprises victimes de violations décident de porter plainte. (55) V. Chronique «Droit de l Internet» publiée au JCP Semaine Juridique, Editions entreprise et affaires (n 5, février 2010, page 21) de Julien Le Clainche ; voir aussi TGI Paris, 31 ème chambre, 18 SEPTEMBRE 2008, (56) Code pénal : article «le fait d accéder ou de se maintenir, frauduleusement, dans tout ou partie d un système de traitement automatisé de données est puni de deux ans d emprisonnement et de euros d amende» ; article : «le fait d entraver ou de fausser le fonctionnement d un système de traitement automatisé de données est puni de cinq ans d emprisonnement et de euros d amende» ; article : «le fait d introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier les données qu il contient est puni de cinq ans d emprisonnement et de euros d amende». Page 51

58 Toutefois, quelques jurisprudences fondées sur les articles à du code pénal à titre d illustration : Condamnation en première instance de C..A pour avoir accédé et s être maintenu frauduleusement pendant plusieurs années dans un système automatisé de données (en l espèce le système de traitement automatisé de la SA Tati) ; En seconde instance, la Cour d appel a débouté l entreprise victime aux motifs que ses carences et négligences et les insuffisances des protections des données contenues dans les systèmes de traitement automatisé des informations ont permis facilement de parvenir aux fichiers de données nominatives. ( 57 ). Où encore la très médiatique affaire de l ex-trader de la Société Générale dont le jugement rendu par le tribunal correctionnel fait référence au délit d introduction de données dans un système de traitement automatisé de données prévu à l article du code pénal (caractère frauduleux de l introduction des données, volonté de l auteur de porter atteinte à la fiabilité du système en y introduisant, en connaissance de cause, des données fausses) ( 58 ). L entreprise a causé un dommage aux personnes L entreprise pourrait être sujette à des actions en responsabilité civile engagées à son encontre si elle cause des dommages aux personnes. En effet, des actions en réparation des personnes victimes sont possibles sur la base de l article 1382 du code civil comme cela a été évoqué précédemment (voir ci-avant III.1, b. recours pour la personne victime d une violation de données personnelles) dès lors qu un préjudice personnel et direct a été occasionné du fait de négligence. Le défaut de mesures préventives ou la défaillance du système informatique ouvre la voie à des actions en responsabilité. La responsabilité civile professionnelle de l entreprise pourrait donc être engagée en cas de fautes, erreurs ou négligences entraînant des conséquences aux personnes du fait des violations. Si sa responsabilité est retenue, elle pourra être condamnée à verser des dommages et intérêts aux personnes victimes. Elle peut s assurer contre ce risque en souscrivant des garanties de «Responsabilité civile professionnelle», garanties qui ne couvriront que les fautes non intentionnelles. L entreprise a subi des pertes pécuniaires : L entreprise peut s assurer contre les pertes pécuniaires engendrées par la violation de données à caractère personnel. Leur réalisation doit être indépendante de la volonté du responsable de traitement assuré (caractère aléatoire), son impact est mesurable et quantifiable. Il conviendra d effectuer une évaluation et un constat précis des dommages subis (pertes quantifiables subies du fait de la violation des données personnelles) : - Coût de reconstitution des données, - Frais engagés par l entreprise pour réparer et sécuriser les systèmes, et pour maintenir son activité économique, - Pertes de chiffre d affaires (dues notamment à l atteinte à l image et à la perte de confiance pouvant en résulter d une publication), - Coûts engendrés par la notification : frais liés à l information des personnes, frais liés à la mise en œuvre de moyens humains (mobilisation personnel) et techniques (plateforme d appel par exemple) pour gérer la situation de crise, Conformément au code des assurances, c est à l assuré de démontrer que le sinistre qu il a subi entre bien dans le cadre des garanties. Il doit donc démontrer qu il a subi une perte et (57) CA Paris, 12 ch A, 30 octobre 2002, C A (administrateur site Kitetoa.com) / SA TATI, (58) Tribunal correctionnel de Paris, 5 octobre 2010, Page 52

59 identifié le mécanisme utilisé. La constitution des preuves de l incident par l entreprise devra reposer sur des éléments fiables et légaux. Le dépôt de plainte est systématiquement demandé par l Assureur. Il ne pourra donc y avoir indemnisation si l entreprise persiste dans sa volonté de se taire telle que la tendance actuelle. Mais, l assurance n interviendra que si l entreprise a subi un dommage (pertes financières) et, si bien entendu, cette dernière est en mesure de justifier qu elle a pris toutes les précautions nécessaires (système de sécurité à jour, ). Les conséquences de la responsabilité pénale comprises comme des condamnations pénales ne sont pas assurables. Les conséquences des risques subis par les tiers victimes (clients, salariés ) pourraient quant à elles être couvertes par d autres garanties telles que la responsabilité civile professionnelle. Dans certains pays, il existe des garanties spécifiques pour se prémunir contre les coûts engendrés par les Data Breach. Ce type de garanties spécifiques n existe pas en France. Exemple : USA, une société d assurance du Colorado refuse de prendre à sa charge les coûts générés par l un de ses clients, l Université de l Utah, suite à une Data Breach révélée en 2008 ( patients de l hôpital universitaire concerné, dollars de frais au total) (lettre AFCDP n 49, juillet 2010). A retenir : L entreprise victime d une violations de ses traitements de données personnelles à des possibilités de recours envers l auteur de l acte de fraude ou de malveillance à l origine de l atteinte, en se fondant sur certaines dispositions du code pénal. Elle peut également dans certains cas être indemnisée si elle a au préalable souscrit des garanties d assurance appropriées (pertes financières et d exploitation, responsabilité civile professionnelle) ; dans les deux cas, elle devra porter plainte et faire la preuve du préjudice subi. d. Des coûts financiers importants et des impacts sur les organisations Bien qu il soit encore difficile à ce jour de complètement mesurer les impacts de cette future obligation de notification et tant que la loi n est pas votée et les modalités d application ne sont pas clairement définies, on peut identifier pour l entreprise des impacts positifs de plusieurs ordres : - en terme de processus, avec un meilleur reporting qui, quoi qu il arrive, doit être mis en place pour que les violations soient identifiées et remontent au responsable de traitement et au CIL, - en terme de sécurité avec vraisemblablement un renforcement général du niveau de protection des données, - en terme d organisation avec peut être parfois la nécessité de repenser des implantations, des postes de travail, ou encore des habitudes de travail, - en terme de collecte avec une réduction des données collectées et une gestion des durées de conservation, - en terme de culture, avec une sensibilisation plus importante envers les collaborateurs car elle réduit les comportements à risques, - et au final, peut être une meilleure prise en compte des risques et une meilleure légitimité des fonctions en charge de la protection des données. Mais tout cela nécessite des moyens financiers et humains importants tant pour la prévention des atteintes que pour leur gestion et leur réparation. Cela nécessite également de dégager beaucoup de temps pour la réflexion, la mise en place des processus, procédures et organisations adéquates pour pouvoir répondre à cette future obligation. Ces nouvelles mesures s avèrent donc contraignantes et coûteuses pour l entreprise. Chiffrer le coût d une violation s avère de plus difficile en l absence de vision globale puisque aucune obligation de communiquer n existe aujourd hui. Selon une étude menée par l éditeur Page 53

60 PGP et l institut Ponemon en 2009 en France ( 59 ), le coût de chaque dossier compromis s élève en moyenne à 89. Pour autant, la notification d une effraction ne coûte que 4, le reste étant pour 31 dévolus à la réparation, et pour le reste aux activités de détection et de reporting sur les incidents. Le coût organisationnel moyen d une effraction de données s élèverait à 1,9 million d euros selon cette étude. (voir plus de détail en Annexe 9) Des difficultés peuvent également se présenter au moment de la gestion de la violation. Est-on effectivement en capacité d informer l ensemble des personnes concernées? La question n est pas si anodine qu elle n y paraît. Autant le responsable de traitement a une obligation de tenir ses informations exactes, complètes et si nécessaires mises à jour (article 6, 4 de la loi Informatique et Libertés), autant lorsque des durées de conservation particulièrement longues sont exigées il sera difficile d informer les personnes si celles-ci n ont pas fait part de modifications de situation (changement adresse notamment). Par exemple, dans le cas d une violation de données impactant le secteur hospitalier astreint à une obligation de conservation des dossiers patients de 20 ans minimum, comment l hôpital pourra-t-il avertir les personnes ayant fait l objet de soins 20 ans auparavant si leurs données sont compromises? Devra-t-il concernant les personnes décédées, retrouver les adresses des familles pour les informer? Cela semble impossible. Cette mesure semble parfois incompatible avec les délais de prescription imposant aux entreprises de conserver les informations sur de longues périodes et ne permettant pas toujours une actualisation des informations du fait de la rupture de la relation contractuelle (obligation de conservation des informations pour des contraintes de prescription // mise à jour nécessaire pour notifier). Ainsi, si l on se place sous un angle purement économique pour l entreprise, on peut s interroger sur les choix qui seront faits : celui de mettre en place des processus de prévention, de sensibilisation, de reporting, d audits de conformité contraignants et lourds financièrement ou celui de régler au coup par coup chaque violation. A retenir : L obligation de notification des violations de données personnelles à l autorité de contrôle et aux personnes concernées engendre des coûts financiers importants pour mettre en place les procédures et mesures appropriées à leur prévention, leur détection et leur gestion. Elle suppose également de disposer des moyens humains indispensables à la mise en œuvre de ces différentes mesures et aussi du temps pour s y préparer, dégager les budgets nécessaires, et étaler les impacts financiers et organisationnels sur plusieurs années. Vers de nouveaux marchés? Ces obligations de notification ne risquent-t-elles pas également de renforcer le rôle dont s investissent certains organismes ou personnes privées dans la chasse aux failles et leur révélation à l organisme concerné à des fins de correction ou parfois même leur publication dans les médias (presse, sites spécialisés, ). Pour lutter contre le risque d atteinte à l image, les entreprises devraient être amenées à prendre d avantage au sérieux les alertes faites par ces organismes de conseil en sécurité. Certaines ne vont-elles pas être tentées de nouer des accords avec ces partenaires pour la détection de leurs failles et qu on les en avertissent? Mais, ces services ont aussi un coût pour l entreprise. A l exemple du «Programme alerte CIL» permettant aux membres personnes morales de l AFCDP, sur la base du volontariat et de façon formelle, de bénéficier d un traitement particulier d alerte si leurs systèmes d information laissaient échapper des données personnelles dont ils ont la charge. Ce protocole d alerte particulier résulte d une convention établie entre l AFCDP et Zataz.com, spécialiste en sécurité. (59) Etude annuelle 2009 : le coût des effractions de données en France, PGP et institut Ponemon. Page 54

61 e. Faire de la sécurité une priorité? En instaurant ce caractère contraignant en cas de violation des traitements de données à caractère personnel, la volonté exprimée du législateur est d amener à une augmentation générale du niveau de protection des données personnelles par les entreprises. Les sénateurs précisent en effet que «bien maîtrisée et encadrée, l obligation de notification des failles de sécurité peut être une incitation forte au renforcement de la sécurité des données». Pour limiter les conséquences en terme de publicité négative et de responsabilités, le responsable de traitement n a donc que pour seule solution d éviter absolument toute atteinte à ses traitements de données à caractère personnel et de limiter les informations stockées. Au vu du constat réalisé dans les pays où l obligation de notification des violations des traitements existe, il est vraisemblable que cette obligation aura en France les mêmes impacts et tendra à favoriser la diffusion de techniques permettant de garantir l intégrité et la confidentialité des informations, et à réduire le volume des données collectées et stockées (recueil des informations strictement nécessaires à la finalité, purges systématiques, anonymisation, chiffrement, ). Obligation de notification ou non, on ne peut que relever l importance pour toute entreprise d améliorer ou renforcer son niveau de sécurité. Celle-ci doit s engager dès maintenant dans des démarches concrètes en vue de prévenir les risques d atteintes aux données personnelles, de mettre en place des processus lui permettant de gérer les incidents et ainsi se tenir prêts à répondre à une éventuelle obligation de notification. Dans l attente du vote des textes (et notamment de la transposition en droit français des nouvelles dispositions modifiant la directive 95/46 CE), les entreprises françaises disposent d environ 2 ans pour se préparer à cette future obligation. La sécurité est l affaire de tous : une réelle volonté du responsable du traitement, la nomination d un CIL combinée aux efforts du RSSI, une bonne sensibilisation des collaborateurs, la mise en œuvre de procédures ou de mesures techniques adaptées (moyens d authentification, tests d intrusion, chiffrement si données sensibles, limitation de la collecte, ) sont essentiels pour la protection de la vie privée et éviter au maximum les risques liés à une notification. Si des impacts financiers ou en terme d image peuvent être importants pour toute entreprise en cas d atteintes aux informations, il ne faut pas oublier que ceux-ci peuvent avoir des conséquences importantes, voire vitales, en milieu hospitalier, médical ou dans des secteurs particulièrement sensibles (sécurité/défense, énergie/nucléaire, ). Dans ces secteurs particulièrement la protection des informations est indispensable. A retenir : L entreprise doit avoir un bon niveau de sécurité pour préserver l intégrité et la confidentialité des informations confiées et se prémunir des violations de données personnelles. Obligation de notifier ou non, elle est déjà contrainte par l article 34 à prendre des mesures en matière de sécurité qui se doivent d être appropriées à la nature des données traitées. La future obligation de notification incitera vraisemblablement chaque entreprise à adopter des mesures concrètes en vue de prévenir les risques d atteintes et de mettre en place des processus appropriés pour y répondre. L obligation de notification des violations de traitement de données à caractère personnel, outre les impacts sur les personnes victimes et l entreprise, aura des impacts sur les autorités de contrôle. Page 55

62 III.3. IMPACTS SUR LE (OU LES) REGULATEURS? La CNIL est clairement identifiée comme destinataire des notifications des atteintes aux données personnelles par le projet de loi gouvernemental déposé le 15 septembre 2010 sur le bureau de l Assemblée Nationale (texte non encore voté à ce jour). L autorité nationale indépendante de la rue Vivienne aura donc un rôle central et prépondérant en cas d obligation d information des atteintes aux données personnelles. Toutefois, on peut se demander si la CNIL dispose des moyens indispensables (techniques, humains, compétences, ) pour assurer un tel rôle? Dans quelle mesure pourra-t-elle faire face au surcroît d activité généré par cette obligation de notification? Si en plus elle venait s ajouter au surcroît d activité généré par l obligation de désigner des CIL (formation, assistance et conseil, mais baisse du nombre de déclarations mais pas des autorisations ), on peut clairement se poser la question de ses moyens. Le problème des moyens de la CNIL pour gérer cette obligation de notification a été identifié par les parlementaires. Dans le rapport du 27 mai 2009 élaboré les Sénateurs Yves Détraigne et Anne-Marie Escoffier, il est envisagé la nécessité de définir des critères et des seuils afin de ne pas submerger la CNIL (rapport sénatorial «la vie privée à l heure des mémoires numériques»). On constate aussi, au regard de l analyse des impacts des mesures de transposition du «paquet Télécom» sur la CNIL que celle-ci, identifiée comme destinataire des notifications des violations de sécurité incombant aux opérateurs de communications électroniques, devrait disposer de moyens pour gérer cette activité supplémentaire : «Des charges et ressources supplémentaires sont à prévoir, initialement pour concevoir et développer en concertation avec certains acteurs des principes et un système informatisé de notification, puis entre 1 heure et 5 personnes/jours au fil de l eau par notification de violation» (annexe du projet de loi déposé à l Assemblée nationale par le Gouvernement le 15 septembre 2010 ( 60 ). Cette estimation concerne les seules notifications du secteur des communications électroniques L analyse d impact évoque bien la nécessité de prévoir des moyens et ressources supplémentaires notamment pour arrêter les principes (seuils? critères? nature des données ou secteurs concernés?) de ces notifications et la conception d un système informatisé de notification. Les impacts pour l autorité pourront également varier en fonction du rôle plus ou moins important que le législateur décidera ou non de donner au CIL dans la gestion des violations de données à caractère personnel. En effet, le CIL peut soit être cantonné au rôle de «facteur», soit avoir un rôle dans l appréciation et la décision des situations à notifier ; en fonction du rôle donné au CIL, il en résultera pour l autorité un travail plus ou moins conséquent du fait du travail réalisé en amont par le CIL. Les problèmes ont été identifiés ; reste à voir si la CNIL sera finalement dotée de moyens supplémentaires lui permettant de faire face à ses obligations, ou si elle sera contrainte de revoir à la hausse sa politique de sanctions à l égard des entreprises contrevenantes pour trouver des fonds. A moins que ne refleurisse l idée d une taxe spéciale à charge des entreprises pour participer au fonctionnement de la CNIL. A retenir : Indéniablement, la CNIL devra disposer de moyens humains et financiers pour gérer les notifications et faire face aux suites à y apporter. Ces moyens pourront être plus ou moins conséquents en fonction de l importance du rôle qui sera donné au CIL par la nouvelle législation dans l appréciation des dossiers et le travail qu il aura effectué en amont. Par ailleurs, d autres régulateurs seront-ils impactés par cette obligation de notification? Comme il a été soulevé précédemment (voir chapitre 2), une incertitude persiste pour certains secteurs d activité (par exemple hébergeurs de données de santé) ayant déjà une obligation de (60) Voir Chapitre IV, 4 «Analyse des impacts», La CNIL, page 111 Page 56

63 signaler à leur autorité de contrôle (exemple ASIP) les incidents graves ayant des incidences sur les données personnelles. Ces secteurs seront-ils soumis à une double notification prochainement? Dans l affirmative, espérons que les autorités garderont à l esprit cette problématique et s engageront dans des voies visant à faciliter la tâche des organismes et à harmoniser leurs formalismes (tel que cela a été fait pour les hébergeurs de données de santé où le dossier d agrément déposé auprès l ASIP est également valable pour le dépôt des formalités auprès de la CNIL). CONCLUSION DU CHAPITRE 3 En l absence de réalisation d une étude d impact visant à identifier précisément les conséquences de cette obligation de notification en France pour tous les acteurs, directement ou indirectement concernés par cette mesure, il est à ce jour impossible d en cerner tous les périmètres, et notamment de se positionner sur les volets financiers, organisationnels ou même répressifs de cette mesure. Quels impacts ou conséquences pourraient donc résulter de ces mesures? Pour les tribunaux : l augmentation du nombre de dépôts de plainte pour violation à mettre en parallèle avec l engorgement actuel des juridictions, les moyens nécessaires à la gestion des plaintes (intervention des magistrats, travail des greffes, temps passé) ; Pour mémoire, actuellement moins de 5% des entreprises décident de porter plainte ; Pour la CNIL : En l absence d estimation du nombre de violations existantes en France (pas de référencement), quel serait le volume de notifications à traiter par l autorité par jour/an, quel serait le temps à consacrer à l étude d un dossier (30mn, 1h00, plus.), quelles seraient les ressources humaines nécessaires ; éléments à mettre bien sur en parallèle avec les moyens financiers (budget non évalué), humains (personnel supplémentaires?) et techniques (besoins standard, outil informatisé de notification, ) dont elle devrait disposer pour faire face au traitement de ces dossiers. A cela pouvant s ajouter le temps et les travaux nécessaires à l instruction des dossiers soumis à l appréciation des commissaires de la CNIL en cas de procédure contentieuse, ou encore les frais de fonctionnement Comment traiter tous ces dossiers en l absence de feuille de route et de méthodes de fonctionnement pour l autorité de contrôle et les entreprises (procédure de notification plus ou moins simplifiée, respect du droit des personnes concernées, ) ; Pour les entreprises, les impacts financiers, humains ou organisationnels n ont pas non plus été évalués : coûts engendrés par une notification (courrier, informatique, personnel, cellule de crise, ), coût engendrés par la mise en place d outils et procédures (prévention, sensibilisation, tests d intrusions ), coût des frais de gestion de la violation (mesure correctives, ), nécessité de désigner un CIL (coût salariaux, temps travail, budget, ), à cela s ajoutant des frais de gestion et de fonctionnement globaux ; Des facilités, du temps seront-elles accordées aux entreprises pour la mise en œuvre de cette obligation? Quels pourraient être les effets positifs ou contreproductifs des mesures envisagées? renforcement de la sécurité et donc baisse des violations ou au contraire sans incidence sur les pratiques actuelles ; gestion des NPAI ; mesure d un possible désavantage concurrentiel induit par l obligation face au marché économique mondial? Pas de mesure des impacts positifs ou négatifs sur les personnes concernés (remboursement des frais engagés et résultant d une violation, difficulté d identification des destinataires de l information dans certains cas,..)? La CNIL, lors de l avis qu elle a formulé sur l avant-projet de texte HADOPI, avait reproché qu aucune étude d impact ne fut réalisée avant l adoption de ce texte. «À cet égard, (la CNIL) déplore que le projet de loi ne soit pas accompagné d'une étude qui démontre clairement que les échanges de fichiers via les réseaux «pair à pair» sont le facteur déterminant d'une baisse des Page 57

64 ventes dans un secteur qui, par ailleurs, est en pleine mutation du fait notamment, du développement de nouveaux modes de distribution des œuvres de l'esprit au format numérique». En parallèle, on peut donc s interroger sur l absence de réalisation d une étude sérieuse visant à mesurer l ensemble des impacts induits par cette nouvelle mesure, et plus particulièrement ceux visant directement la CNIL, première impactée par les conséquences de ce texte. Son actuel silence peut surprendre, notamment à l heure où des réflexions sont menées pour réduire le nombre d autorités administratives indépendantes en France (fusion de différentes AAI, tel par exemple la fusion des autorités bancaires et assurances effective depuis janvier 2010, ou encore le projet de disparition de la Halde qui serait intégrée dans le périmètre du Défenseur des droit d après une proposition de loi de juin 2010). Page 58

65 C o n c l u s i o n VIOLATIONS DE DONNEES PERSONNELLES : L ESQUISSE D UN NOUVEAU PAYSAGE Les impacts et les textes restant à l heure actuelle encore relativement imprécis et succincts, la mise en œuvre de cette obligation soulève beaucoup d incertitudes et un nombre important d interrogations. Toutefois, la question majeure est «Que faut-il notifier?». Par exemple : Se verra-t-on dans l obligation de notifier à l autorité toutes les violations ou seulement certaines pouvant avoir un impact sur les personnes concernées? Les failles «internes» (exemple erreur sur le destinataire d un mail, documents «oubliés» sur un photocopieur, mauvaise gestion des habilitations exposant les données à des collaborateurs Si les informations sont rendues inutilisables du fait de mesures de protection renforcées (cryptage, anonymisation ), devra-t-on informer les personnes non autorisés, ), seront-elles concernées et à notifier? Une atteinte aux informations contenues dans des dossiers papiers ou listing sera-t-elle à déclarer à l autorité? A l exemple de ce qui se pratique en Grande-Bretagne où une entreprise d assurance s est vue publiquement rappelée à l ordre pour avoir jeté aux poubelles des dossiers clients comprenant des données bancaires et de santé. et la CNIL (quelle utilité?) Mon expérience de professionnelle de l Informatique et Libertés m a amenée à me poser cette question «Que faut-il notifier» lors de problématiques rencontrées ou au vu des différents cas évoqués par la presse ou par d autres CIL. Est-ce que dans ces situations, il aurait été pertinent de notifier ou non, d informer ou non les personnes concernées? En fait, la décision n est pas aisée et elle semble varier en fonction de chaque situation. Le caractère intentionnel ou non de la violation me semble être un facteur déterminant à prendre en compte (atteinte accidentelle ou délibérée) pour la notification et l information à faire aux personnes. En effet, une violation volontaire (malveillance interne, piratage base de donnée, vol ) peut laisser supposer une intention de nuire à l entreprise ou aux personnes. Dans ces cas, une alerte à la CNIL et aux personnes concernées semble importante afin d attirer leur vigilance quant à d éventuelles conséquences et à mettre en œuvre toutes mesures permettant d en atténuer les impacts. Les risques importants d atteinte à la vie privée des individus ou encore les risques susceptibles de toucher les populations résultant d une violation, me semblent également des critères importants dans la prise de décision de notifier. En effet, si la violation porte sur des listes de données précisément déterminées (NIR, n carte bleue, ), sur des informations confidentielles ou sensibles couvertes, par exemple, par un secret professionnel (domaines de la justice, militaire, bancaire, médical, ), ou encore sur des données susceptibles d entraîner un risque pour les populations ou des discriminations (secret défense, race, religion, données de mineurs, ), il me semble important d informer les personnes du risque de divulgation d éléments liés à leur vie privée. L obligation de notifier pourrait donc toucher plus particulièrement certaines données en fonction de leur sensibilité. Se poserait dans ce cas une difficulté technique liée à la détection des violations. En effet, en l absence de définition précise des données (qu est-ce qu une donnée médicale ou de santé, qu est-ce qu une donnée du patrimoine, par exemple), comment techniquement contrôler les «fuites» sans définir des listes précises (NIR, n carte bleue, )? Page 59

66 L obligation de notification pourrait également se baser sur le volume important de données concernées par la violation, telle par exemple le vol d une base marketing qui pourrait avoir pour conséquences d entraîner des vagues importantes de prospections commerciales non sollicitées (spam). Outre ces quelques critères fondés sur l intentionnalité, la sensibilité ou encore le volume des données violées, la difficulté peut résider dans l appréciation même de la décision de notifier ou non à l autorité et aux personnes concernées. En effet, une violation à première vue susceptible d être sans conséquence (perte de deux ou trois adresses et numéros de téléphone par exemple) pourrait avoir de fâcheuses incidences si les personnes se trouvent par la suite victime de harcèlements, d agressions physiques, ou encore de cambriolage par exemple. Il me semble également intéressant de confier au CIL un pouvoir d appréciation sur l opportunité de saisir la CNIL ou non dans les cas de violation grave d un traitement de données à caractère personnel susceptible d entraîner un risque pour les personnes. En présence d un CIL dans l entreprise, on peut même se poser la question d une possible exonération de l obligation de notification à la CNIL si, en contrepartie, il tient à sa disposition un registre des incidents et qu il dispose d un pouvoir d appréciation dans les actions à entreprendre. A l heure où les débats actuels évoquent un allègement des formalités au niveau européen dans le cadre de la révision de la directive 95/46/CE, une «dispense» d obligation de notification lorsque l organisme a désigné un CIL resterait en cohérence avec ces principes à double titre : Cela viendrait alléger les formalités pour l entreprise et le CIL qui se voit déjà en charge d une mission supplémentaire de tenue d un registre des incidents, et viendrait de ce fait renforcer sa légitimité et son rôle au sein de l entreprise ou hors de celle-ci s il est mutualisé ; (En Espagne, par exemple il n y a pas de notification des violations au cas par cas à l autorité mais le registre est tenu à sa disposition par l entreprise). Cela viendrait également alléger les impacts pour la CNIL qui se verrait déchargée d un nombre significatif de notifications à gérer et des suites à y donner, et donner une certaine cohérence avec son discours selon lequel la désignation d un CIL permet en «allègement» des formalités et d affirmer sa confiance envers les CIL désignés. Beaucoup d autres questions se posent (voir à titre d illustration la foire aux questions sur la notification des violations de données personnelles, AFCDP, 10 juin 2010 en Annexe 8) et ne feront l objet ni d un développement, ni de réponses dans le cadre de la présente réflexion compte tenu du caractère prématuré et de l imprécision actuelle des textes (et de la contrainte en nombre de pages exigée dans le cadre de cette thèse). Les travaux menés dans le cadre de la révision de la directive 95/46 (horizon 2014) viendront eux aussi apporter leur lot de mesures concernant cette obligation d information des personnes et de l autorité en cas de violation des traitements des données à caractère personnel. Certaines incertitudes seront vraisemblablement précisées par les textes, tout en espérant que les mesures arrêtées soient bien pensées, s appuient sur le bon sens et de fait restent réalistes et faisables par l entreprise. Il est indispensable que l obligation d information à faire aux personnes victimes soit extrêmement encadrée par les législateurs, tout comme l obligation de notification à l autorité de contrôle, afin de limiter les cas aux seules atteintes susceptibles d engendrer des conséquences importantes pour les individus. A défaut, les cas de notification pourraient s avérer nombreux et lourds à gérer pour les entreprises et pour la CNIL quant aux individus, ils risquent de recevoir des alertes fréquentes tant le volume des données traitées est important et dispersé sur d innombrables organismes. Page 60

67 Mais, pourquoi créer une nouvelle obligation? Il est probable que le législateur envisage d imposer la notification des «violations de données personnelles» à tous responsables de traitement, prenant ainsi en compte les dispositions éparses tant prévues par la révision de la directive 95/46 CE, que dans la proposition de loi sénatoriale Détraigne/Escoffier visant à mieux garantir la vie privée à l heure du numérique ou dans les différents avis et recommandations produits par des instances ou groupes de travail telles que le CNC, la DGCCRF, les associations de consommateurs, ou encore par les politiques (rapport UMP «vive Internet» par exemple). La volonté d aller vers une plus grande protection des données à caractère personnel semble bien réelle, tout comme la complexité du paysage législatif et réglementaire, et les règles contraignantes qui en découlent pour les entreprises bien réelles elles aussi. Les dispositions «attendues» (directives, proposition et projet loi) auront peut être le mérite d obliger les entreprises à mettre en place des moyens de protection plus importants qu aujourd hui. On peut toutefois s interroger sur l inflation de textes et leur bénéfice, alors que les dispositions actuelles sanctionnant les comportements en cas de défaut de sécurité ou de manquements à la réglementation sont peu utilisés (notamment les sanctions prévues par le code pénal en cas de manquements aux obligations de sécurité). Les lois définissent ce que les entreprises ou administrations doivent (ou devront) faire ou ne pas faire, et leur mise en œuvre est de plus en plus contraignante du fait de leur multitude, d existence d incohérences, de leur territorialité,. On empile des briques les unes au-dessus des autres pour toujours plus de complexité et de dispersion : - Hier des clauses contractuelles types encadrant les transferts de données hors de l UE ne laissant apparaître aucune disposition relative à la notification des violations alors que la tendance tend à vouloir faire peser cette obligation sur tout organisme ; - Aujourd hui, à titre d exemple, des dispositions intégrées au code de l environnement ( 61 ) mais a contrario aucune référence à la loi informatique et libertés dans le code du travail qui pourtant génère de nombreux contentieux du fait de l utilisation des moyens technologiques par les salariés mais aussi du fait du non-respect des formalités préalables tant auprès des instances représentatives du personnel qu auprès de la CNIL ; - Demain des textes européens et français sur l obligation de notifier les violations de données mais quelles cohérences avec l absence de disposition uniformes et similaires dans les autres pays du globe et susceptibles d entraîner parfois des distorsions de concurrence A quand des standards internationaux fixant des règles communes et claires et exigeant un même niveau de sécurité «acceptable» pour tous? La nécessité de redéfinir des règles tenant compte des pratiques et technologies actuelles semble absolument nécessaire, mais seront-elles réellement appliquées, respectées par tous et le cas échéant sanctionnées? A signaler sur ce point la récente proposition de résolution déposée à l Assemblée Nationale le 5 octobre 2010 visant à apporter le soutien de l Assemblée à l élaboration d une convention internationale relative à la protection de la vie privée et des données personnelles ( 62 ). Cette résolution fait suite à la 31e conférence des commissaires à la protection des données et à la vie privée le 5 novembre 2009 qui a adopté une proposition conjointe pour l établissement de normes internationales sur la vie privée et la protection des données personnelles, dite «résolution de Madrid». D après les députés, «cette proposition représente, un compromis équilibré entre la diversité des traditions nationales et la nécessité d une norme commune». Elle a déjà reçu le soutien unanime du Congrès des députés espagnols, le 13 avril (61) Renforcement du contrôle des dispositifs permettant de mesurer l audience des panneaux publicitaires ou d évaluer la fréquentation des lieux en utilisant des téléphones portables ou des caméras vidéo prévus dans la loi du 12 juillet 2010, dite Grenelle II, portant engagement national pour l environnement a prévu un régime d autorisation préalable de la CNIL : L'article L du code de l'environnement prévoit désormais que "Tout système de mesure automatique de l'audience d'un dispositif publicitaire ou d'analyse de la typologie ou du comportement des personnes passant à proximité d'un dispositif publicitaire est soumis à autorisation de la Commission nationale de l'informatique et des libertés." (62) Résolution n 2837 du 5 octobre 2010 présenté e par les députés, Mesdames et Messieurs Patrick OLLIER, Gabriel BIANCHERI, Antoine HERTH, Laure DE LA RAUDIÈRE, Jean-Marie MORISSET, Serge POIGNANT, Josette PONS et René-Paul VICTORIA. Page 61

68 Mais tout n est pas si négatif ; sur les pays ayant déjà mis en place l obligation de notification des violations de données à caractère personnel, des impacts positifs sont constatés : renforcement général des niveaux de sécurité, collecte d informations limitée, épuration ou destruction systématisée, meilleure prise en compte des risques, meilleure légitimité des fonctions en charge de la protection des données (légitimité des CPO par exemple). Au-delà de l obligation légale, les entreprises devraient se servir de cette loi comme d un fort élément de différenciation positive et donc d un avantage concurrentiel, les personnes (clients, internautes, salariés, ) devenant de plus en plus sensible aux entreprises mettant en œuvre des moyens de protection des données personnelles. Ces principes peuvent aussi s inscrire dans les démarches RSE (responsabilité sociétale des entreprises), au même titre que l éthique et le développement durable et apporter un gage de confiance supplémentaire et de transparence, prenant ainsi également en compte le principe d Accountability ( 63 ) évoqué lors de la conférence internationale des commissaires à la protection des données personnelles de Jérusalem en octobre Alors pourquoi attendre pour s y préparer puisqu à horizon proche ou moyen la France sera dotée d une obligation de notification des violations de données personnelles? Mon expérience en entreprise, m a permis de prendre la pleine mesure des impacts de cette future obligation, de voir quel rôle le CIL pourrait y jouer et comment, de constater des bonnes surprises (existant), des moins bonnes (le reste à faire), et de mesurer les difficultés pour l obtention de budget (priorités), faire passer certains messages, et parfois de constater une certaine lourdeur due à la taille du Groupe et de sa mouvance. En anticipant, l entreprise ou l administration peut profiter de la période donnée jusqu au vote de la loi et de ses décrets d application pour étaler les impacts de cette future obligation notamment en termes : - techniques ou informatiques : nécessité de cartographier les données et de mettre en place des moyens de protection correspondant à leur sensibilité, nécessité cartographier les traitements, de mettre en place des dispositifs anti-intrusion et les tester régulièrement, mettre en place des processus de gestion des incidents, renforcer la sécurité des échanges, mettre en place des mesures physiques protégeant l accès aux systèmes ou aux locaux, - humains : nécessité de disposer de personnel pour suivre les actions préventives, de gestion des incidents, impliquer le personnel en le formant et le sensibilisant, nécessité de désigner des interlocuteurs internes chargé de la mise en œuvre des différentes mesures, réflexion sur la désignation d un CIL, - juridiques et organisationnels : nécessité de mettre à jour les politiques de sécurité, les chartes, d adapter les contrats de prestations, les contrats de travail, les engagements confidentialité, repenser des installations, des fonctionnements ou habitudes internes, épurer les données inutiles, mettre en place des procédures de déclaration au CIL des incidents, réaliser des audits, faire des priorités et ne pas chercher à tout protéger en fonction des préjudices potentiels et des risques acceptables ; - et bien entendu budgétaires puisque toutes ces mesures induisent des coûts financiers importants qu il convient d anticiper Ainsi elle pourra être prête au moment où l obligation sera votée et applicable (décrets d applications annoncés) mais cela suppose en amont une réelle volonté de la part du responsable de traitement, une vraie réflexion interne et de pouvoir dégager l argent nécessaire à sa réalisation, car la seule bonne volonté ne suffit pas! (63) Accountability pouvant se comprendre comme l obligation de rendre des comptes ou encore d engagement responsable. «Le responsable de traitement doit non seulement prendre des mesures mais aussi démontrer qu il a pris action et s en tenir responsable» (AFCDP, compte-rendu réunion du 16 septembre 2010). Page 62

69 Il faudrait par ailleurs que cette obligation s inscrive dans une réelle volonté de mise en oeuvre (notamment sanctions en cas de non respect) pour être crédible et appliquée par les entreprises, à défaut elle ne sera pas prise au sérieux face aux enjeux de marchés économiques. Cette thèse propose une première synthèse de réflexions et de propositions, intermédiaire compte tenu de la jeunesse du métier de CIL et du contexte législatif et réglementaire évoqué non encore fixé à ce jour. Les pistes qu elle esquisse devront être affinées, critiquées, retravaillées en fonction du contexte et de ses évolutions à l heure où de nombreuses incertitudes persistent quant à l avenir et aux modalités d application de ces dispositions. Elle doit être considérée comme un outil utile aux discussions, plutôt que comme une «production finie». J assume ces limites, tout en espérant que cette étude contribuera à alimenter les débats et réflexions en cours, et peut être à les orienter sur des voies peu explorées, et tenant compte des impacts et conséquences de l obligation de notifier les atteintes aux données personnelles tant sur le métier de Correspondant à la Protection des Données à Caractère Personnel (ou CIL), que sur tous organismes ou encore sur les personnes concernées. Ces réflexions s appuient aussi sur l idée que si toute action pour faire évoluer les cultures et les comportements se heurte au départ à des difficultés, l acquis qui finit par en résulter permet de faire réagir les acteurs de manière plus responsable et plus respectueuse des questions de la protection des données personnelles. Les contours encore flous de ce nouveau paysage français qui se dessine laissent à ce jour une certaine place à l idéalisation de ce qui pourra émerger demain de ces réflexions ; soit un paysage paisible avec des voies bien tracées si les obligations sont bien pensées, bien définies, non disproportionnées et à la portée de tous ; soit un paysage accidenté et tourmenté, avec des chemins étroits et multiples si les exigences réglementaires à venir se font très fortement contraignantes, lourdes à gérer, voire inégales face aux marchés économiques mondiaux. L'avenir du métier de CIL n est pas définitivement scellé par les débats en cours. Une première ligne est franchie depuis les 5 années d existence de cette fonction, qui a démontré l importance du rôle du CIL dans la protection des données à caractère personnel, le respect de la vie privée et des droits fondamentaux des individus dans les entreprises qui en sont dotées. Il est temps de monter en deuxième ligne et de transformer l essai pour en faire un véritable gage de confiance et de transparence reconnus aux yeux de tous! Page 63

70 ANNEXES Page 64

71 ANNEXE 1 : BREACH NOTIFICATION LEGISLATION EXEMPLES NON EXHAUSTIF : (Global Privacy Alliance - August dc THE GLOBAL PRIVACY ALLIANCE OVERVIEW BREACH NOTIFICATION LEGISLATION KEY ELEMENTS TO CONSIDER What is a Data Breach? A data breach generally refers to instances where personal information has been subject to unauthorized access, collection, use or disclosure. The data breach may be caused by inadvertent or deliberate actions that result in the information being stolen, lost or disclosed. For example, a breach may be a result of a deliberate theft of storage devices or infiltration (hacking) of computer systems by an unauthorized individual; alternatively, inadequate or sloppy data security practices may be to blame. Notification about the Data Breach After a data breach occurs, the question that typically arises is whether the affected individuals and/or the relevant government authorities should be notified about the breach. Specifically, what types of breaches should trigger notification obligations and to whom? Moreover, if individuals and/or government authorities should be notified, when should such notification occur and what information about the data breach should be provided? A growing number of countries around the world have enacted or are considering enacting rules on data breach notification and the standards being adopted or considered vary widely. Breach Notification Objectives. Breach notification obligations can serve important individual and public policy objectives. From the individual perspective, the primary purpose of notification is to enable individuals to mitigate the risk of identity theft or fraud when a breach occurs. In contrast, the primary purpose of government reporting is to enable the authorities to exercise their regulatory oversight functions, for example, to identify persistent or systemic security problems and take action as needed to address those problems. In addition, individual and public authority reporting obligations can serve to motivate organizations to implement more effective security measures to protect sensitive information. Setting a National Standard. National uniformity is critical to providing consistent protection to individuals and to preserving a fully functioning and efficient national marketplace. Multiple local or provincial laws that impose a myriad of actual or potentially conflicting notification requirements do not serve the public interest but result in both higher costs and uneven individual protection. Rather, a 1 The Global Privacy Alliance ( GPA ) is comprised of a cross section of global businesses from the financial services, automobile, aerospace, consumer products, computer and computer software, communications, and electronic commerce sectors. The GPA works to encourage responsible, global privacy practices that enhance consumer trust as well as preserve the free flow of information. Members of the GPA take their privacy obligations very seriously. The views expressed herein generally represent the views of the members of the GPA. While all members support the overall approach presented in this paper, some of the individual points raised may not be relevant to all members. Page 65

72 national standard will avoid creating confusing and conflicting obligations and promote the public interest. Lessons can be learned from the U.S. experience where the growing number of state laws has complicated the compliance obligations of organizations that operate in more than one state or more than one industry. For example, although a security breach may involve the same types of information about individuals in different states, the individuals may be entitled to receive different types of notices (or no notice at all), despite the fact that the harm they may suffer as a result of the breach is the same. In addition, the increasing array of obligations imposed on organizations has the potential to make it difficult for them to comply in one jurisdiction without running afoul of the obligations imposed on them in another. Moreover, in light of the blurred boundaries of today s increasingly technological world, security breaches do not recognize provincial, or even national, boundaries. With respect to a security breach, the individual to whom the breached information relates may reside in one province, the criminal who caused the breach may reside in another province, the business victim of the breach may be located in a third province and the information may have been obtained in a fourth province. In this context, the security of information will be promoted most efficiently and effectively by a uniform national standard. In light of the U.S. experience, a growing number of countries, such as France, Germany, Ireland, and the UK in Europe, Australia and New Zealand in the Asia-Pacific region, and Canada in North America, are developing or contemplating developing national standards to ensure that any breach notification regime that they may adopt does not result in a myriad of conflicting provincial laws. The European Union is also discussing the scope of possible Community-wide data breach notification obligations. At present, mandatory breach notification obligations at the national level exist only in Germany, Japan, the UAE, and the U.S. KEY ELEMENTS 1. Notification Trigger. The goal of a notification law should be to define a reasonable and balanced notification trigger that ensures that individuals receive notice when there is a significant risk of substantial harm as a result of a security breach but that does not result in overnotifying and desensitizing individuals to these important notices. Moreover, because notification to individuals and public authorities serves different purposes, there should different notification triggers for both groups. Individuals. The primary purpose of providing notices to individuals is to enable them to take steps to mitigate the risk of harm that might result from a breach. Thus, any individual notification requirement should be risk based. In this regard, notification should focus on two types of risk. First, with respect to sensitive financial information (discussed below), any notification requirement should be limited to situations where there is a significant risk that sensitive financial information compromised in a breach will be used to commit identity theft or to make fraudulent transactions using an individual s account. In addition, with respect to sensitive health information (also discussed below), any notification requirement should be limited to situations where there is significant risk that sensitive health information compromised in a breach will be used to cause the individual significant harm, such as, for example, loss of business or employment opportunities because of an individual s health. Global Privacy Alliance August 2009 dc Page 66

73 Although serious, many, if not most, security breaches do not result in significant harm to the individuals to whom the breached information relates. For example, in many cases, media containing data about individuals is simply lost or misdirected without involving any misuse of the data. In addition, businesses increasingly store and transmit customer data in a variety of unique media forms that require highly specialized and often proprietary technology to read, including sophisticated encryption. Thus, even if customer data finds its way into the wrong hands, the data often are not in a readable or usable form. Any notification requirement should recognize that the risks associated with each breach will differ and, as a result, the appropriate response to each breach also will differ. Moreover, notification in the wake of each incident of data breach, without regard to the high risk of significant harm that might result, promises to have a counterproductive effect of overwhelming individuals with notices that bear no relation to the actual risks and, therefore, might not only needlessly frighten and confuse people, but also likely desensitize them and cause them to ignore the very notices that explain the action they need to take to protect themselves from harm when there is a significant risk. Public Authorities. As stated above, the primary purpose of government reporting is to enable the authorities to identify persistent or systemic problems and take action as needed to address those problems. Given these objectives, it does not makes sense to establish requirements to notify government authorities about a security breach believed to affect only a few individuals (in addition to notifying the individuals themselves). Moreover, frequent reporting about relatively minor security breaches will overwhelm the public agencies responsible for consumer protection and data security regulation, whose resources are most likely already stretched thin. Consequently, only major breaches (e.g., those affecting more than 10,000 individuals) should be reported. A threshold should be selected that is most appropriate for a country s market size. In addition, the public authority may also wish to require reporting whenever there has been a material privacy breach that involves suspected criminal activity outside the organization regardless of the number of individuals affected. Current International Approaches Australia. The Australian Law Reform Commission (the ALRC ), was given the task by the government of conducting a comprehensive review of privacy regulation in Australia, and then issued a 1,983-page discussion paper2 in September 2007 that proposed, among other things, that the Privacy Act be amended to include a breach notification obligation. In particular, the ALRC recommends that notification be triggered when specified personal information has been, or is reasonably believed to have been, acquired by an unauthorised person and the agency, organisation or the Privacy Commissioner believes that the unauthorised acquisition may give rise to a real risk of serious harm to any affected individual. The Office of the Privacy Commissioner (the OPC ) of Australia supports the higher notification threshold recommended by the ALRC because it believes that this approach would not require organizations to notify affected individuals or the Privacy Commissioner of less serious privacy breaches and would reduce the compliance burden on organizations relative to other approaches. The OPC also agrees that the Privacy Commissioner should be able to require notification where he or she believes that the unauthorized acquisition gives rise to a real risk of serious harm to any affected 2 Discussion Paper 72, Review of Australian Privacy Law (DP 72, September 2007) is available at Global Privacy Alliance August 2009 dc Page 67

74 individual, even if the organization disagrees.3 The government, however, has yet to formulate its response to the ALRC recommendations. Voluntary Guidelines. In August 2008, the OPC issued advisory guidance on handling data breaches.4 The guidance recommends notification to affected individuals if the breach creates a real risk of serious harm to the individual. Companies may decide for themselves whether to report the breach to the OPC but are essentially encouraged to report significant personal information security breaches to the Privacy Commissioner. Canada. In the fall of 2007, the government launched a public consultation on breach notification in which it proposed that there be different notification thresholds for individuals and the authorities.5 The government believes that notification to individuals should occur where there is a high risk of significant harm from the loss or theft of personal information. The Privacy Commissioner should be notified in the event of any major loss or theft of personal information within a specified time-frame to allow for oversight of organizational practices and enable the Privacy Commissioner to track the volume and nature of breaches, and the steps taken by organizations.6 The government does not believe, however, that the Privacy Commissioner should have the responsibility to decide when notification should be given. In its view, the organization experiencing the breach is better positioned to understand and assess the risks involved and to make a prompt determination regarding whether and how to proceed with notification of its customers, business partners and/or the general public.7 As of July 2009, no further action on this issue has been taken by the government. Voluntary Guidelines. The Office of the Federal Privacy Commissioner issued voluntary breach notification guidelines in August The OPC guidelines suggest that if a privacy breach creates a risk of harm to an individual, those affected should be notified. Each incident must be considered on a case-by-case basis to determine whether privacy breach notification is required. Organizations are also encouraged to inform the appropriate privacy commissioner(s) of material privacy breaches so they are aware of the breach. The key consideration in deciding whether to notify affected individuals should be whether notification is necessary to avoid or mitigate harm to that individual if his/her personal information has been inappropriately accessed, collected, used or disclosed. Organizations should also take into account the ability of the individual to take specific steps to mitigate any such harm. Other factors are to be evaluated when assessing whether to report a breach to the OPC (see below). 3 The Office of the Privacy Commissioner s Submission to the Australian Law Reform Commission s Review of Privacy Discussion Paper 72, issued in December 2007, is available at 4 See Guide to handling personal information security breaches (August 2008), available at 5 See Implementation Of The Government Response To The Fourth Report Of The Standing Committee On Access To Information, Privacy And Ethics On The Personal Information Protection And Electronic Documents Act, available at 6 The Canadian government has yet to define what should constitute a major breach that would trigger government reporting obligations. 7 See The Government Response to the Fourth Report of the Standing Committee on Access to Information Privacy and Ethics, available at 8 See Key Steps for Organizations in Responding to Privacy Breaches, available at Global Privacy Alliance August 2009 dc Page 68

75 Germany. In July 2009, the Federal Data Protection Act was amended to include data breach notification requirements.9 The provision, which will enter into force in September 2009, will require private-sector businesses and certain federal state agencies (e.g., public electricity providers) to give notice in cases where any of the following sets of data are leaked: sensitive data, criminal records, bank account or credit card data, or personal data subject to legal privilege (e.g., data held by lawyers, doctors, journalists, etc.). The proposed rules only require notification for leakages that may lead to serious impediments for privacy and other individual interests. The types of data, as well as the possible results of the breach (e.g., damages or identity theft), must be taken into account when determining whether such serious impediments exist. Both the data protection authority and all affected individuals must be notified immediately (as soon as reasonably possible) after containment. Ireland. Interim guidelines published by the Irish Data Protection Commissioner in April recommend that organizations notify the Office of the Data Protection Commissioner of all data breaches involving unauthorized or accidental disclosures of customer or employee personal information. The DPA has adopted this voluntary approach while the Minister for Justice, Equality & Law Reform carries out a review of this issue to determine whether breach notification should be made mandatory. Japan. The ministerial guidelines issued immediately after the enactment of the Personal Information Protection Law recommended, and in some cases required, that notification be given to individuals and government authorities every time a breach occurred relating to any personal information. As a result, organizations began to notify the public and the relevant ministry of every security breach, regardless of the size of the breach, the nature of the personal information involved or the risk of misuse of the information. Notices that bore no relation to the actual risks posed by the breach served to frighten and confuse people as well as desensitize them to future notices where they might need to take steps to protect themselves from harm. In response to this experience, Japan s Ministry of Economy, Trade and Industry ( METI ) revised its guidelines and, among other things, established different notification triggers for notifying individuals.11 Organizations now do not have to provide notice about breaches to individuals when their rights and interests have not been or are not likely to be infringed by the data breach. For example, notice does not need to be provided to the individual when: 1) personal data that has been lost is recovered immediately without being seen by a third party; 2) advanced encryption is used to protect the data; and/or 3) the organization responsible for the breach is the only one capable of identifying the specific individual (by collating it with personal data that only the organization retains). The Financial Services Agency ( FSA ), however, still requires under its guidelines that individuals be notified about all breaches, even if the data have been encrypted using advanced techniques. Under both the METI and FSA guidelines, government authorities are to be notified about all data breaches, regardless of the size or severity; although METI permits organizations to report breaches to either the government authorities or the approved personal information protection group12. In addition, a public announcement must be made to prevent any 9 See Section 42a of the Federal Data Protection Act. Available (in German) at 10 See Breach Notification Guidance, available at 11 The METI Guidelines use the term preferable to refer to actions that are not required, but that businesses should make their best effort to observe. In contrast, breach notification is mandatory under the FSA Guidelines. 12 Approved Personal Information Protection Organizations ( APIPO ) are organizations in the Japanese private sector which have received approval from the Competent Minister to resolve disputes regarding the handling of Global Privacy Alliance August 2009 dc Page 69

76 secondary damage that might result from the breach; however, METI does not require a public announcement if all affected persons have been notified individually, the personal data was immediately recovered without being seen by a third party; and advanced encryption was used to protect the data and the business responsible for the breach is the only one capable of identifying the specific individual (by collating it with personal data that only the business retains). New Zealand. In February 2008, the New Zealand Privacy Commissioner issued voluntary breach notification guidelines modeled on the Canadian OPC approach.13 The guidelines recommend that individuals should be notified when there is a foreseeable risk of harm. In addition, organizations are encouraged to report material privacy breaches to the Office of the Privacy Commissioner. UAE. Under the data protection law of the Dubai International Financial Centre (the DIFC ), the data controller or data processor must inform the Commissioner of Data Protection of any unauthorized intrusion as soon as reasonably practicable. There is no obligation to notify affected individuals. United Kingdom. In March 2008, the U.K. Information Commissioner's Office (ICO) released non-binding guidance on how organizations should manage a data security breach and when to notify the ICO of such breaches.14 The Information Commissioner recommends that "serious" breaches should be brought to the attention of the ICO. The hallmarks of a serious breach include the potential for harm to data subjects, the number of individuals affected by the breach, and the sensitivity of the breached data. The ICO said an example of the potential for harm caused by a breach is the loss of financial information. United States. More than 40 states in the U.S. have enacted laws imposing notification obligations on organizations that discover, or are themselves notified about, a breach of security of their information systems. In general, state security breach notification laws are understood to be modeled on the California law, which went into effect on July 1, 2003 (the California Law ).15 Most of these states require organizations to notify individuals of a breach of security in which certain personal information relating to those individuals was or is reasonably believed to have been acquired by an unauthorized person. Several state notification laws, however, also impose notification obligations based upon a determination that the acquisition creates an elevated degree of risk of harm to an individual, such as a risk of identity theft or other fraud that could be committed against the individual. For example, Florida law includes a notification trigger that provides that the acquisition must be unlawful or unauthorized and must materially compromise the security, confidentiality or integrity of the information. 16 North Carolina and personal information by subject businesses pursuant to Art. 37 of the Personal Information Protection Law, as well as provide information to subject businesses. APIPO may be notified in lieu of the government authorities, except when the breach involves sensitive information (credit card numbers, religious, political, race, sex, health information, etc.) or a repeat offender. 13 See Key Steps for Agencies in Responding to Privacy Breaches and Privacy Breach Checklist, available at: 14 See Guidance on data security breach management and Notification of Data Security Breaches to the Information Commissioner s Office, available at: 15Cal. Civ. Code (LEXIS through 2007, ch. 12, June 7, 2007). 16Fla. Stat (1)(a), (4). Global Privacy Alliance August 2009 dc Page 70

77 Ohio laws specifically provide that notification is triggered if the breach creates a material risk of harm to a consumer. 17 With respect to reporting to public authorities, several states, including Hawaii, Louisiana, Maine, Maryland, New Hampshire, New Jersey, New York and North Carolina, as well as Puerto Rico, have prescribed requirements to notify specified state authorities about any breach of security. Under the Louisiana notification law, for example, a regulation adopted by the State Attorney General s office requires an entity to provide a written notice detailing the breach of security, including the names of affected Louisiana citizens, to the Consumer Protection Section of the Attorney General s office within 10 days of distributing notices to Louisiana citizens.18 The New Jersey law requires a company to notify that state s Division of State Policy prior to notifying a customer who resides in New Jersey Definition of Specified Personal Information. Legislation imposing notification obligations should specify the sensitive information that would be subject to these obligations. Specifically, notification should be based on the types of information that could be used to cause the significant harm that the notification requirement is designed to help individuals mitigate. With respect to a risk of identity theft or financial fraud, the notification obligation should be limited to identifiable and unencrypted data that includes an individual s name together with one or more sensitive data elements, such as a national identification number (or other number that can be used to open a financial account) or financial account information together with any password or pin number that can be used to access the underlying account. With respect to a risk of substantial harm from the misuse of health information, the notification obligation should be limited to identifiable and unencrypted data that include an individual s name together with one or more sensitive health data elements, such as a social security number or government identification number or health information, such as, for example, a medical diagnosis ( Specified Personal Information ). In doing so, organizations can both work proactively to strengthen safeguards for this Specified Personal Information and, if various security breach incidents do occur, focus their responses on those incidents that relate to this information. Data that have been de-identified, encrypted or otherwise adequately secured (using other technology), however, should not be covered because an incident affecting such data does not pose a high risk of significant harm to individuals. Moreover, if the breach involves data that are publicly available, such data elements should be excluded from the risk analysis. Current International Approaches Australia. There appears to be a consensus that specified information should not include encrypted data. There is no consensus yet on the specific data elements that should be included. The voluntary guidelines simply advise that some information such as health information, government identifiers, and financial account numbers may be more likely to cause individual harm. In addition, a combination of personal information is considered to create a greater risk of harm than a single piece of information. Furthermore, the sensitivity of the information, the context of involving the affected information, and/or how the information could be useful (e.g., 17N.C. Gen. Stat (a); Ohio Rev. Code Ann (B)(1) La. Reg N.J. Stat. 56:8-163c(1). Global Privacy Alliance August 2009 dc Page 71

78 for fraudulent or harmful purposes) should also be considered when deciding whether or not notification may be required. Canada. The government has not yet put forward its views on the specific data elements that should be included; however, in the OPC guidelines, the Privacy Commissioner advised organizations to look at what data elements have been breached, the sensitivity of the information, the context of the personal information involved, whether the data are adequately encrypted, anonymized or not otherwise easily accessible, and how the information can be used. The guidelines noted that a combination of personal information is typically more sensitive than a single piece of personal information and that combinations of certain types of Specified Personal Information along with name, address and date of birth suggest a higher risk due to the potential for identity theft. Germany. Notification must be given when the breach involves sensitive data (e.g., data concerning health or sex life, racial or ethnic origin, political opinions, religious beliefs), criminal records, bank account or credit card data, or personal data that is subject to legal privilege (e.g., data held by lawyers, doctors, journalists, etc.). Ireland. Under the voluntary guidelines, the Office of the Data Protection Commissioner should be notified about breaches involving any personal information. Japan. Loss of any personal data can potentially trigger notification obligations; however, the METI guidelines do provide exceptions for encrypted data while the FSA guidelines do not. New Zealand. The voluntary guidelines recommend that organizations consider the sensitivity and context of the information involved in the breach and/or how the information could be used (e.g., for fraudulent or harmful purposes). In addition, a combination of personal information is considered to create a greater risk of harm than a single piece of information. UAE. The DIFC law does not distinguish among the data elements. Any breach of personal information requires notification to the authorities. United Kingdom. While the ICO guidance does not specify the data elements that would trigger notification, it notes that there is likely to be a significant risk of substantial harm when sensitive personal data are involved. United States. The California Law defines personal information as an individual s first name or initial and last name in combination with one or more data elements, if either the name or the data elements are not encrypted. These data elements are: Social security number (SSN); Driver s license or state identification card number; or Account, credit card or debit card number in combination with any required security code or password that would permit access to an individual s financial account. Many state notification laws define personal information in similar terms; however, several laws provide that only the data elements that need to be encrypted, redacted or secured by another method rendering the element unreadable or unusable be considered personal information. Global Privacy Alliance August 2009 dc Page 72

79 Several state notification laws have expanded the scope of personal information to include different types of data elements such as medical information, biometric data and fingerprints. In addition, many of these state laws follow the California Law by providing an exception for certain types of information available to the general public. A few state laws also apply to a breach of security affecting paper records containing personal information, as opposed to electronic records. 3. Risk Determination. A determination of whether a particular incident affecting identifiable, unencrypted Specified Personal Information poses a risk of significant harm to the individual should be based on an assessment of the circumstances surrounding the incident. In particular, the following factors should be considered when assessing the potential risk to the individual or organization: The Causes of the Breach. If there has been an incident affecting identifiable or unencrypted Specified Personal Information, then the next step will be to assess the nature and extent of the incident, including the number and nature of unauthorized recipients, whether the Specified Personal Information was lost or stolen and, if stolen, whether the Specified Personal Information was specifically targeted for theft. In addition, consideration should be given to the steps taken by the organization to minimize the harm and whether the incident appears to be isolated or part of a pattern of systematic efforts to obtain information. Potential for High Risk of Significant Harm. Organizations would also need to determine the type of harm to individuals that could result from the breach (e.g., security risk/risk to physical safety, identity theft, financial loss, loss of business or employment opportunities), how a potentially affected individual is likely to perceive the potential risk and whether an individual can take any steps to reduce this risk. Based on an assessment of these factors, organizations should determine whether or not a given incident poses a risk of significant harm to individuals, thereby triggering notification obligations. If an organization determines that there is a risk of significant harm, it will then need to determine when and how to notify affected individuals, as well as potentially providing notice to the public authorities about a major breach. Current International Approaches Australia/Canada/New Zealand/United Kingdom. The Privacy Commissioners guidelines are in line with the above approach. Ireland/Japan/UAE. The issue of risk assessment is not addressed. Germany. The types of data, as well as the possible results of the breach (e.g., damages or identity theft), must be taken into account when determining whether such serious impediments exist. United States. The California Law provides that covered entities must disclose a breach of the security of the system (defined as an unauthorized acquisition of computerized data that compromises the security, confidentiality or integrity of personal information maintained by the Global Privacy Alliance August 2009 dc Page 73

80 person or business) when unencrypted personal information is reasonably believed to have been acquired by an unauthorized person.20 Under the California Law, a company should evaluate whether the breach has compromised, or is reasonably likely to compromise, the security, confidentiality or integrity of the information and, if so, notify potentially affected individuals accordingly. Many other state laws prescribe a standard for notifying individuals that is substantially similar to the standard under the California Law. Several other states provide that a covered entity shall, when it becomes aware of a breach of the security of the system, conduct a prompt investigation in good faith to determine the likelihood that personal information has been or will be misused. Notice must be made unless the investigation determines that the misuse of information has not occurred and is not reasonably likely to occur. For example, the Maryland and Maine laws impose notification duties based on this standard Timing and Method of Notification. Individuals. While notification of individuals affected by the breach should occur as soon as reasonably possible following assessment and evaluation of the scope and nature of the breach, remedying any ongoing breach and identifying the potentially affected individuals, the law should permit notification to be delayed at the request of a law enforcement agency in order to carry out its own investigation. For example, before notification is provided and before a breach is publicized in the media, law enforcement will have a better opportunity to catch the culprits involved (thereby, preventing future breaches from occurring or mitigating the harm felt by individuals). The law should be flexible with respect to the method of notification. The most important feature should be to get notice to affected individuals. The method used should depend on the particular circumstances surrounding the organization s relationship, if any, to the potentially affected individuals, the manner in which the organization typically communicates with them and the type and scope of the breach. For example, some organizations, such as banks, regularly mail monthly statements to account holders. Consequently, postal mail notification may be the most logical choice for these organizations. Alternatively, other organizations may rely more on their websites as their means to communicate with their customers and potential customers and, therefore, should be permitted to use electronic methods to notify individuals. In addition, website notification or other methods of mass communication may be more appropriate when a breach involves large numbers of individuals (e.g., 1, ,000 individuals). Consequently, organizations should be permitted to select the most appropriate method of communication, taking into account the way in which the organization typically communicates with individuals and the circumstances surrounding a given breach. Acceptable methods of communication should, therefore, include direct notice by postal mail, , telephone, or facetoface communications, or through generally accessible notification methods (e.g., website information, posted notices or mass media). Mass communications may be appropriate if direct notification is likely to cause further harm, is prohibitive in cost or the contact information for potentially affected individuals is not known. Moreover, using multiple methods of notification 20Cal. Civ. Code (a) and (d). 21Colo. Rev. Stat (2)(a); Del. Code Ann. tit. 6, 102(a); Idaho Code Ann (1); Kan. Stat. Ann. 50-7a02(a); Neb. Rev. Stat. Ann (1); N.H. Rev. Stat. Ann. 359-C:20(I)(a); SB 194 (Md. 2007), to be codified at Md. Code Ann., Com. Law (B); Me. Rev. Stat. Ann. tit. 10, 1348(1)(A). Global Privacy Alliance August 2009 dc Page 74

81 in the same security incident depending on the relationship with the individual in certain cases may also be appropriate. Public Authorities. As discussed earlier, only major breaches should be reported to the authorities. Frequent government reporting about relatively minor security breaches will overwhelm the agencies responsible for consumer protection and data security regulation. The method of notification should reflect the specific needs of the public authority, but should not be so burdensome as to cause delay in notifying individuals. Current International Approaches Australia. Notification of individuals affected by the breach should occur as soon as reasonably possible following assessment and evaluation of the breach. If law enforcement authorities are involved, organizations should check with those authorities whether notification should be delayed to ensure the investigation is not compromised. Direct notification (e.g., telephone, letter, or in-person) is preferred; indirect notification (e.g., website information, posted notices, media) should generally only occur when direct notification would cause further harm. Organizations are encouraged to report significant personal information security breaches to the Privacy Commissioner. Canada. The Privacy Commissioner s guidelines recommend that notification of affected individuals occur as soon as reasonably possible following assessment and evaluation of the breach, unless a delay is warranted to ensure that the investigation is not compromised. The preferred method of notification is direct by phone, letter, or in person to affected individuals. The Privacy Commissioner believes that indirect notification website information, posted notices or mass media should generally only occur where direct notification could cause further harm, is prohibitive in cost, or the contact information for affected individuals is not known. Using multiple methods of notification in certain cases may be appropriate. Organizations should also consider whether the method or level of detail of notification might increase the risk of harm (e.g., by alerting the person who stole the laptop of the value of the information on the computer). In addition, the organization that has a direct relationship with the customer, client or employee typically should be the one to notify the affected individuals, including when the breach occurs at a third party service provider that has been contracted to maintain or process the personal information. However, there may be circumstances where notification by a third party is more appropriate. Germany. Individuals and government authorities must be notified immediately (as soon as reasonably possible) after containment. In cases where a large public is affected, public announcements in at least two national newspapers may replace individual notices. These announcements must be at least half a page long. The notice should include information on the data leakage, possible results of the leakage as well as measures being taken to mitigate damages. Ireland. The guidelines recommend that organizations notify the Office of the Data Protection Commissioner as soon as they become aware of unauthorized or accidental disclosures of customer or employee personal information. The Office of the Data Protection Commissioner will then discuss with the organization whether notice to the affected persons should be given (if the organization has not already done so) and how such notice should be provided. Global Privacy Alliance August 2009 dc Page 75

82 Japan. The FSA requires that notice regarding the relevant facts of the breach be given to individuals promptly. In addition, notice to the competent minister(s) must be given immediately and a public announcement must be made promptly regarding the relevant facts of the breach and measures taken to prevent further breach to prevent further incidents. In contrast, the METI guidelines do not specify a specific timeframe for notification except in cases of breaches involving sensitive data. When sensitive data is involved, reports must be made immediately when: 1) the breach involves sensitive information, credit information and credit card number and there is a likelihood that secondary damage will happen; 2) when there are repeated breaches of the same company; or 3) when the APIPO decides that such reporting is necessary. New Zealand. Notification of individuals affected by the breach should occur as soon as reasonably possible following assessment and evaluation of the breach. If law enforcement authorities are involved, organizations should check with those authorities whether notification should be delayed to ensure the investigation is not compromised. Direct notification is preferred; indirect notification should generally only occur when direct notification would cause further harm. UAE. The data controller or data processor must inform the Commissioner of Data Protection of any unauthorized intrusion as soon as reasonably practicable. There is no obligation to notify affected individuals. United Kingdom. The ICO guidance does not specify a timeframe for notifying affected individuals and/or government authorities or the method of notification. United States. Under the California Law, a company must disclose a breach to potentially affected individuals in the most expedient time possible and without unreasonable delay, consistent with the legitimate needs of law enforcement or any measures necessary to determine the scope of the breach and restore the reasonable integrity of the data system. Notification may be delayed if a law enforcement agency determines that the notification will impede a criminal investigation. Many states have adopted substantially similar language. In addition, several state laws also provide a delay if notification may jeopardize national security. With respect to the method of notification, notice to individuals may be provided under the California Law by written notice, electronic notice or substitute notice. 22 Most state security breach notification laws contain similar provisions regarding the methods of notifying individuals about a breach, although some states specify, for example, that electronic notice may be used only if the person s primary means of communication with the individual is by electronic means, while others also allow telephonic notice. Under the California Law, substitute notice may be used if the person or business demonstrates that the cost of providing notice would exceed $250,000 or that the affected class of subject persons to be notified exceeds 500,000 or the person or business does not have sufficient contact information. The majority of states have adopted this language but in some cases have 22 Substitute notice involves the following three actions: (1) notice when the company has addresses for the subject persons; (2) conspicuous posting of the notice on the company s web page, if it maintains one; and (3) notification in a major statewide medium. Global Privacy Alliance August 2009 dc Page 76

83 established different thresholds for the costs of notification or the population of individuals who are potentially affected by the breach. Lastly, with respect to government reporting, several states, including Hawaii, Louisiana, Maine, Maryland, New Hampshire, New Jersey, New York and North Carolina, as well as Puerto Rico, have prescribed requirements to notify specified state authorities about breaches of security. Under the Louisiana notification law, for example, a regulation adopted by that state s Attorney General s office requires an entity to provide a written notice detailing the breach of security, including the names of affected Louisiana citizens, to the Consumer Protection Section of the Attorney General s office within 10 days of distributing notices to Louisiana citizens.23 The New Jersey law requires a company to notify that state s Division of State Policy prior to notifying a customer who resides in New Jersey.24 * * * * * If you have any questions, please contact Miriam Wugmeister at or at mwugmeister@mofo.com La. Reg N.J. Stat. 56:8-163c(1). Page 77

84 ANNEXE 2 : EXEMPLE DE DECLARATION DE NOTIFICATION (Office of the Privacy Commissionner for Personnel Date, Hong Kong Juin 2010 Guidance on Data breach handing and the giving of breach notification and Data protection breach notification form and) Page 78

85 Page 79

86 Page 80

87 Page 81

88 Page 82

89 Page 83

90 Page 84

91 ANNEXE 3 : DISPOSITIONS RELATIVES AU CORRESPONDANT INFORMATIQUE ET LIBERTES (articles 42 à 56 du Décret n du 20 octobre 2005 pris pour l application de la loi n du 6 Janvier1978 relative à l informatique, aux fichiers et aux libertés) TITRE III DES CORRESPONDANTS A LA PROTECTION DES DONNEES Chapitre 1er : Du correspondant à la protection des données à caractère personnel Article 42 La désignation d un correspondant à la protection des données à caractère personnel par le responsable de traitements relevant des formalités prévues aux articles 22 à 24 de la loi du 6 janvier 1978 susvisée est notifiée à la Commission nationale de l informatique et des libertés par lettre remise contre signature ou par remise au secrétariat de la commission contre reçu, ou par voie électronique avec accusé de réception qui peut être adressé par la même voie. Article 43 La notification prévue à l article 42 du présent décret mentionne : 1 Les nom, prénom, profession et coordonnées prof essionnelles du responsable des traitements, le cas échéant, ceux de son représentant, ainsi que ceux du correspondant à la protection des données à caractère personnel. Pour les personnes morales, la notification mentionne leur forme, leur dénomination, leur siège social ainsi que l organe qui les représente légalement ; 2 Lorsque le correspondant à la protection des do nnées à caractère personnel est une personne morale, les mêmes renseignements concernant le préposé que la personne morale a désigné pour exercer les missions de correspondant ; 3 Si la désignation est faite seulement pour cert ains traitements ou catégories de traitements, l énumération de ceux-ci; 4 La nature des liens juridiques entre le corresp ondant et la personne, l autorité publique, le service ou l organisme auprès duquel il est appelé à exercer ses fonctions ; 5 Tout élément relatif aux qualifications ou réfé rences professionnelles du correspondant et, le cas échéant, de son préposé en rapport avec cette fonction ; 6 Les mesures prises par le responsable des trait ements en vue de l accomplissement par le correspondant de ses missions en matière de protection des données. L accord écrit de la personne désignée en qualité de correspondant est annexé à la notification. La désignation d un correspondant à la protection des données à caractère personnel prend effet un mois après la date de réception de la notification par la Commission nationale de l informatique et des libertés. Toute modification substantielle affectant les informations mentionnées aux 1 à 6 est portée à la c onnaissance de la Commission nationale de l informatique et des libertés, dans les formes définies à l article 42. Article 44 Lorsque plus de cinquante personnes sont chargées de la mise en oeuvre ou ont directement accès aux traitements ou catégories de traitements automatisés pour lesquels le responsable entend désigner un correspondant à la protection des données à caractère personnel, seul peut être désigné un correspondant exclusivement attaché au service de la personne, de l autorité publique ou de l organisme, ou appartenant au service, qui met en oeuvre ces traitements. Par dérogation au premier alinéa : a) Lorsque le responsable des traitements est une société qui contrôle ou qui est contrôlée au sens de l article L du code de commerce, le correspondant peut être désigné parmi les personnes au service de la société qui contrôle, ou de l une des sociétés contrôlées par cette dernière ; b) Lorsque le responsable des traitements est membre d un groupement d intérêt économique au sens du titre V du livre deuxième du code de commerce, le correspondant peut être désigné parmi les personnes au service dudit groupement ; c) Lorsque le responsable des traitements fait partie d un organisme professionnel ou d un organisme regroupant des responsables de traitements d un même secteur d activités, il peut désigner un correspondant mandaté à cette fin par cet organisme. Article 45 La désignation d un correspondant à la protection des données à caractère personnel est, préalablement à sa notification à la Commission nationale de l informatique et des libertés, portée à la connaissance de l instance représentative du personnel compétente par le responsable des traitements, par lettre remise contre signature. Article 46 Le correspondant à la protection des données à caractère personnel exerce sa mission directement auprès du responsable des traitements. Le correspondant ne reçoit aucune instruction pour l exercice de sa mission. Le responsable des traitements ou son représentant légal ne peut être désigné comme correspondant. Les fonctions ou activités exercées concurremment par le correspondant ne doivent pas être susceptibles de provoquer un conflit d intérêts avec l exercice de sa mission. Article 47 Le responsable des traitements fournit au correspondant tous les éléments lui permettant d établir et d actualiser régulièrement une liste des traitements automatisés mis en oeuvre au sein de l établissement, du service ou de l organisme au sein duquel il a été désigné et qui, à défaut de désignation d un correspondant, relèveraient des formalités de déclaration prévues par les articles 22 à 24 de la loi du 6 janvier 1978 susvisée. Article 48 Dans les trois mois de sa désignation, le correspondant à la protection des données à caractère personnel dresse la liste mentionnée à l article 47. La liste précise, pour chacun des traitements automatisés : 1 Les nom et adresse du responsable du traitement et, le cas échéant, de son représentant ; 2 La ou les finalités de traitement ; 3 Le ou les services chargés de le mettre en oeuvr e ; 4 La fonction de la personne ou le service auprès duquel s exerce le droit d accès et de rectification ainsi que leurs coordonnées ; 5 Une description des catégories de données traité es, ainsi que les catégories de personnes concernées par le traitement ; 6 Les destinataires ou catégories de destinataires habilités à recevoir communication des données ; 7 La durée de conservation des données traitées. La liste est actualisée en cas de modification substantielle des traitements en cause. Elle comporte la date et l objet de ces mises à jour au cours des trois dernières années. Le correspondant tient la liste à la disposition de toute personne qui en fait la demande. Une copie de la liste est délivrée à l intéressé à sa demande. Le responsable des traitements peut subordonner la délivrance de cette copie au paiement d une somme qui ne peut excéder le coût de la reproduction. Lorsque la liste ne recense pas la totalité des traitements mis en oeuvre par le responsable, elle mentionne que d autres traitements relevant du même responsable figurent sur la liste nationale mise à la disposition du public en application de l article 31 de la loi du 6 janvier 1978 susvisée. Article 49 Le correspondant veille au respect des obligations prévues par la loi du 6 janvier 1978 susvisée pour les traitements au titre desquels il a été désigné. A cette fin, il peut faire toute recommandation au responsable des traitements. Il est consulté, préalablement à leur mise en oeuvre, sur l ensemble des nouveaux traitements appelés à figurer sur la liste prévue par l article 47. Il reçoit les demandes et les réclamations des personnes intéressées relatives aux traitements figurant sur la liste prévue par l article 47. Lorsqu elles ne relèvent pas de sa responsabilité, il les transmet au responsable des traitements et en avise les intéressés. Page 85

92 Il informe le responsable des traitements des manquements constatés avant toute saisine de la Commission nationale de l informatique et des libertés. Il établit un bilan annuel de ses activités qu il présente au responsable des traitements et qu il tient à la disposition de la commission. Article 50 Le responsable des traitements peut, avec l accord du correspondant à la protection des données à caractère personnel, lui confier les missions mentionnées à l article 49 pour la totalité des traitements qui dépendent du responsable. Dans ce cas, la notification prévue à l article 43 en fait mention. Article 51 La Commission nationale de l informatique et des libertés peut être saisie à tout moment par le correspondant à la protection des données à caractère personnel ou le responsable des traitements de toute difficulté rencontrée à l occasion de l exercice des missions du correspondant. L auteur de la saisine doit justifier qu il en a préalablement informé, selon le cas, le correspondant ou le responsable des traitements. La Commission nationale de l informatique et des libertés peut à tout moment solliciter les observations du correspondant à la protection des données ou celles du responsable des traitements. Article 52 Lorsque la Commission nationale de l informatique et des libertés constate, après avoir recueilli ses observations, que le correspondant manque aux devoirs de sa mission, elle demande au responsable des traitements de le décharger de ses fonctions en application du III de l article 22 de la loi du 6 janvier 1978 susvisée. Article 53 Hors le cas prévu à l article 52, lorsqu il envisage de mettre fin aux fonctions du correspondant pour un motif tenant à un manquement aux devoirs de sa mission, le responsable des traitements saisit la Commission nationale de l informatique et des libertés pour avis par lettre remise contre signature, comportant toutes précisions relatives aux faits dont il est fait grief. Le responsable des traitements notifie cette saisine au correspondant dans les mêmes formes en l informant qu il peut adresser ses observations à la Commission nationale de l informatique et des libertés. La Commission nationale de l informatique et des libertés fait connaître son avis au responsable des traitements dans un délai d un mois à compter de la réception de sa saisine. Ce délai peut être renouvelé une fois sur décision motivée de son président. Aucune décision mettant fin aux fonctions du correspondant ne peut intervenir avant l expiration du délai prévu à l alinéa précédent. Article 54 Lorsque le correspondant est démissionnaire ou déchargé de ses fonctions, le responsable des traitements en informe la Commission nationale de l informatique et des libertés dans les formes prévues à l article 42. La notification de cette décision mentionne en outre le motif de la démission ou de la décharge. Il y est annexé, en lieu et place de l accord prévu au huitième alinéa de l article 43, le justificatif de la notification de la décision au correspondant. Cette décision prend effet huit jours après sa date de réception par la Commission nationale de l informatique et des libertés. Hormis le cas du remplacement du correspondant, le responsable des traitements est alors tenu de procéder, dans le délai d un mois, aux formalités prévues aux articles 23 et 24 de la loi du 6 janvier 1978 susvisée pour l ensemble des traitements qui s en étaient trouvés dispensés du fait de la désignation à laquelle il est mis fin. Article 55 Lorsque le responsable des traitements ne respecte pas ses obligations légales relatives au correspondant, la Commission nationale de l informatique et des libertés l enjoint par lettre remise contre signature de procéder aux formalités prévues aux articles 23 et 24 de la loi du 6 janvier 1978 susvisée. Cette lettre mentionne les traitements concernés par l injonction ainsi que le délai dans lequel le responsable des traitements doit s y conformer. Chapitre II : Du correspondant à la protection à la protection des données appartenant à un organisme de presse écrite ou audiovisuelle Article 56 Le correspondant prévu au quatrième alinéa de l article 67 de la loi du 6 janvier 1978 susvisée est désigné par le responsable de traitements de données à caractère personnel aux fins de journalisme mis en oeuvre par un organisme de la presse écrite ou audiovisuelle. Ce correspondant est désigné parmi les personnes attachées au service de cet organisme. Le correspondant est soumis aux dispositions du présent titre, à l exception des règles relatives à la désignation et aux missions du correspondant prévues par le 2 de l article 43, l article 45, les 4 et 7 et les dixième, onzième et douzième alinéas de l article 48, ainsi que le cinquième alinéa de l article 49 du présent décret. Page 86

93 ANNEXE 4 : GUIDE PRATIQUE «SECURITE DES DONNEES A CARACTERE PERSONNEL (CNIL Document de travail - Edition 2009). Extraits : pages 2 / 3 Les mesures ont été répertoriées en suivant la nomenclature suivante : - si une mesure de sécurité peut être identifiée à une mesure définie dans la norme ISO :2005, elle est alors indiquée dans le guide sous la forme [ISO-X], où X désigne le chapitre référençant la mesure de sécurité de cette norme. - Lorsqu il s agit d une exigence qui découle directement de la loi Informatique et Libertés, celle-ci est référencée sous la forme [IL- Artx.y). L indication Artx. Renvoie à l article de la loi, [IL-Chxy) où Chxy renvoie au chapitre xy de la loi, ou encore [IL-xxx-y] si l objectif ne renvoie pas à un article de la loi singulier mais à une thématique. - Enfin, il est à souligner que les préconisations relatives à la mise en œuvre d une mesure soit présentée dans les encadrées de couleur grise. Afin d en faciliter la lecture, différents icônes ont été définies : Aides à la lecture L Mesure découlant de la loi *** Mesure primordiale et donc à considérer en priorité ** Mesure fortement recommandée. page Gestion des incidents [ISO ] Il convient que le responsable de traitement soit informé dans les meilleurs délais, des événements liés à la sécurité de données à caractère personnel. [IL-Noti-1] Il conviendrait que le responsable de traitement notifie aux personnes concernées l'accès frauduleux à leurs données. Préconisations de mise en œuvre : La mesure sus mentionnée implique notamment : que le responsable de traitement soit informé dans les meilleurs délais, des événements liés à la sécurité de données à caractère personnel ; de se tenir informé des vulnérabilités techniques des systèmes et d'entreprendre les actions appropriées pour traiter le risqué associé. Page 87

94 ANNEXE 5 : TYPOLOGIES D INCIDENTS DE SECURITE RENCONTRES (exemple entreprises plus de 200 salariés) A signaler que les typologies incidents constatées dans les hôpitaux publics sont quasiment identiques à ceux des entreprises, sauf concernant les vols de matériel où un écart de 7 points est relevé (44 % en hôpitaux,, 37 % en entreprise) Source : enquête CLUSIF sur les menaces informatiques et les pratiques de sécurité en France (Edition 2010, page 41 - Extrait) Page 88

95 ANNEXE 6 : TYPES DE DONNEES TRAITEES PAR LES ENTREPRISES ET MESURES DE SECURITES MISES EN ŒUVRE (Enquête CLUSIF sur les menaces informatiques et les pratiques de sécurité en France Edition 2010 Page 46 extrait) Page 89

96 ANNEXE 7 : CONSEILS POUR ASSURER LA SECURITE DES DONNEES 10 conseils pour la sécurité de votre système d information (12 octobre 2009 cnil.fr) La loi "informatique et libertés" impose que les organismes mettant en oeuvre des fichiers garantissent la sécurité des données qui y sont traitées. Cette exigence se traduit par un ensemble de mesures que les détenteurs de fichiers doivent mettre en oeuvre, essentiellement par l intermédiaire de leur direction des systèmes d information (DSI) ou de leur responsable informatique. 1. Adopter une politique de mot de passe rigoureuse L accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Le mot de passe doit être individuel, difficile à deviner et rester secret. Il ne doit donc être écrit sur aucun support. La DSI ou le responsable informatique devra mettre en place une politique de gestion des mots de passe rigoureuse : un mot de passe doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment (par exemple tous les 3 mois). Le système doit contraindre l utilisateur à choisir un mot de passe différent des trois qu il a utilisés précédemment. Généralement attribué par l administrateur du système, le mot de passe doit être modifié obligatoirement par l utilisateur dès la première connexion. Enfin, les administrateurs des systèmes et du réseau doivent veiller à modifier les mots de passe qu ils utilisent eux mêmes. 2. Concevoir une procédure de création et de suppression des comptes utilisateurs L accès aux postes de travail et aux applications doit s effectuer à l aide de comptes utilisateurs nominatifs, et non «génériques» (compta1, compta2 ), afin de pouvoir éventuellement être capables de tracer les actions faites sur un fichier et, ainsi, de responsabiliser l ensemble des intervenants. En effet, les comptes «génériques» ne permettent pas d identifier précisément une personne. Cette règle doit également s appliquer aux comptes des administrateurs systèmes et réseaux et des autres agents chargés de l exploitation du système d information. 3. Sécuriser les postes de travail Les postes des agents doivent être paramétrés afin qu ils se verrouillent automatiquement au-delà d une période d inactivité (10 minutes maximum) ; les utilisateurs doivent également être incités à verrouiller systématiquement leur poste dès qu ils s absentent de leur bureau. Ces dispositions sont de nature à restreindre les risques d une utilisation frauduleuse d une application en cas d absence momentanée de l agent du poste concerné. Par ailleurs, le contrôle de l usage des ports USB sur les postes «sensibles», interdisant par exemple la copie de l ensemble des données contenues dans un fichier, est fortement recommandé. 4. Identifier précisément qui peut avoir accès aux fichiers L accès aux données personnelles traitées dans un fichier doit être limité aux seules personnes qui peuvent légitimement y avoir accès pour l exécution des missions qui leur sont confiées. De cette analyse, dépend «le profil d habilitation» de l agent ou du salarié concerné. Pour chaque mouvement ou nouvelle affectation d un salarié à un poste, le supérieur hiérarchique concerné doit identifier le ou les fichiers auxquels celui-ci a besoin d accéder et faire procéder à la mise à jour de ses droits d accès. Une vérification périodique des profils des applications et des droits d accès aux répertoires sur les serveurs est donc nécessaire afin de s assurer de l adéquation des droits offerts et de la réalité des fonctions occupées par chacun. 5. Veiller à la confidentialité des données vis-à-vis des prestataires Les interventions des divers sous-traitants du système d information d un responsable de traitement doivent présenter les garanties suffisantes en terme de sécurité et de confidentialité à l égard des données auxquels ceux-ci peuvent, le cas échéant, avoir accès. La loi impose ainsi qu une clause de confidentialité soit prévue dans les contrats de sous-traitance. Les éventuelles interventions d un prestataire sur des bases de données doivent se dérouler en présence d un salarié du service informatique et être consignées dans un registre. Les données qui peuvent être considérées «sensibles» au regard de la loi, par exemple des données de santé ou des données relatives à des moyens de paiement, doivent au surplus faire l objet d un chiffrement. «A noter : l administrateur systèmes et réseau n est pas forcément habilité à accéder à l ensemble des données de l organisme. Pourtant, il a besoin d accéder aux plates-formes ou aux bases de données pour les administrer et les maintenir. En chiffrant les données avec une clé dont il n a pas connaissance, et qui est détenue par une personne qui n a pas accès à ces données (le responsable de la sécurité par exemple), l administrateur peut mener à bien ses missions et la confidentialité est respectée 6. Sécuriser le réseau local Un système d information doit être sécurisé vis-à-vis des attaques extérieures. Un premier niveau de protection doit être assuré par des dispositifs de sécurité logique spécifiques tels que des routeurs filtrants (ACL), pare-feu, sonde anti intrusions, etc. Une protection fiable contre les virus et logiciels espions suppose une veille constante pour mettre à jour ces outils, tant sur le serveur que sur les postes des agents. La messagerie électronique doit évidemment faire l objet d une vigilance particulière. Les connexions entre les sites parfois distants d une entreprise ou d une collectivité locale doivent s effectuer de manière sécurisée, par l intermédiaire des liaisons privées ou des canaux sécurisés par technique de «tunneling» ou VPN (réseau privé virtuel). Il est également indispensable de sécuriser les réseaux sans fil compte tenu de la possibilité d intercepter à distance les informations qui y circulent : utilisation de clés de chiffrement, contrôle des adresses physiques des postes clients autorisés, etc. Enfin, les accès distants au système d information par les postes nomades doivent faire préalablement l objet d une authentification de l utilisateur et du poste. Les accès par internet aux outils d administration électronique nécessitent également des mesures de sécurité fortes, notamment par l utilisation de protocoles IPsec, SSL/TLS ou encore HTTPS. Page 90

97 «A noter» : un référentiel général de sécurité, relatif aux échanges électroniques entre les usagers et les autorités administratives (ordonnance ), doit voir le jour prochainement (voir projet sur le site Il imposera à chacun des acteurs des mesures de sécurités spécifiques. 7. Sécurité l accès physique aux locaux L accès aux locaux sensibles, tels que les salles hébergeant les serveurs informatiques et les éléments du réseau, doit être limité aux personnels habilités. Ces locaux doivent faire l objet d une sécurisation particulière : vérification des habilitations, gardiennage, portes fermées à clé, digicode, contrôle d accès par badge nominatifs, etc. La DSI ou le responsable informatique doit veiller à ce que les documentations techniques, plans d adressages réseau, contrats, etc.soient eux aussi protégés. 8. Anticiper le risque de perte ou de divulgation des données La perte ou la divulgation de données peut avoir plusieurs origines : erreur ou malveillance d un salarié ou d un agent, vol d un ordinateur portable, panne matérielle, ou encore conséquence d un dégât des eaux ou d un incendie. Il faut veiller à stocker les données sur des espaces serveurs prévus à cet effet et faisant l objet de sauvegardes régulières. Les supports de sauvegarde doivent être stockés dans un local distinct de celui qui héberge les serveurs, idéalement dans un coffre ignifugé. Les serveurs hébergeant des don néessensibles ou capitales pour l activité l organisme concerné doivent être sauvegardés et pourront être dotés d un dispositif de tolérance de panne. Il est recommandé d écrire une procédure «urgence secours» qui décrira comment remonter rapidement ces serveurs en cas de panne ou de sinistre majeur. Les supports nomades (ordinateurs portables, clé USB, assistants personnels etc.) doivent faire l objet d une sécurisation particulière, par chiffrement, au regard de la sensibilité des dossiers ou documents qu ils peuvent stocker. Les matériels informatiques en fin de vie, tels que les ordinateurs ou les copieurs, doivent être physiquement détruits avant d être jetés, ou expurgés de leurs disques durs avant d être donnés à des associations. Les disques durs et les périphériques de stockage amovibles en réparation, réaffectés ou recyclés, doivent faire l objet au préalable d un formatage de bas niveau destiné à effacer les données qui peuvent y être stockées. 9. Anticiper et formaliser une politique de sécurité du système d information L ensemble des règles relatives à la sécurité informatique doit être formalisé dans un document accessible à l ensemble des agents ou des salariés. Sa rédaction requiert l inventaire préalable des éventuelles menaces et vulnérabilités qui pèsent sur un système d information. Il convient de faire évoluer régulièrement ce document, au regard des modifications des systèmes et outils informatiques utilisés par l organisme concerné. Enfin, le paramètre «sécurité» doit être pris en compte en amont de tout projet lié au système d information. 10. Sensibiliser les utilisateurs aux «risques informatiques» et à la loi «Informatique et Libertés» Le principal risque en matière de sécurité informatique est l erreur humaine. Les utilisateurs du système d information doivent donc être particulièrement sensibilisés aux risques informatiques liés à l utilisation de bases de données. Cette sensibilisation peut prendre la forme de formations, de diffusion de notes de service, ou de l envoi périodique de fiches pratiques. Elle sera également formalisée dans un document, de type «charte informatique», qui pourra préciser les règles à respecter en matière de sécurité informatique, mais aussi celles relatives au bon usage de la téléphonie, de la messagerie électronique ou encore d internet. Ce document devrait également rappeler les conditions dans lesquelles un salarié ou un agent peut créer un fichier contenant des données personnelles, par exemple après avoir obtenu l accord de son responsable, du service juridique ou du CIL de l entreprise ou de l organisme dans lequel il travaille. Ce document doit s accompagner d un engagement de responsabilité à signer par chaque utilisateur. A noter : veiller à ce que les utilisateurs nettoient régulièrement leurs vieux documents et messages électroniques sur leurs postes. De même, nettoyer régulièrement le répertoire d échange partagé entre les différents services afin qu il ne se transforme pas en espace «fourre-tout» (fichiers personnels des agents mélangés avec des dossiers sensibles) Sécurité : 60 erreurs à ne pas commettre Poste de travail 1. Conserver les identifiants par défaut. Les mots de passent doivent présenter les caractéristiques suivantes :au minimum 8 caractères, d'au moins 4 catégories différentes (majuscule/minuscule, chiffres, lettres, caractères spéciaux) et être changés régulièrement. Les utilisateurs sont tout à fait aptes à définir et mémoriser des mots de passe dès lors qu'ils ont été formés sur les bonnes pratiques. Des moyens mnémotechniques efficaces existent, comme de "dessiner" son mot de passe : alpha devient / L P - / par exemple. 2. Paramétrer l'ensemble des postes en administrateur et donner un accès Internet à l'ensemble des salariés. Ces derniers doivent également être responsabilisés sur l'utilisation des outils informatiques, et informés des obligations qui leur incombent. 3. Oublier de mettre à jour les outils, même si cela nécessite du temps ou que les applications en leur état donnent déjà satisfaction aux utilisateurs. Ce n'est pas parce que les choses fonctionnent qu'elles sont protégées. 4. Autoriser le boot d'un ordinateur à partir d'un CDrom ou d'une clef USB. Le risque est de permettre à un utilisateur ou un intrus de démarrer le poste et d'effectuer des manipulations. Il pourrait ainsi cracker le mot de passe de session, le remplacer ou encore s'octroyer des droits administrateur afin de contourner les restrictions configurées initialement. 5. Permettre la désactivation de l'antivirus. Un utilisateur peut temporairement mettre en pause l'application mais non l'annuler totalement. L'option peut par inadvertance se retrouver active sur un poste utilisateur. Page 91

98 6. Autoriser l'utilisateur à modifier la base de registre. Outre générer des pannes ou malveillances suite à des manipulations de l'utilisateur, un virus contaminant le poste pourrait opérer diverses actions, comme se charger automatiquement au démarrage. Les droits sur un poste doivent être adaptés aux besoins de l'utilisateur. 7. Accepter l'utilisation de logiciels d'accès à distance tels que GoToMyPC. Certains dirigeants d'entreprise en font usage pour se connecter à leur poste depuis leur domicile. Il est préférable de privilégier un lien VPN. 8. Ne jamais effectuer des sauvegardes de données. Un disque dur n'est pas infaillible. Il est également recommandé pour un salarié de ne pas sauvegarder sur le disque local mais d'utiliser les dossiers partagés prévus à cet effet. 9. Désactiver la mise à jour automatique de Windows. Il n'est pas rare alors d'oublier de la réactiver, laissant le poste vulnérable. 10. Permettre l'auto-login au démarrage de la session du système d'exploitation. Le contenu d'un ordinateur portable ainsi configuré serait totalement exposé en cas de vol ou de perte. Un individu malveillant pourrait se connecter au réseau d'une entreprise et aux données depuis ce poste non-protégé. 11. Désactiver l'analyse temps réel de l'antivirus installé sur le poste de travail en pensant en optimiser les performances. Mieux vaut opter pour un moteur antivirus moins gourmand en ressources. 12. S'imaginer que le poste de travail n'est exposé à aucun risque parce qu'il est dans l'entreprise. C'est une perception très répandue et qui peut conduire les salariés à adopter des comportements à risque. Bien que situé à l'intérieur d'un réseau, qui peut être très vaste, et derrière des pare-feu, un poste de travail n'est pas prémuni contre toutes les attaques. Presque tous sont désormais connectés à Internet et peuvent être la cible d'attaque via le navigateur. 13. Se dispenser d'un pare-feu sur les postes de travail et plus encore sur les ordinateurs nomades. Il faut cependant veiller à ce que les règles de filtrage ne bloquent pas l'activité professionnelle du salarié. Navigation et messagerie 14. Utiliser le même mot de passe partout, et notamment celui d'applications sensibles pour se connecter à des forums sur Internet. Des banques d'identifiants sont ainsi testées sur des sites bancaires pour tenter de gagner des accès. 15. Croire à l'authenticité d' s adressés par sa banque. Les établissements bancaires n'envoient aucun courrier électronique à leurs clients leur demandant de saisir leur mot de passe ou comportant un lien hypertexte. Il est toujours recommandé pour éviter le phishing de saisir soi-même l'adresse dans le navigateur. Attention toutefois car certains programmes malveillants installés sur le poste de travail peuvent détourner automatiquement l'internaute et ce de manière transparente. 16. Utiliser n'importe quelle application en ligne pour son activité professionnelle, comme des agendas partagés. Quelques clics peuvent en effet rendre visibles les agendas d'utilisateurs de Google Calendar. Ces données pourraient être exploitées dans le cadre d'attaques en social engineering. 17. Consulter sa banque en ligne avec Internet Explorer. Plusieurs virus, dont Torpig, sont conçus pour dérober des identifiants de connexion des utilisateurs. Or, ils sont en général développés pour cibler le plus d'internautes possibles et ne fonctionnent que sur Internet Explorer. Il peut ainsi être recommandé pour des opérations sensibles d'utiliser un navigateur alternatif comme Firefox. 18. Installer des mises à jour de Windows expédiées par . Microsoft ne distribue pas ses patchs par messagerie mais via son service Windows Update. De nombreux programmes malveillants sont acheminés par du spam pour tromper les internautes. 19. Communiquer des données sensibles, comme des mots de passe suite à une demande par téléphone ou par . L'identité d'un interlocuteur doit être vérifiée même si celui-ci tient un discours cohérent ou si son adresse mail paraît authentique. C'est en effet l'un des principes de base de l'ingénierie sociale pour tromper des salariés et accéder à des informations confidentielles. Falsifier l'adresse source d'un est d'une simplicité effarante, il faut s'assurer de la cohérence et de la véracité de toute demande sensible. 20. Se protéger du spam en entrée mais pas en sortie. Les réseaux et serveurs 21. Permettre systématiquement le téléchargement d'exécutables sur Internet. Souvent autorisé, bien que vecteur d'infections par des codes malveillants, le téléchargement sera sécurisé par un filtrage antiviral depuis le proxy. 22. Mettre en place des comptes génériques d'administration. Pour des raisons de traçabilité, il est conseillé de privilégier des comptes nominatifs. Il est ainsi plus aisé de révéler des actes de malveillance interne ou des intrusions. Pensez à bannir également les comptes de test. 23. Se satisfaire des seuls résultats d'un scanner de vulnérabilité pour définir le niveau de sécurité de serveurs ou d'applications. Les outils automatiques ne doivent pas être surévalués. 24. Déployer un réseau Wi-Fi avec le WEP activé et non WPA ou un autre protocole sécurisé, et sur lequel n'importe quel ordinateur muni d'une carte sans fil pourrait se connecter. 25. Laisser des prises réseau non utilisées opérationnelles en permanence et ouvertes sur le réseau local. Des ports sont en effet souvent actifs pour des raisons de facilité, notamment dans les salles de réunion. 26. S'en tenir à la configuration par défaut. L'installation sur le réseau est souvent prise en charge par des personnes dont la première préoccupation est la connectivité. Des routeurs restent ainsi parfois configurés en protocole de routage sans authentification. Page 92

99 27. S'imaginer qu'il existe un paramétrage standard, applicable dans l'ensemble des systèmes d'information. Le paramétrage doit avant tout tenir compte des spécificités de chaque entreprise. 28. Croire que les serveurs frontaux ne sont pas exposés parce qu'ils vont juste prendre en charge la présentation des données au format Web. Ils ne stockent certes pas directement les données, mais ils peuvent être attaqués (en Cross Site Scripting ou par injection SQL) afin de servir ensuite de passerelles vers les bases de données. 29. Penser qu'un serveur en interne est à l'abri et permettre par conséquent qu'il soit accessible directement par l'utilisateur. C'est négliger les risques de malveillance interne et la contamination par propagation d'un programme comme un cheval de Troie ou un ver. 30. Se reposer sur un seul moteur antivirus, voire sur une seule technologie. Les antivirus ne détectent pas les virus avec la même efficacité, tout comme les sondes IDS n'apportent pas nécessairement les mêmes performances. En outre si le logiciel est victime d'une faille ou d'une intrusion, l'autre solution assurera une garantie. 31. Regrouper tous les hôtes sur un réseau unique. Il doit être divisé en sous-réseaux, notamment afin d'empêcher la propagation d'un code malveillant ou un intrus d'accéder à l'ensemble des ressources. La segmentation permettra un contrôle centralisé et l'élaboration de règles d'accès par segment. Les serveurs en premier lieu doivent être isolés des stations utilisateurs et n'exposer à ceux-ci que les services qui leurs sont utiles. 32. Considérer que la sécurité physique est facultative. Un IPBX rangé dans un placard à balais ou un serveur critique rangé sous un bureau font courir des risques. En outre, les consoles doivent être verrouillées par mesure de prudence, même pour des absences brèves. Un accès physique à une machine peut mener à sa compromission en quelques minutes. 33. Laisser non configurés des Switchs ou des appareils disposant des fonctionnalités sensibles sous prétexte qu'elles ne seront pas utilisées. Certes l'appareil est fonctionnel mais l'accès administrateur au périphérique reste celui par défaut. Or, une simple recherche sur Google suffit pour lister les identifiants par défaut de chaque constructeur. Il n'est ainsi pas rare que l'authentification se fasse via le couple admin et password. Par ailleurs, de nombreux dispositifs contiennent des fonctionnalités permettant de prendre pied sur le réseau, sans pour autant être détecté : switchs et imprimantes présentent tout deux un système d'exploitation minimaliste, mais existant. 34. Mettre en place une solution temporaire - imparfaite - sur le réseau pour pallier rapidement à un déficit de fonctionnalité. Le temporaire a la fâcheuse tendance à devenir permanent. Par exemple, héberger temporairement un environnement de test et un autre de production sur un même serveur, où figure notamment les codes d'accès des développeurs, peut se solder par une compromission du site de production. 35. Ne collecter aucuns logs. Les sources doivent être multiples et réparties sur le réseau. Les logs doivent de plus être stockés et archivés sur un support en dur. Attention toutefois à rester en conformité avec la CNIL et les différentes dispositions légales. Les logs ne servent cependant à rien s'ils ne sont pas lus ou exploités. Un volume excessif n'est pas exploitable sans un outil classant les informations pour que l'administrateur n'ait à se préoccuper que de ce qui est sensible. A défaut, mieux vaut peu de logs pertinents et consultés régulièrement qu'une grande masse qui ne sera jamais passée en revue. 36. Centraliser les composants de sécurité sur les mêmes entités. Firewall et IDS devraient être des éléments distincts notamment. Une faille dans un service de l'appareil risquerait sinon d'être exploitée pour court-circuiter les autres. Cette séparation des fonctions et pouvoirs permet de minimiser les risques en ne mettant pas tous ses oeufs dans le même panier. Applications et développement 37. Considérer les solutions de sécurité comme sécurisées. Ces dernières, au même titre que n'importe quelle application, peuvent connaître des vulnérabilités susceptibles d'être exploitées. En outre, elles peuvent inclure des défauts de conception. C'est notamment le cas des nouveaux types de logiciels, trop peu matures, comme par exemple ceux de protection contre les fuites de données. 38. Ne pas vérifier les champs de saisie d'une application Web. Toutes les entrées possibles du programme doivent être évaluées exhaustivement, même celles qui ne devraient pas arriver. Une règle valable pour tout service Web connecté à Internet, et pour lequel sont associées des données confidentielles, personnelles ou sensibles. Un oubli à cette règle et l'injection SQL ou le Cross Site Scripting sont tout de suite vos pires ennemis. 39. Croire que le produit fait la sécurité. Celle-ci tient avant tout à des processus et non à des logiciels. 40. Ne pas former les développeurs à la sécurité. Sont également valables pour les concepteurs de logiciels, le fait de négliger les retours ou erreurs de fonctions, de croire que la documentation est accessoire ou de chercher à économiser des caractères dans son code source. 41. Ne pas auditer le code source d'applications dont le développement a été externalisé. Un serveur Web développé en spécifique pourrait ainsi contenir des vulnérabilités exploités par des pirates pour accéder aux données. 42. Penser que si un logiciel ne comporte pas de vulnérabilités connues, c'est qu'il en est exempt. Il est possible que des vulnérabilités soient connues de très peu de personnes et n'aient pas été rendues publiques. Il convient donc d'appliquer les filtrages nécessaires à tous les équipements ou logiciels afin de ne pas faciliter l'avancée d'un pirate dans le SI, si celui-ci s'est discrètement arrogé des droits sur un élément. 43. Se dire qu'avec les configurations par défaut on gagne du temps sans prendre de risque. Celles-ci sont souvent fonctionnelles, mais pas sécurisées. 44. Ne pas tenir une liste des logiciels, de l'état des mises à jour, d'inventaire de ses machines et services associés, ou encore de la cartographie de son réseau. Il est très simple de se perdre dans son propre réseau sans ces outils de Page 93

100 base alors qu'à l'inverse, faire le travail de mise à jour régulièrement ne prend que peu de temps et peu en faire gagner énormément. Formation et sensibilisation 45. Faire des campagnes de sensibilisation généralistes et englobant toute la population de l'entreprise. Des mails de bonnes pratiques sont souvent expédiés à l'ensemble des salariés. Cette approche conduit nombre d'entre eux à ne pas se sentir concernés et ne produit par conséquent que peu d'effet. Il est bien plus efficace de définir un pôle ou une fonction cible et de lui adresser des recommandations directement liées à son métier. 46. En formation, appuyer sur les contraintes apportées aux utilisateurs plutôt que sur les risques encourus et les conséquences d'une non prise en compte. L'écueil est de rebuter tout de suite et de ne générer aucune prise de conscience des utilisateurs quant aux risques adressés par le projet sécurité. 47. Effrayer les salariés avec une charte d'utilisation. Il faut pouvoir trouver un juste milieu pour informer, sensibiliser les utilisateurs tout en mentionnant les différentes dispositions nécessaires. Avant d'imposer une charte lourde, il faudra avant tout procéder à des opérations de sensibilisation. 48. Lorsqu'on est décideur informatique ou RSSI : ne former que les autres. Toutes catégories 49. Concevoir la sécurité comme une discipline exclusivement technique, mais aussi la considérer comme uniquement organisationnelle. 50. Croire aux solutions miracles. S'il existe évidemment de bonnes solutions pour répondre à une menace, le remède absolu n'existe pas, ni le risque zéro. 51. Pratiquer la sécurité par l'obscurantisme. Ce n'est pas parce qu'une page est cachée que personne ne latrouvera. Dissimuler l'existence de vulnérabilités dans le code source de son application n'est pas plus une protection. Si un développeur a pu les déceler, il faut considérer que d'autres individus, potentiellement malveillants, pourraient tout autant y parvenir. 52. Prendre en compte la sécurité au moment du déploiement. Une intégration trop tardive sur une application déjà fonctionnelle risque d'être confrontée à des freins humains. Un projet VoIP en est un parfait exemple. La voix sur IP est souhaitée, puis déployée, et seulement alors la cellule sécurité est consultée. On prend rarement la décision d'apporter des modifications à des solutions opérationnelles. Cela contraint en outre à sécuriser par rustines une démarche qui n'a rien d'optimale. 53. Penser qu'une personne passera derrière et corrigera les problèmes. Comme pour une solution temporaire non sécurisée, le projet aura tendance à demeurer en l'état. 54. Considérer que la sécurité un jour est valable pour tous les autres. La sécurité totale n'existe pas. Il faut identifier et contrôler son maillon faible. En outre, la sécurité n'est pas un statut acquis Ad vitam æternam. Il faut mesurer, réévaluer et accepter de se remettre en cause, faire une photo régulière de l'état de sa sécurité. 55. Croire que la sécurité passe uniquement par la conformité aux normes ISO. Si elles ne sont pas à négliger, le RSSI ne doit pas pour autant faire abstraction des règles élémentaires, souvent simples et efficaces. 56. Confondre les parties sécurité opérationnelle et organisationnelle. L'une est chargée de définir les politique de sécurité et l'autre de les mettre en oeuvre. La sécurité opérationnelle est en outre souvent confiée à des opérationnels du réseau dont la préoccupation principale est la disponibilité. 57. Sécuriser les parties du système d'information qui n'en ont pas besoin et négliger celles qui le nécessitent. Il est préférable d'adopter une approche par les risques, de s'assurer de la prise en compte des plus sensibles pour l'entreprise et de veiller à l'adéquation des mesures correctives. 58. Rédiger des procédures verbeuses et décolérées de la réalité. Pour pouvoir être comprises, appliquées et surtout efficaces, nul besoin d'emprunter sa plume à Balzac. Les procédures se doivent avant tout d'être claires, synthétiques, et d'être adaptées à la situation réelle de l'entreprise. 59. Laisser à l'abandon des domaines pour lesquels l'entreprise manque d'expertise. Ce sont autant d'aspects liés à la sécurité qui risquent d'être oubliés et non contrôlés. Imaginons une société X qui a recruté deux développeurs Web, sans pour autant disposer d'un administrateur de base de données. Un responsable doit être désigné avec une sensibilisation à la sécurité du système employé. 60. Négliger de se tenir informé des vulnérabilités et de l'évolution des techniques d'attaque Voir aussi pour exemple : le guide SII «mettre en œuvre des moyens appropriés à la confidentialité des données» publié en mai 2005 par la Direction de l Innovation et de la recherche du MEDEF, qui comporte des recommandations sur les contrôles d accès aux données, la sécurité des échanges, l utilisation de moyens tels la signature électronique, le chiffrement ou encore la biométrie. Page 94

101 ANNEXE 8 : FOIRE AUX QUESTIONS SUR LA NOTIFICATION DES VIOLATIONS AUX TRAITEMENTS DE DONNEES PERSONNELLES (AFCDP 10 juin 2010 Référent : Bruno RASLE Délégué Général AFCDP) Page 95

102 Page 96

103 Page 97

104 Page 98

105 ANNEXE 9 : COUTS DES EFFRACTIONS DE DONNEES POUR LES ENTREPRISES (Etude annuelle 2009 : coûts des effractions de données en France Ponemon Institut Avril 2010 pages 15 et suivantes) Page 99