La sécurité des données personnelles enfin prise au sérieux ?

Par Bruno RASLE • Expert RGPD - Formateur de DPO • Février 2010 •

La proposition de Loi déposée le 6 novembre 2009 par les Sénateurs Yves Détraigne et Anne-Marie Escoffier va être discutée en première lecture le 23 mars 2010. Ce texte, qui modifierait la loi relative à « l'informatique, aux fichiers et aux libertés » propose de rendre obligatoire le Correspondant Informatique et Libertés (le CIL), prône le renforcement des sanctions de la CNIL et envisage la publication des « failles de sécurité » - ce qui correspond plus exactement à la notification des Data Breach promulguée en Californie depuis déjà plusieurs années. Si cette dernière mesure est adoptée, quels en seraient les impacts ?

La Californie ouvre le bal

Imaginez la scène : Vous découvrez dans votre boîte aux lettres un courrier provenant de votre banque, de votre assureur ou de l’hôpital dans lequel vous suivez un traitement. Cet établissement vous explique que des « tiers non autorisés » ont pu accéder aux données personnelles vous concernant. Aux Etats-Unis, cette scène est réalité depuis plusieurs années déjà.

Ce courrier, le plus souvent signé du président de l’entreprise, vous informe que, « entre novembre 2008 et mai 2009, le système d’information a fait l’objet d’accès non-autorisés¹ », liste les données personnelles qui ont été divulguées, assure que des mesures ont été prises pour qu’une telle situation ne se reproduise pas, vous indique les précautions que vous devriez prendre et, éventuellement, vous présente quelques excuses.

Aux USA, de nombreux Etats imposent une telle obligation, mieux connue sous l’appellation de « Data Breach Notification ». Le premier fut la Californie. C’est en juillet 2003 qu’est devenue applicable une loi votée en février 2002² : toute entité qui détient des informations numériques comprenant des données personnelles de résidents Californiens doit notifier sans délai toute exposition de ces données aux personnes concernées, sauf si ces informations étaient chiffrées. Le simple soupçon d’une exposition doit entraîner la notification³. Il suffit que l’entreprise ait un client ou un collaborateur en Californie pour qu’elle soit soumise à ce cadre. Une entreprise agissant en tant que sous-traitant d’une telle entité est également concernée, de même que toute entreprise américaine qui stocke des données personnelles de citoyens californiens.

Depuis, quarante-cinq états ont suivi l’exemple Californien⁴. Le Massachussetts est le dernier en date avec sa Data Privacy Law CMR-201.

Un vrai patchwork

Si l’esprit de ces lois est identique, leurs modalités sont pour le moins variées.

Il en est ainsi du seuil de notification (« trigger ») : alors qu’en Californie, il suffit d’une simple suspicion d’exposition des données à un risque de divulgation, dans d’autres états il faut disposer d’éléments montrant un véritable accès, voire la preuve d’une intrusion. La Floride précise que l’acquisition des données personnelles doit être « illégale ou avoir été interdite et doit matériellement compromettre la sécurité, la confidentialité ou l’intégrité de ces informations⁵ », ce qui exclue du champ les accès involontaires de collaborateurs n’ayant pas les droits d’accès. L’Ohio impose la notification s’il existe « a material risk of harm » pour la personne concernée⁶.

Le destinataire de la notification est la plupart du temps une autorité de l’Etat, mais certaines lois stipulent que la notification doit être adressée à chaque personne concernée (clients, prospects, patients, etc.), soit systématiquement, soit sur décision de l’autorité. En effet certaines alertes pourraient se révéler contre-productives en nourrissant de façon inutile l'inquiétude des consommateurs, voire en suscitant l’intérêt des hackers qui verraient là l’occasion de tester la sécurité des systèmes⁷. Il est donc paru préférable au législateur de limiter l'information du consommateur aux seules atteintes qui seraient susceptibles de lui porter préjudice.

Sur ce point, Bernard Foray, Directeur Sécurité Système d'Information, Risk Manager et CIL du GIE informatique du groupe Casino⁸, remarque que « la publication des atteintes aux traitements de données personnelles attirera indéniablement le regard des pirates ou des simples « badauds » voulant accrocher l’entreprise à leur tableau de chasse. Il est donc   cette publicité soit bien encadrée et maîtrisée pour éviter les effets de bord sur la e-réputation de l’entreprise et la recrudescence des attaques ».

Autre différence : si dans la quasi-totalité des Etats, l’entreprise concernée se doit de décrire le fait générateur de l’exposition des données dans sa lettre de notification, l’état du Massachusetts l’interdit strictement. Pourquoi rendre ainsi service aux pirates en leur délivrant des informations dont ils peuvent faire leur miel ?

Dans la moitié des Etats, la notification peut être reportée si une autorité policière décide que la notification risque d'empêcher ou d’entraver une enquête criminelle.

Tous les états ont édicté une liste explicite des données personnelles concernées. Sans surprise y figurent des données dont la divulgation, aux Etats-Unis, peut porter préjudice aux personnes, comme le numéro de carte bancaire, le numéro de sécurité sociale ou les références du permis de conduire et de la carte d’identité. Notons que la Californie a récemment revu cette liste pour y ajouter les données de santé. Enfin la plupart des Etats ont exclu explicitement du périmètre les informations accessibles librement au grand public, ce qui semble assez logique.

L’échelle des sanctions au civil est étendue : dans l’Etat de Washington D.C. elles ne peuvent excéder 100 $ par manquement à l’obligation de notification. L’Alaska en a limité le montant total à 50.000 $ alors qu’il peut aller jusqu’à 150.000 $ en Virginie. Autre point de divergence : les supports papier ne sont pas toujours concernés, certaines lois ne concernent que les données personnelles sur support informatique⁹.

Un seul Etat, le Minnesota, est allé jusqu’à promulguer une loi (Plastic Card Security Act) qui sanctionne spécifiquement les commerçants qui ont conservé abusivement des données bancaires de leurs clients et qui ont été victimes d’une data breach : Ils doivent dès lors prendre à leur charge la totalité des frais de remplacement des cartes.

À cet éventail de textes s’ajoute une loi fédérale qui concerne les professionnels du secteur de la santé, HIPPA, avec des sanctions allant jusqu’à 1.500.000 $. Devant un tel patchwork de textes il y a de quoi perdre son latin. À Madrid, lors d’une journée organisée par l’IAPP (International Association of Privacy Professionals)¹⁰ dont il est le Président, Jonathan D. Avila, Chief Privacy Officer de The Walt Disney Company a laissé échapper une phrase significative à ce propos : « Pourvu que les européens en tirent quelque enseignement pour éviter une telle confusion ! ».

De nombreuses questions, dont celles concernant les exceptions

À cette diversité s’ajoute la difficulté de l’interprétation des textes.

Concernant la rapidité avec laquelle les personnes concernées doivent être informées, que signifient par exemple les passages « As soon as possible » ou « Without unreasonable delay » ? Il semble que le consensus traduise ces mentions par « quelques jours, une semaine au grand maximum ». Le point de départ à prendre en compte fait également débat. Certains experts incitent à considérer non pas le moment où l’entreprise a réalisé qu’elle avait un sérieux problème mais celui où elle aurait dû, selon l’état de l’art, en prendre connaissance. De quoi inquiéter le professionnel de l’informatique qui pensera automatiquement aux nombreuses publications de correctifs de sécurité, accompagnés, pour les failles les plus critiques, d’avertissements marqués de la part des éditeurs de solutions informatiques.

Les interrogations se focalisent également sur le périmètre d’application. Ainsi, fin 2008, la société CheckFree a alerté sa clientèle qu´un pirate avait peut-être réussi à infiltrer son système informatique via son site internet dédié aux paiements électroniques. Ce pirate, tracé du côté de l'Ukraine, avait réussi à installer un code malveillant dans la machine de certains visiteurs. La notification adressée par l’entreprise à la juge fédérale du New Hampshire indique qu'environ 160.000 clients ont été exposés à cette attaque. L'entreprise n'étant pas capable de les identifier avec précision, elle a préféré avertir la totalité de ses clients, soit cinq millions de personnes. Le courrier qui leur a été adressé (on imagine le coût d’une telle opération) expliquait comment éradiquer le malware. En compensation, les clients ont reçu un antivirus et deux ans de surveillance gratuite de leur compte en banque.

La définition des exceptions donne lieu aussi à de nombreux débats : l’obligation de notifier disparaît si les données personnelles sont chiffrées – donc inexploitables pour le « tiers non autorisé » qui y a eu accès. Oui mais… Faut-il chiffrer ces données quand elles sont sauvegardées, au sein des bases de données, ou seulement quand elles sont transmises ? Quand on connaît les contraintes techniques induites par le chiffrement de données actives cette simple question est loin d’être anodine.

La résistance du procédé de chiffrement entre également en compte. Il est souvent précisé que les clés doivent être gérées par un dispositif matériel distinct et plusieurs Etats ont édictés des référentiels qui apportent les précisions techniques sur les algorithmes et les longueurs de clés à mettre en œuvre.

Il convient aussi de répondre à des questions très opérationnelles telles que :

• La diffusion d’un email comportant des données personnelles et envoyé par erreur par l’un de nos collaborateurs à des destinataires erronés constitue-t-elle une Data Breach, avec obligation de notification ?¹¹

• Les accès involontaires de nos collaborateurs à des données personnelles sont-ils considérés comme des atteintes ?¹²

• Comment pouvons-nous avertir nos clients si justement ce que les pirates nous ont volés… ce sont leurs coordonnées ?¹³

• Un pourcentage important des coordonnées de nos clients et prospects est obsolète. Comment les contacter ?¹⁴

Est-ce une mesure efficace ?

Aux USA, il ne se passe pas un jour sans qu’une entreprise rende publique un incident. Parmi elles on peut citer Ameritrade, Bank of America, ChoicePoint, Citibank, Ralph Lauren, Stanford University, Time Warner, University of California ou la Wells Fargo. La notification tend donc outre-Atlantique à devenir une norme, et non une exception. On estime que presque chaque américain – au nombre de 300 millions – a d’ores et déjà reçu une notification de Data breach. Naturellement, il s’agit d’une moyenne et certains ont eu plus que leur part.

Qu’est-ce qui explique l’effectivité d’une telle mesure ? Aux USA, la crainte des Class Action¹⁵ pousse incontestablement les entreprises à notifier leurs brèches. Il suffit en effet d’une indiscrétion pour qu’un incident de sécurité n’ayant pas été déclaré fasse la une des journaux. À la perte d’image s’ajouterait les nombreuses actions en justice qui ne manqueraient pas d’être intentés par les victimes.

Toutefois, à ce jour, la totalité des actions de ce type ont été rejetées par les cours qui ont été saisies. Elles ont jugé que le lien entre l’exposition des données et le préjudice n’était pas suffisamment établi. De plus le principe même de l’action de concert est mis en cause, l’impact pour chaque personne pouvant être très différent.

Les CSO (Chief Security Officer) sont unanimes pour témoigner du fait que la promulgation de ces lois contraignantes a été le facteur déterminant dans les efforts réels de sécurisation déployés au sein des entreprises américaines, de concert avec la mise en œuvre des règles Sarbanes-Oxley et du standard Data Security PCI.

Il reste toutefois du grain à moudre, comme le montre le 2009 Data Breach Investigations Report publié par Verizon Business en avril 2009¹⁶. Cette étude se fonde sur l’analyse d’une centaine d’infractions avérées et rendues publiques. Dans 90% des cas, les data breach auraient pu être évitées si les principes élémentaires de sécurité avaient été respectés. Selon ce rapport, ce défaut de sécurité s’expliquerait davantage par des erreurs et des négligences que par une pénurie de ressources. On y apprend également de la plupart des brèches (74 %) sont provoquées par des causes externes (dont les partenaires et les sous-traitants) et que 20 % d’entre elles ont sans conteste une cause interne. Dans 69 % des cas, la brèche est découverte par une tierce partie, ce qui ôte toute idée d’essayer de tenir caché l’incident et d’éviter la notification.

Un nouveau métier : celui de CPO

Les entreprises américaines ne rechignent pas à créer un poste de CPO (Chief Privacy Officer), alors qu’aucune loi ne les y oblige. De même elles purgent leurs fichiers, alors qu’aucun texte ne limite la durée de conservation des données personnelles : elles ne font qu’appliquer la règle du « shred it or protect it ». Sur ces deux points la comparaison est intéressante par rapport à la France où la loi Informatique & Libertés oblige à définir une durée de conservation en rapport avec la finalité du traitement : on sait bien que c’est là un écart de conformité assez fréquent¹⁷.

Le Chief Privacy Officer est chargé de gérer les risques associés aux lois relatives à la privacy et aux cadres associés (dont le HIPAA pour les données médicales, le Fair Credit Reporting Act pour les données financières et bancaires et le Gramm-Leach-Bliley Act. Le tout premier CPO a été nommé en août 1999, au sein de la société de publicité AllAdvantage mais la fonction a pris son envol quand IBM Corporation s’en est doté en novembre 2000. Ces professionnels sont regroupés au sein de l’IAPP (International Association of Privacy Professionals). Une étude récente montre que le pourcentage de grandes entreprises ayant nommé un CPO est passé de 21 % en 2008 à 30 % en 2009¹⁸. Comme le déclare Jonathan D. Avila « Pour conserver et conforter son avantage concurrentiel, la conformité est un minimum, le maintien de la réputation – facteur de confiance – est un plus », et la présence d’un CSO participe de cette confiance.

Depuis 2004 et la refonte de la loi Informatique et Libertés, la France bénéficie d’une fonction similaire, avec le CIL (Correspondant Informatique et Libertés), dont la représentation est assurée par l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel¹⁹).

Bientôt une loi fédérale ?

Suite au scandale de la brèche TJX en 2007, due à une faiblesse du chiffrement WEP sur un réseau sans fil, le législateur américain a souhaité remplacer le patchwork des lois existantes par une loi fédérale. La sénatrice Diane Feinstein propose, avec son projet S.139, de reprendre purement et simplement la loi de son Etat, la Californie. Mais c’est la proposition

H.R.2221 du sénateur Patrick Leahy qui tient la corde²⁰. Le Sénat américain devrait prochainement se prononcer sur un texte qui obligerait toute entités privées ou publiques manipulant des données personnelles sensibles à mettre en place des mesures de gestion de risques, de traçabilité aux données, de sécurisation et de notification des violations de données personnelles.

Cette loi fédérale – dont le nom de code est DATA pour Data Accountability and Trust Act – obligerait à notifier aux personnes et à la FTC (Federal Trade Commission). Ne seraient concernées que les données personnelles sous forme numérique et associées à un citoyen américain ou à une personne résidant aux Etats-Unis. Les sanctions civiles pourraient aller jusqu’à cinq millions de dollars. L’obligation de notification s’imposerait alors aux rares états n’ayant pas encore légiféré : l’Alabama, le Kentucky, le Mississippi, New Mexico et le Dakota du Sud.

La démarche du législateur américain n’est pas motivée que par la défense des personnes²¹. Il est intéressant de relever dans le préambule du projet de Loi fédérale le passage suivant : « L’exposition accidentelle de données personnelles n’est pas simplement un sujet de préoccupation pour les consommateurs américains, c’est aussi une menace réelle sur notre activité économique. Le récent rapport présidentiel cite une estimation selon laquelle les pertes en 2008 associées aux fuites de propriété intellectuelle sont de l’ordre du milliard de dollars. ». En France, les initiatives des pouvoirs publics pour inciter les dirigeants d’entreprises à faire des efforts dans le domaine de l’intelligence économique²² ont été relayées par le Medef.

Mais ne sommes-nous pas déjà très en retard ? L’étude PriceWaterHouseCoopers indique des disparités éloquentes dans le pourcentage d’entreprises ayant désigné un CISO (Chief Information Security Officer) : En tête vient… la Chine (!) avec un score de 55 %, suivie de l’Inde (51 %), des Etats-Unis (42 %), de l’Angleterre (37 %) et de l’Allemagne (28 %). Où se situe la France ? L’obligation de notifier les atteintes aux données personnelles pourrait, par effet de bord, avoir un effet positif sur la protection des actifs immatériels et stratégiques des entreprises françaises, ainsi que dans la lutte contre les fraudes internes et la cybercriminalité.

Une pratique qui se répand

Si la notification des incidents de sécurité semble un sujet nouveau pour les RSSI français, ce n’est pas le cas pour le reste de la planète. À Singapour l’autorité de marché impose aux banques une notification auprès des clients. À Hong Kong, doté d’une mesure identique, le gouvernement étudie actuellement une éventuelle modification du Personal Data Ordinance qui pourrait prochainement intégrer une telle mesure, mais seulement en cas de « risque élevé » pour les personnes concernées²³. Dans l’attente, les pouvoirs publics encouragent le volontariat.

Plusieurs pays en sont au même stade, comme le Japon, la Nouvelle-Zélande²⁴ et le Canada, avec son PIPEDA (Personal Information Protection and Electronic Documents Act). L’Afrique du Sud, qui vient de se doter d’une loi « Données Personnelles », a opté pour une obligation de sécurité, mais aussi pour l’obligation de notifier les Data Breach²⁵. Lors de la conférence AusCERT qui s’est déroulée en mai 2009, l’américain Bob Russo, General Manager du Security Standards Council PCI (Payment Card Industry), a tenté d’expliquer pourquoi, selon lui, l’Australie était en retard dans l’adoption des mesures prônées par le Data Security Standard. « Cela s’explique par le fait qu’aux USA nous avons tendance à rendre publiques les Data Breach, ce qui participe de la sensibilisation de chacun, à l’inverse de ce qui se passe en Australie ». Depuis, le gouvernement de Canberra a annoncé qu’il étudiait une telle mesure²⁶.

En Grande-Bretagne, ce sont les sanctions infligées par la FSA (Financial Services Authority) qui défraient la chronique : Trois millions de livres pour HSBC, un million pour Nationwide, un million deux cent mille pour Norwich Union. L’ICO (Information Commissioner's Office, l’équivalent de notre CNIL) vient d’obtenir l’extension de ses pouvoirs avec la possibilité d’auditer des entreprises, l’augmentation des sanctions qu’elle peut infliger (500.000 livres au lieu de 5.000 actuellement) et la possibilité de demander des peines de prison pour les dirigeants d’entreprises.

Plus d’une centaine de data breaches ont été signalées à l’ICO durant le dernier trimestre 2009²⁷ (qui en a reçu plus de huit cents depuis novembre 2006). L’Autorité de contrôle britannique se montre particulièrement soucieuse des nombreux PC portables perdus ou volés, qui contenaient des données personnelles sans être chiffrés, et par les nombreuses failles de sécurité du NHS (équivalent de notre Sécurité Sociale). L’ICO épingle également les expositions de données personnelles sur support papier : Une assurance vient de se voir publiquement rappelée à l’ordre pour avoir jeté aux poubelles communes des dossiers clients comprenant des données bancaires et quelques données de santé²⁸.

Outre Rhin, depuis le 1er septembre 2009 nos voisins allemands sont soumis à l’obligation de notifier les data breach à l’autorité de contrôle et aux personnes concernées en cas de risque avéré. La loi comporte une liste des données personnelles dont les atteintes doivent être signalées. Les sanctions vont jusqu’à 300.000 € d’amende par atteinte, et deux ans de prison pour le dirigeant en cas d’enrichissement personnel ou de préjudice causé à des tiers. L’autorité de contrôle peut y ajouter ses propres sanctions, dont la suspension du traitement incriminé.

Il est intéressant de noter que l’Allemagne évoque une infraction de type « concurrence déloyale » si les entreprises ne notifient pas leurs atteintes aux traitements, ce qui crée une distorsion de concurrence entre les entreprises qui font les efforts nécessaires pour se mettre en conformité et les autres.

La notification est obligatoire ou fortement recommandée en République Tchèque, Estonie, Lituanie, Slovaquie et en Irlande²⁹. Elle vient d’être introduite en Autriche à l’occasion de la refonte de la Datenschutzgesetz. Le 18 décembre 2009, le parlement autrichien a adopté un amendement portant sur la vidéosurveillance et la notification des data breach. Cette nouvelle disposition est entrée en vigueur le 1er janvier 2010 : « Si le responsable de traitement a connaissance que des données personnelles dont il est détenteur ont été utilisées illégalement, il doit en informer immédiatement les personnes concernées³⁰ ». Maître Pascale Gelly, membre du Board de l’IAPP Europe et qui a réalisé pour l’AFCDP un comparatif européen31, ajoute que les Pays-Bas viennent de mettre à leur programme l’étude d’une mesure similaire.

L’Espagne a adopté une autre approche : les data breach doivent être systématiquement consignées dans un « document de sécurité », accessible à tout moment par l’autorité de contrôle et fréquemment consultés par cette dernière. La sévérité de l’Agencia Espanola de Proteccion de Datos est réputée, avec plus de vingt millions d’euro d’amende infligés annuellement. Ainsi l’opérateur Telefonica vient récemment d’écoper d’une sanction de 600.000 € pour défaut de déclaration.

Les opérateurs bientôt concernés

Les FAI et les opérateurs de télécommunications sont en première ligne. Deux directives les concernant sont à l’étude à Bruxelles : La directive cadre 2002/21/CE (dénommée « Paquet Telecom ») comporte un chapitre sur les « Atteintes à la sécurité ou la perte d’intégrité ayant eu un impact significatif sur le fonctionnement des réseaux » et la directive 2002/58/CE (dite « Vie privée et communications électronique ») les contraint à informer leurs abonnés en cas de risque particulier de violation de la sécurité des réseaux. La transposition en droit national doit intervenir en mai 2011 au plus tard.

On voit donc que si l’obligation de notifier les data breach s’impose déjà aux entreprises françaises présentes aux Etats-Unis et dans plusieurs autres pays, elle s’imposera demain en France aux Opérateurs et aux FAI. Reste toutefois plusieurs questions en suspens, dont celle de l’autorité nationale compétente auprès de laquelle il faudra notifier : CNIL, ARCEP, ANSSI ?

Les sénateurs Détraigne et Escoffier, dans le préambule de leur proposition de loi, indiquent clairement que l’obligation de notification à la CNIL des atteintes aux traitements peut être vue par le législateur comme une transposition par anticipation de la directive modifiant la directive 2002/58/CE.

Le Groupe Article 29, pour sa part, s’est clairement prononcé pour une extension de ces dispositions au-delà du seul secteur des télécommunications et il est probable que la refonte de la Directive de 1995 – dont les études préliminaires ont été confiées à l’ancienne Commissaire Viviane Reeding – comprendra ce point.

Mais qui sait que les hébergeurs de données de santé y sont déjà contraints ? L'article R1111-14 du code de la Santé Publique prévoit en effet que ces acteurs doivent avoir une politique de confidentialité qui comporte notamment les précisions suivantes : « 1° En matière de respect des droits des personnes concernées par les données hébergées : ... e) Les procédures de signalement des incidents graves, dont l'altération des données ou la divulgation non autorisée des données personnelles de santé ». Le formulaire de description des dispositions de sécurité comprend un important chapitre sur la gestion des incidents³². L’identité des quatre premiers acteurs agréés par l’ASIP Santé – dont Madame Jeanne Bossi occupe le poste de Secrétaire général depuis juin 2009, après avoir été directrice adjointe à la Direction des relations avec les usagers et du contrôle de la CNIL – devrait être publiée sous peu.

Une initiative sénatoriale

Fin 2008, pour rester vigilants face aux grands enjeux « informatique et libertés » la commission des lois du Sénat a décidé de créer un groupe de travail sur la vie privée à l'heure des mémoires numériques. Après avoir procédé à vingt-cinq auditions, les sénateurs Yves Détraigne et Anne-Marie Escoffier, ont formulé en mai 2009 quinze recommandations³³. Remarquant que « le principe de la sécurité des données est probablement celui qui mériterait les aménagements les plus importants », ils prônent le renforcement de l’effectivité de l’obligation de sécurité des données personnelles. Les sénateurs notent que « La CNIL estime qu'en France, même si aucune faille importante de sécurité n'a été révélée, le niveau de protection des données ne peut être jugé satisfaisant, comme en témoignent ses contrôles, tant auprès des entreprises que des administrations » et regrettent que « la sécurité des données ne constitue malheureusement pas encore une préoccupation majeure ».

En conclusion les rapporteurs suggèrent de créer a minima une obligation de notification des failles de sécurité à la CNIL, des critères et des seuils devant être définis pour ne pas la submerger. Ils y voient une incitation forte au renforcement de la sécurité des données. Assez curieusement, si le rapport a été largement commenté lors de sa parution, cette proposition a suscité peu de réaction.

Ses auteurs n’en sont pas restés pas là : le 6 novembre 2009 ils ont déposé une proposition de loi « visant à mieux garantir le droit à la vie privée à l'heure du numérique³⁴ ». Y sont introduites plusieurs mesures très importantes³⁵, dont l’obligation de désigner un CIL, le renforcement des obligations du Responsable de traitement, le renforcement du pouvoir de sanction de la CNIL et la « notification des failles de sécurité » (article 7).

La proposition vise à modifier l'article 34 de la loi n° 78-17 du 6 janvier 1978 et s’articule en deux volets. Le premier précise l'obligation de sécurisation des données incombant au responsable du traitement : « Le responsable du traitement met en œuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel traitées contre toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation, la diffusion, le stockage, le traitement ou l'accès non autorisés ou illicites³⁶».

Le second volet crée une obligation de notification à la CNIL des failles de sécurité : « En cas d'atteinte au traitement de données à caractère personnel, le responsable du traitement avertit sans délai la Commission nationale de l'informatique et des libertés qui peut, si cette atteinte est de nature à affecter les données à caractère personnel d'une ou de plusieurs personnes physiques, exiger du responsable du traitement qu'il avertisse également ces personnes. Le contenu, la forme et les modalités de ces notifications sont déterminés par décret en Conseil d'État pris après avis de la Commission nationale de l'informatique et des libertés ». Nous verrons plus loin que cette première mouture a été revue pour faire ressortir le rôle pivot du Correspondant Informatique et Libertés.

Les mots ne sont pas neutres

Une attention toute particulière devra être portée sur la sémantique : le sujet étant transverse, il est indispensable que les différentes populations qui vont prendre action sur le sujet utilisent un vocabulaire commun. On oubliera donc la formule malheureuse de « notification des failles de sécurité » - qui a fait bondir avec raison plus d’un RSSI – pour privilégier l’expression utilisée dans l’article 7 de la proposition de loi : « Atteinte aux traitements de données à caractère personnel ». Cette formule est neutre et permet d’éviter la version anglo-saxonne de Data Breach.

On note que l’IAPP privilégie ainsi l’expression « Privacy Incident » plutôt que « Data Breach », car on ne sait pas tout de suite caractériser la chose, tandis que le CPVP (Commissariat de Protection de la Vie Privée du Canada³⁷) a remplacé dans ses rapports annuels le vocable « incidents » par « atteinte à la vie privée ». On peut éviter la notion de « fuite » qui présuppose que la faille a été exploitée, ainsi que celle de « perte », trop restrictive. De même, appliquée à une donnée, la notion de « vol » est délicate à appréhender. Si le tiers non autorisé ayant accédé à l’information ne l’a pas effacée avant de se retirer du système, la donnée est toujours présente, alors que dans la vie moléculaire, le bien volé brille par son absence.

La commission des lois du Sénat, dans ses commentaires qui accompagnent le texte qui sera discuté en première lecture le 23 mars 2010, apporte quelques précisions sur les vocables³⁸ : «…afin de ne viser que les failles de sécurité proprement dites, le vocable d’«atteinte » de la proposition de loi serait remplacé par celui de « violation », ce qui permet de ne pas viser les autres atteintes telles que, par exemple, la conservation d’une donnée au-delà de la durée maximal autorisée, qui sont déjà couvertes par la loi. Le terme de « notification » serait par ailleurs remplacé par celui plus général d’« information » afin que la violation de données puisse être portée à la connaissance des personnes concernées par tout moyen que précisera le décret en conseil d’Etat d’application (email, courrier, publication dans la presse, etc.) au lieu du seuil envoi personnalisé avec accusé de réception, comme le terme de « notification » tendrait à s’imposer ».

Des cas en France ?

Nous vivons dans un monde où seuls les britanniques perdent des données et où certains nuages s’arrêtent à la frontière du Rhin. En France, les tentatives de mesure de sinistralité en termes de sécurité informatique ont toutes échouées, par manque de données. Rien à signaler.

C’est pourquoi il faut saluer l’initiative d’une mutuelle d’étudiants, la Smeno (Mutuelle des étudiants du Nord et du Nord-Ouest). Son site n’était pas suffisamment sécurisé et quelques milliers d’adresses emails ont été dévoilées sur la toile. Lors d'une réunion d'urgence tenue un vendredi soir du mois d’août 2009, la mutuelle a envoyé un email d'excuses et d'avertissement à ses adhérents : « Nous tenons à vous informer d'une intrusion sur notre espace Internet », explique l'email, avant d'inviter ses adhérents « à la prudence quant aux propositions [qu'ils pourraient] recevoir dans les jours à venir³⁹ ». Cette initiative a été très bien reçue par les clients et a permis de revoir les procédures, aussi bien interne que vis-à-vis des partenaires.

C’est une démarche identique qui a été déroulée en décembre dernier par l’AFCDP, dont les mises à jour de son site Web, exploité techniquement par un membre bénévole, n’avaient pas été appliquées avec assez de célérité. Les adresses emails des membres ont été exposées sur la Toile, tandis que les mots de passe donnant accès à des livrables réservés aux membres restaient protégés par un chiffrement. Deux heures après la signalisation la faille était corrigée. L’association a informé la CNIL ainsi que les personnes concernées, ses membres, anticipant ainsi l’éventuelle obligation que proposent les Sénateurs Détraigne et Escoffier.

Un clair leader : Le CIL

Mais par où commencer ? Les Américains, qui disposent d’une avance considérable dans ce domaine, maitrisent les points à dérouler :

• Désigner un CISO (Chief Information Security Officer) ou un CPO (Chief Privacy Officer⁴⁰) comme pilote ;

• Réaliser un inventaire des données personnelles et les caractériser (nature, localisation, sensibilité, durée de conservation, etc.) ;

• S’enquérir des mesures de sécurité (physiques, logiques, contrôle d’accès, traçabilité, etc.) qui les protègent ;

• Relever les partenariats et leur contexte (clauses contractuelles) ;

• Développer une stratégie de traçabilité et de détection des atteintes aux données, la mettre en œuvre, la tester et la remettre en question régulièrement ;

• Concevoir un plan de gestion des Data Breaches (Qui fait quoi, quand et comment ?) et veiller à son effectivité.

Très pragmatique, Jonathan D. Avila ajoute « Règle n°1 : Ne pas se réfugier dans le déni. De toute façon, ça vous arrivera tous un jour ou l’autre… » et suggère de commencer par chiffrer ce qui doit l’être (les portables et les données les plus critiques). La priorité consiste à mettre sur pied, sous l’égide de l’acteur pertinent⁴¹, un groupe de personnes qui auront à analyser et à définir, la politique de gestion d’une telle situation et le plan d’action, véritable plan de crise.

Institué par la loi « Informatique et Libertés » du 6 août 2004⁴² et formalisé par le décret d’octobre 2005⁴³, le Correspondant Informatique et Libertés est clairement le professionnel le plus apte à animer un tel projet. N’a-t-il pas, très souvent, constitué au sein de son entreprise un « comité Informatique & Libertés » transverse ? Dans l’article « CIL, le garde-fou » d’Edouard Laugier, publié en avril 2009 dans Le Nouvel Economiste, Jeanny-Lucas, CIL de Safran et titulaire du Mastère Spécialisé ISEP indique que le comité Informatique et Libertés qu’elle anime se réunit toutes les six semaines. Ce type de comité regroupe des représentants de la DSI, de la communication, de la gestion des risques, de l’Intelligence économique et des data owners (directions opérationnelles concernées, comme celle des ressources humaines, du marketing, des ventes, etc.). La groupe de gestion de crise qui en sera issu devra naturellement être joignable en 24/7 : « Si la faille est découverte un vendredi soir, nous n’avons pas le droit de perdre un week-end » indique le Chief Privacy Officer de The Walt Disney Company.

Le CIL a déjà à sa charge la plupart des étapes évoquées : inventaire des traitements de données personnelles, vérification du niveau de protection, vérification du contexte des partenariats et des clauses contractuelles, sensibilisation des personnels, audits réguliers. Mais il reste de multiples taches à réaliser : Il faut définir la méthode de recueil des informations, d’analyse et de décision (qui prendra, par exemple, la décision de notifier ou pas ?), former le personnel sur ce sujet (comment doit-il réagir ?), séquencer les actions (entre restaurer les données, relever des éléments de preuve, corriger la faille, informer l’autorité de contrôle et les personnes concernées, quelle priorité ?).

Le bilan annuel que le CIL doit présenter au Responsable de traitement et tenir à disposition de la CNIL prendra sans doute plus d’importance, les atteintes aux traitements y étant soigneusement consignées et documentées. C’est d’ailleurs ce que précise l’article modifié par la Commission des Lois du Sénat, qui s’est réunie le 24 février 2010 afin de finaliser le texte qui sera discuté en première lecture le 23 mars 2010⁴⁴ : « En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant informatique et liberté, ou, en l’absence de celui-ci, la Commission nationale de l’informatique et des libertés. Le correspondant informatique et libertés prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l’intégrité et de la confidentialité des données et informe la Commission nationale de l’informatique et des libertés. Si la violation a affecté les données à caractère personnel d’une ou de plusieurs personnes physiques, le responsable du traitement en informe également ces personnes. Le contenu, la forme et les modalités de cette information sont déterminés par décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés. Un inventaire des atteintes aux traitements de données personnelles est tenu à jour par le correspondant informatique et libertés. ».

Le Sénateur Christian Cointat, Rapporteur, précise : « Notre amendement propose de donner un rôle accru au Correspondant informatique et libertés …/… en en faisant le premier destinataire de l’information sur la faille de sécurité délivrée par le responsable de traitement. En l’absence de CIL, c’est évidemment la CNIL qui serait informée. Dans un deuxième temps, le responsable de traitement avertirait par tout moyen les personnes concernées si une atteinte réelle a été portée à la confidentialité de leurs données ». Au final, comme l’indique Maître Pascale Gelly « Même si ce texte n’est pas promulgué, une démarche proactive du Correspondant Informatique et Libertés sur ce sujet semble indispensable. ».

Notifier ou pas ?

La pertinence du positionnement du Correspondant Informatique et Libertés au sein de son entité sera validée dès la première crise : il faudra en effet, très rapidement et sous un stress intense, répondre à une question cruciale : « Devons-nous notifier cette atteinte ? »

À titre d’exemple, devant le manque de précision de la loi, l’université « of California Business and Finance » a implémenté une procédure qui lui permet d’objectiver chaque incident afin de décider si, oui ou non, elle doit notifier⁴⁵. Pour sa part, The Office of Privacy Protection in the California Department of Consumer Affairs recommande sans surprise de prendre en considération les facteurs suivants : sensibilité des données, durée de l’exposition, indications selon lesquelles les données ont été récupérées par des tiers non autorisés, indications sur l’aspect intentionnel de l’incident⁴⁶.

Une bonne communication de crise se prépare. Le CIL devra ainsi obtenir une réponse claire à des questions telles que : Qui répondra aux sollicitations des journalistes ? Qui va informer les ingénieurs commerciaux⁴⁷ ? Qui informera l’autorité de contrôle et en quels termes ? Qui rédigera et signera la lettre adressée aux clients ? Le standard est-il équipé pour recevoir les nombreux appels des clients inquiets ? Quel sera la réactivité du Webmaitre pour afficher les messages adéquats sur le site Corporate et le portail Intranet ? Qui informera les actionnaires et les IRP (Institutions Représentatives du Personnel) ?

À nouveau l’expérience américaine est utile : la plupart des entreprises concernées ont d’ores et déjà préparé une FAQ et un argumentaire. Un marché spécifique de hot-line de crise s’est même créé.

La rédaction de la lettre de notification pourrait demander des talents de contorsionniste : Comment informer sans créer la panique, en se donnant pour priorité d’aider les personnes ? Comment présenter ses excuses tout en suggérant que ce genre d’incident est impossible à éviter ? Comment inciter les clients à changer leur comportement (par exemple en concevant des mots de passe plus résistants) sans leur donner l’impression que l’on cherche à se défausser sur eux ?

On risque fort également de voir fleurir une langue de bois propre à cet exercice. Il est fort à parier que ce qu’un RSSI nomme une intrusion sera sans doute exprimé par « accès non-autorisés à nos systèmes d’informations » … Il est vrai qu’aux Etats-Unis, les entreprises doivent tenir compte du risque constitué par les Class Action et les termes de leur lettre de notification peuvent être retournés contre elles.

Le journaliste Scott Berinato s’est livré à un exercice très intéressant en comparant deux « disclosure letters » qui proviennent d’entreprises du même secteur d’activité ayant expérimenté le même type de brèche : USA Jobs et Monster.com. Il pointe les approches très différentes et met en lumière la difficulté à s’excuser⁴⁸.

De façon très opérationnelle, le simple fait d’avoir à envoyer une lettre à chaque personne concernée peut s’avérer un vrai cauchemar… à partir de quel fichier ? Ce fichier est-il à jour ? Qui va le gérer et traiter les NPAI⁴⁹ ? Certaines lois américaines prévoient le recours à la radio, à la télévision, à la presse et naturellement à Internet, s’il avère que c’est la seule façon d’informer rapidement les personnes⁵⁰.

Ce qui coûte actuellement le plus cher c’est le recueil des éléments de preuve (certifié par des experts) qui permet à l’entreprise de n’avertir qu’une partie de ses clients (et non la totalité) – par exemple si l’expert arrive à prouver que seules les données personnelles de ces clients ont été exposées dans les bases de données.

Il faut aussi se préparer à discuter avec l’autorité de contrôle qui posera une question centrale : « Qu’allez-vous faire très concrètement et quelle sera l’efficacité des mesures que vous comptez prendre ? ». S’il est relativement facile d’y répondre si les mesures correctives sont uniquement d’ordre technique, l’exercice est beaucoup plus délicat si les mesures nécessaires touchent à la formation des quelques milliers de collaborateurs⁵¹. Chacun connaît la difficulté à juger objectivement de l’efficacité d’une campagne de sensibilisation à la sécurité. Un véritable « plan de survie » doit donc être soigneusement préparé.

Quels impacts envisageables ?

D’un point de vue technique, cette mesure va accélérer la mutation d’une défense périmétrique vers une sécurité de type Data Centric⁵². Comme aux USA, on commence à voir apparaître en France des Responsables de la Sécurité des Informations. Plusieurs marchés, aujourd’hui de niche, devraient connaître une forte croissance : IAM⁵³, DLP⁵⁴, ERM⁵⁵, monitoring et traçabilité, gestion des configurations, gestion des vulnérabilités et des correctifs de sécurité, chiffrement, sécurité des bases de données, anonymisation, destruction des supports papier, etc. On peut s’attendre à une vague de consolidation parmi les acteurs de la sécurité informatique : fin 2009 IBM s’est ainsi offert un acteur spécialisé dans la protection des bases de données.

Le besoin de traçabilité va être renforcé : à ce titre remarquons que la jurisprudence Editions Neressis c/ Arkadia a peu été commentée : « Le tribunal n’a, en revanche, pas estimé que le délit d’extraction frauduleuse d’une base de données était constitué car les éditions Neressis n’avait pas communiqué de données chiffrées justifiant le caractère quantitativement substantiel de l’extraction reprochée⁵⁶. »

On devrait également observer une augmentation des missions de service : tests de pénétration, audit de sécurité, analyse de valeur, analyse de risque, accompagnement à l’une des certifications de sécurité, sensibilisation renforcée des personnels, revue des PSSI⁵⁷, optimisation des chartes, etc.

Il faudra sans doute faire monter en compétences les équipes internes : « Peu d’entreprises sont aujourd’hui dotées de personnels compétents en forensic » précise par exemple Bernard Foray, tandis qu’Éric Doyen, RSSI, du Crédit Immobilier de France et président du club ISO 27001⁵⁸ prévoit une accélération des démarches de certification, aussi bien pour les organisations que pour les hommes. La classification des données, avec leur niveau de sensibilité, va mettre en relief les nécessaires synergies entre le CIL (qui tient à jour le registre des traitements de données à caractère personnel), le RSSI, le Risk Manager et – si l’organisme en est doté – la personne en charge de l’Intelligence économique.

Au-delà de la prise de conscience par les directions de l’importance que va prendre la saine protection des données personnelles, il est probable également que les délégations de pouvoirs soient revues, compte-tenu des risques d’ordre pénal⁵⁹.

Les contrats avec les partenaires et sous-traitants (hébergements, Cloud Computing, TMA, développement offshore, etc.) vont être passés à la paille de fer⁶⁰ : faut-il y insérer d’ores et déjà une obligation pour ceux-ci d’être partie prenante dans la détection des atteintes et leur notification ? L’incident vécu par la Smeno appartient à cette catégorie, le système incriminé étant exploité et sécurisé par un tiers. Verra-t-on, si cette proposition est adoptée, des entreprises se retourner contre les éditeurs à l’origine des failles de sécurité ou vers leurs partenaires et sous-traitants ? Le SANS Institute vient de publier un modèle de contrat⁶¹ qui obligerait les développeurs à garantir que leur code est exempt des défauts de sécurité les plus fréquents, que leurs ingénieurs sont formés aux techniques de développement sécurisé et à s'engager à fournir à leurs clients dans les « meilleurs délais » un correctif efficace lorsqu'une vulnérabilité est révélée.

Les évaluations de préjudices pourraient se nourrir des études américaines qui indiquent des coûts de l’ordre de 200 $ par enregistrement client exposé, dont la perte d’image et de parts de marché induites. Ces coûts sont généralement ventilés entre coûts directs (temps hommes/jours passés à traiter l’incident, frais postaux, mise en place de la hotline, recours à des experts, avocats, huissiers, remises exceptionnelles accordées aux clients pour les conserver, etc.) et les coûts indirects⁶² (turn-over des clients, commandes annulées, perte d’image, augmentation du coût d’acquisition d’un nouveau client, campagne de sensibilisation des personnels, etc.). Va-t-il se créer une offre en termes d’assurances pour couvrir ces risques ?

Notera-t-on, comme aux Etats-Unis, un effet de bord sur les purges de données ? Il est vrai que la donnée la plus facile à sécuriser est celle que l’on a purgée… à la réflexion, celle que l’on n’a pas collectée est encore plus sûre. Parions également que l’obligation de notifier les atteintes aux données personnelles va accélérer la désignation de Correspondants Informatique & Libertés. Ainsi, l’ISEP, qui propose avec son Mastère Spécialisé⁶³ la seule formation diplômante, observe une forte augmentation de ses promotions d’experts. Le pourcentage de RSSI postulant pour être désigné devrait également augmenter, et si les deux fonctions ne sont pas assurées par la même personne, la synergie entre CIL et RSSI va être renforcée.

N’est-ce pas là également un levier pour les CIL d’obtenir plus de reconnaissance, de soutien et de moyens ? C’est le sentiment de l’une des titulaires du Mastère « Informatique et Libertés », Aurélie Goyer, juriste au Conservatoire des Arts et Métiers qui, dans sa thèse professionnelle intitulée « Donne-t-on les moyens au Cil d’être efficace⁶⁴ » porte son intérêt sur cette proposition : « …cela devrait donc permettre d’élever le niveau général des correspondants – qui auront plus de temps et de moyens à consacrer au pilotage de cette nouvelle remontée des failles de sécurité – et par effet de mimétisme d’entrainer une augmentation des désignations, une meilleure sécurisation des données et enfin un respect des durées de conservation. ».

D’ores et déjà, l’une des suggestions de l’AFCDP a été entendue : sans ses vœux à l’occasion de la nouvelle année, Paul-Olivier Gibert, Président de l’association, apporte une information à ce sujet : « Notre association a été à chaque fois consultée et a présenté votre point de vue. Tout en se félicitant de cette proposition, nous avons suggéré que, si le CIL devait être obligatoire, cette obligation soit fondée, dans l’esprit de la loi de 2004, sur des critères qualitatifs, tels que la mise en œuvre de traitements soumis à autorisation préalable. Par ailleurs, si la notification des défaillances de sécurité s’impose, nous avons demandé que le CIL émette un avis⁶⁵ ».

Cette solution ne permettrait-elle pas d’alléger la charge de la CNIL ? Gageons que lors des débats, ressorte la question importante de la protection du Correspondant : pourra-t-il réellement, si son analyse l’incite à faire cette proposition à la direction de l’organisme concerné, imposer la notification auprès de la Commission ? Ne risque-t-il pas faire l’objet de pression pour ne pas faire état d’une atteinte ? De même le bilan annuel que le CIL doit présenter au responsable de traitement chaque année selon le décret n°2005-1309 du 20 octobre 2005 (article 49) va sans doute s’enrichir d’un chapitre « Atteintes aux traitements de données personnelles et Notifications ».

De son côté, la Commission nationale de l’informatique et des libertés devrait poursuivre le renforcement de son service d’expertise technique et l’utilisation de l’axe « sécurité » lors de ses contrôles, eux-mêmes toujours en forte augmentation. Va-t-elle user de son récent pouvoir de certification pour valider des solutions techniques de chiffrement qui permettrait éventuellement – comme aux Etats-Unis – d’être exempté de notification ? A minima son rôle sera déterminant dans la définition des indispensables précisions techniques et procédurales.

Bernard Foray signale deux autres points concernant la CNIL : « En cas de promulgation de cette mesure, il faut donc « armer » l’autorité compétente pour que, d’une part, le droit à l’oubli après réparation puisse être effectif et que, d’autre part, les entreprises aient la garantie de la sécurité et de la confidentialité des informations et des preuves qu’elles transmettent à cette autorité. ».

Restent à mesurer la charge que devront supporter les entreprises françaises pour se préparer à une telle obligation. En pourcentage, l’effort des PME-TPE, soumises aux mêmes contraintes, sera plus important. La mesure s’appliquera-t-elle à tous les acteurs de façon indistincte, ou bien peut-on imagine que, par le biais d’une définition des données directement personnelles concernées, on arrive à privilégier certains secteurs (en se focalisant, par exemple, sur le NIR, les références bancaires ou les données clairement identifiées comme « de santé ») ?

Efforts de sécurité : La France à la traîne ?

Il va être intéressant d’observer en 2010 l’opposition entre, d’une part, la « montée des périls » et l’éventuelle obligation de notifier et, d’autre part, le recul des budgets affectés à la sécurisation des systèmes d’information dû à la crise. Quelle branche de cette paire de ciseaux sera la plus forte ?

La récente étude de PricewaterhouseCoopers sur la protection de l’information et la sécurité des systèmes d’information⁶⁶ montre que les décideurs français ont une des perceptions des risques la moins alarmiste sur tous les plans : Seuls 35 % d’entre eux comptent maintenir ou augmenter leur budget sécurité en 2010 (contre 63 % au niveau monde), 55 % des directions souhaitent donner la priorité à la protection des informations (contre 84 %) et 25 % estiment que les problèmes liés à la sécurité de l’information ont augmenté (contre 43 % pour l’ensemble du panel). Qu’est-ce qui explique un tel décalage ?

Si la France se dit moins touchée par les incidents de sécurité, l’étude indique que 60% des répondants français ne savent pas dire s’ils ont subi des incidents de sécurité (contre 39% au niveau mondial). En conclusion le cabinet prophétise que les « leaders vont s’efforcer de ne pas sacrifier dans leur budget la protection des informations stratégiques, tout en étant plus exigeants quant aux mesures de sécurisation et à leur efficacité ». Les pays qui pratiquent déjà la notification des data breaches ont quelques longueurs d’avance en ce domaine.

On retrouve des indications similaires dans l’étude intitulée « Le paradoxe de la sécurité » commandée par McAfee : la France présenterait le plus fort pourcentage des moyennes entreprises ayant gelé ou réduit leur budget de sécurité informatique en 2009 (85 % contre 74 % au Royaume-Uni et 77 % aux USA). Dans le même temps, 26 % des « moyennes entreprises » françaises déclarent avoir subi au moins une violation de leurs données au cours de l’année passée : C’est le chiffre le plus bas (contre 34 % en Espagne ou 32 % aux USA). La France pointe également à la dernière place en ce qui concerne les démarches proactives (60 % du temps passé à essayer de réparer les dégâts plutôt que de les prévenir). Enfin Selon l’étude « Human Factor in Laptop Encryption⁶⁷ », commandée par Absolute Software et réalisée par le Ponemon Institute, la moitié des cadres français désactiveraient la solution de chiffrement installée par leur entreprise sur leur PC portables, contournant ainsi volontairement la politique de sécurité.

Pour Bernard Foray « si le droit au respect de la vie privée est inscrit dans notre texte constitutionnel et compte-tenu de l’accélération des progrès technologiques permettant une numérisation intensifiée, la loi et ses décrets ne pourront pas se contenter de n’être qu’une « incitation » au renforcement de la sécurité des données ». L’effectivité d’une loi se mesure aussi à la richesse de ses jurisprudences, et sur ce point il faut bien constater la rareté des condamnations de dirigeants pour manquements à leurs obligations de sécurité de données personnelles au titre de la loi Informatique & Libertés⁶⁸.

Création d’un groupe de travail AFCDP

Le 23 mars 2010 après-midi la proposition de loi Détraigne-Escoffier passera en première lecture au Sénat. Le matin même, en les mêmes murs, prenant le sujet à bras le corps, l’AFCDP tiendra une conférence⁶⁹ sur ce sujet afin de lancer les réflexions de son nouveau groupe de travail « Notification des atteintes aux traitements de données personnelles ». Des entités ayant pris l’initiative d’informer les personnes d’une faille ayant exposé leurs données personnelles y porteront témoignage et les principaux acteurs concernés s’y exprimeront, dont le responsable de l’expertise technique de la CNIL.

Ce groupe s’est vu assigné par le conseil d’administration de l’association des CIL deux objectifs principaux : d’une part préparer les membres de l’association à cette éventualité, en apprécier la difficulté, collecter et analyser les référentiels étrangers afin de définir une démarche et un budget prévisionnel ; d’autre part élaborer des recommandations pour les CIL sur l’approche à tenir, même en l’absence d’obligation.

En complément, les travaux seront utiles à l’AFCDP pour définir sa position et émettre une opinion sur l’efficacité de cette mesure ; pour se préparer aux auditions dans le cadre des travaux préparatoires au décret ; pour affirmer le rôle pivot du CIL en ce domaine. Fort de la diversité de ses membres, l’association compte traiter le sujet sous tous ses angles (juridiques, organisationnels, communication, responsabilités, assurances, image, techniques, etc.) et bénéficier du soutien de ses partenaires IAPP et DGG (association allemande des Beauftragter für Datenschutz).

Le plus important dans la proposition sénatoriale réside dans le contenu, la forme et les modalités des notifications qui seront « déterminés par décret en Conseil d'État pris après avis de la Commission nationale de l'informatique et des libertés ». Ce nouveau groupe de travail contribuera à faire entendre la voix des professionnels directement concernés et confrontés aux réalités du terrain. Les travaux s’annoncent passionnants.

Pourra-t-on y dénicher des effets de bord insoupçonnés ? Quels seraient, par exemple, les points de friction entre cette nouvelle disposition et la loi Godefrain ? Le CIL sera-t-il amené, dans certaines circonstances, à faire usage de son devoir d’alerte ? Lors de la découverte de la faille, où mettre la priorité : sur le recueil de forensics⁷⁰ pour lutter contre la cybercriminalité, ou sur la procédure de notification en elle-même ? Par ailleurs, si l’adresse IP est définie par la loi comme une donnée personnelle et qu’il faut notifier toute violation de donnée personnelle, comment résoudre ce paradoxe⁷¹ ?

Compte-tenu de l’ampleur des chantiers à mener à bien au sein des entreprises et collectivités concernées, il est également probable que les travaux du groupe mettent en évidence une nécessaire anticipation, voire une durée d’effectivité de la nouvelle loi après promulgation plus longue que les six mois évoqués : la loi du Massachusetts MA 201 CMR17 qui devait à l’origine être opérationnelle en mai 2009 a vu sa date d’application repoussée au 1er janvier 2010 pour laisser le temps aux entreprises de s’y conformer.

Au final, si la proposition des sénateurs Détraigne et Escoffier est promulguée, c’est un véritable changement de paradigme qui s’annonce en matière de sécurisation des données personnelles.

---

1 Lettre Radisson Hotels & Resorts http://www.radisson.com/openletter/openletter-faq.html

2 SB 1386, Personal Information Privacy

3 «…or is reasonably believed to have been, acquired by an unauthorized person ». On rappellera que le fait d’être exposé à une attaque ne signifie pas automatiquement que celle-ci a été réalisée. Il existe des failles, par exemple, qui ne sont pas exploitables.

4 Le site Web National Conference of State Legislatures (www.ncsl.org) comporte un tableau à jour, intitulé « State Security Breach

Notification Laws »

5 Fla. Stat. §§ 817.5681(1)(a), (4).

6 N.C. Gen. Stat. § 75-65(a); Ohio Rev. Code Ann. § 1349.19(B)(1).

7 Ne verra-t-on pas également des opérations de « phishing » papier ? Faux courrier de notification avec le logo d’une banque, et incitant à changer en urgence son mot de passe sur un site spécifique ?

8 Auteur du livre « La fonction RSSI - Guide des pratiques et retours d'expérience », Dunod

9 On estime cependant qu’un quart des pertes de données sensibles seraient dues à un manque de gestion des documents imprimés. La dernière étude publiée par l’Identity Theft Resource Center évoque 27%.

10 www.privacyassociation.org

11 Dans de nombreux Etats, la réponse est positive.

12 La plupart du temps, la réponse à cette question est négative, avec toutefois une forte recommandation de faire signer une clause de

confidentialité aux personnels concernés, et naturellement de prendre toute disposition (ségrégation des rôles et des accès) pour qu’un tel incident ne se reproduise pas.

13 La restauration de la base client, à partir d’une sauvegarde, répond à cette question. Mais il convient au préalable de faire relever avec soin tous les éléments de preuve (forensics). Pas facile quand la loi vous oblige à intervenir avec célérité et que la faille est découverte un vendredi soir…

14 Ce cas est prévu. De nombreux textes incitent à utiliser des passages Presse, radio et télévision !

15 Une class action désigne un recours entrepris pour le compte d’un ensemble de personnes identifiées ayant subi des préjudices individuels qui ont été causés par le fait d'un même auteur et dont l'origine est commune.

16 www.verizonbusiness.com

17 Un groupe de réflexion « Assurances – Mutuelles » de l’AFCDP travaille actuellement sur le délicat sujet des durées de conservation.

18 « Trial by Fire, - What global executives expect of information security in the middle of the world’s worst economic downturn in thirty

years », PriceWaterHouseCoopers, October 209

19 www.afcdp.net

20 http://leahy.senate.gov/press/200907/072209b.html

21 Plutôt que de « personne », les textes américains parlent plutôt de « clients », ce qui illustre bien les différences d’approche entre l’Ancien et le Nouveau continent.

22 Rapport « Intelligence économique, compétitivité et cohésion sociale » du député Bernard Carayon.

23 « high risk or significant harm »

24 Le Te Mana Matapono Matatapu (Privacy Commissioner de Nouvelle-Zélande) met en ligne son guide « Pricacy breach guideline key

steps » : http://www.privacy.org.nz/privacy-breach-guidelines-2/

25 « Section 21 places an obligation on companies to notify the individual of unauthorised use or disclosure of personal information in order to allow the person to take protective measures. If an employee laptop containing personal information is stolen, the employer will have to

inform every person whose data is at risk »

26 Toutefois, en 2008, l’autorité de contrôle australienne a publié un très intéressant « Guide to handling personal information security breaches » dans l’optique d’une modification de la loi : http://www.privacy.gov.au/materials/types/download/8628/6478

27 http://www.ico.gov.uk/upload/documents/library/corporate/research_and_reports/breach_notification_spreadsheet_jan09.pdf

28 http://www.ico.gov.uk/upload/documents/library/data_protection/notices/bellgrange_undertaking.pdf

29 Signalons le document « Breach Notification Guidance » : http://www.dataprotection.ie/viewdoc.asp?DocID=901&ad=1

30 Le texte, en Allemand : http://www.parlament.gv.at/PG/DE/XXIV/ME/ME_00062/pmh.shtml

31 « Délégué à la protection des données à caractère personnel – Bilan européen comparé et prospective”, présenté lors des 5ème  Assises du

Correspondant Informatique et Libertés.

32 Cf. le référentiel de constitution des dossiers de demande d'agrément des hébergeurs de données de santé à caractère personnel, accessible librement sur le site www.asipsante.fr

33 Rapport « Vie privée à l’heure des mémoires numériques. Pour une confiance renforcée entre citoyens et société de l'information »

www.senat.fr

34 Enregistrée sous le n° 93 www.senat.fr/leg/ppl09-093.html

35 La progression de ce texte peut être suivie sur la page http://www.afcdp.net/La-proposition-de-loi-Detraigne

36 La Commission des Lois du Sénat a supprimé le 24 février 2010 le passage « particulièrement lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite », expliquant que la proposition de loi concerne spécifiquement la protection des données personnelles, pour laquelle la CNIL est compétente, et non la sécurité de l’ensemble des réseaux.

37 www.priv.gc.ca

38 Rapport n° 330 (2009-2010) de M. Christian Cointat, fait au nom de la commission des lois, déposé le 24 février 2010

http://www.senat.fr/rap/l09-330/l09-3301.pdf

39 Cf. article « Plus de 4.000 adresses email dévoilées par une mutuelle étudiante », par Guerric Poncet, Lepoint.fr

40 Le CPO est vu comme un stratège, un « évangéliste » sur les sujets touchant à la protection de données personnelles alors que le CIO est davantage perçu comme un architecte (il s’assure, par exemple, de la bonne application des consignes de sécurité), ces deux professionnels travaillant naturellement en étroite coopération, de même que les CIL et les RSSI.

41 Le projet de loi fédérale DATA indique clairement l’une des priorités : « The identification of an officer or other individual as the point of contact with responsability for the management of information security ».

42 Loi n° 2004-801 du 6 août 2004 (Journal officiel du 7 août 2004) – En ligne sur le site de la CNIL

43 Décret n°2005-1309 du 20 octobre 2005 – En ligne sur le site de la CNIL

44 http://www.senat.fr/commission/loi/amdcom/09-093.pdf

45 University of California Business and Finance IS-3 Electronic Information Resources Section IV.D

46 http://www.privacy.ca.gov/recommendations/recomend.htm

47 Pour leur éviter la désagréable expérience d’être informé par son prospect ou client…

48 The Dos and Don'ts of Disclosure Letters, Scott Berinato, CSO Disclosure Series, 6 février 2008

49 N’habite plus à l’adresse indiquée

50 A notre connaissance cette approche n’a pas encore été utilisée.

51 M. Alex Türk a indiqué à la commission des lois du Sénat le 23 février 2010 qu’il convenait de rappeler que le responsable de l’entreprise avait la charge de rétablir la situation en cas de faille de sécurité.

52 Du mur d’Adrien à la ligne Maginot en passant par le Limes romain et la muraille de Chine, l’histoire a montré l’inanité de la seule défense périmétrique.

53 IAM pour Identity and Access Management

54 Data Loss (ou Leakage) Prevention

55 Entreprise Right Management : gestion des usages lies aux documents, aux informations (durée de vie, interdiction de diffuser ou d’imprimer le document, etc.)

56 http://www.legalis.net/breves-article.php3?id_article=2470

57 La politique de sécurité des systèmes d'information est un plan d'actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l'organisme.

58 www.club-27001.fr

59 Code Pénal (Partie Législative) Section 5 « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques », Art. 226-17 : « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 € d’amende ».

60 Au titre de l’article 35 de la loi dite « Informatique et Libertés », rappelons que le fait de sous-traiter n’exonère en rien le responsable de traitement de ses obligations de sécurité.

61 http://www.sans.org/appseccontract

62 Si cette approche est pertinente dans le secteur concurrentiel, elle ne fait pas sens pour un hôpital ou une mairie : conduit aux urgences, vais-je m’enquérir du « palmarès » en termes de notifications du CHU vers lequel l’ambulance m’achemine ? Vais-je déménager si j’apprends que ma mairie a laissé échapper les données personnelles de ses concitoyens ? Il est vrai que je peux m’en souvenir lors du prochain scrutin…

63 www.isep.fr

64 www.formationcontinue-isep.fr/informatiqueetlibertes/informatique-et-libertes-theses

65 http://www.afcdp.net/2009-une-annee-importante-2010-une

66 « Trial by Fire, - What global executives expect of information security in the middle of the world’s worst economic downturn in thirty

years »

67 www.absolute.com/human-factor - Février 2010

68 La Cour de cassation de Paris a confirmé en 2001 les amendes de 50.000 et 30.000 francs, infligées par la Cour d’appel d’Aix en

Provence respectivement au président et au directeur d’un syndicat interprofessionnel de médecins du travail, au motif que « le système informatique mis en place n’assurait pas une protection suffisante de la confidentialité des données enregistrées » et que « toutes les précautions utiles en vue d’empêcher la communication des informations médicales aux membres du personnel administratif, tiers non autorisé, n’avaient pas été prises (http://lexinter.net/JPTXT2/negligence_et_acces_a_des_donnees_protegees.htm - Négligences et accès à des données protégées).

69 http://www.afcdp.net/23-mars-2010-Reunion-de-lancement

70 On appelle Computer forensics la démarche qui permet de recueillir des éléments de preuve au sein des systèmes d’information, en veillant à en conserver la valeur.

71 Dans chaque paquet IP, l'en-tête spécifie le couple « adresse IP du destinataire, adresse IP de l'émetteur » afin de permettre au protocole de routage de router le paquet correctement et à la machine destinataire de connaître l'origine des informations qu'elle reçoit. Par conception, l’adresse IP est destinée à être publiée. Il faudra sans doute – comme aux Etats-Unis – définir une liste explicite des données personnelles concernées, probablement uniquement des données directement personnelles.