La publicité des failles de sécurité : vers davantage de transparence en cas de cyberattaque

Dans une délibération du 13 octobre 2016, qui a été rendue publique, la Commission Nationale Informatique et libertés (ci-après, la « CNIL ») prenait acte d’une faille de sécurité ayant entrainé une fuite de données sur le site du Parti Socialiste et faisait état des manquements à l’obligation de sécurité des données constatés au sein du Parti.

Par un courrier du 27 octobre 2016, le G29 (organe consultatif rassemblant les autorités de contrôle européennes sur la protection des données) a exprimé publiquement ses préoccupations concernant la faille de sécurité de 2014, par laquelle les données personnelles d’au moins 500 millions d’utilisateurs Yahoo! Inc., dont un nombre significatif d’européens, ont été volées.

A l’instar de Yahoo, du Parti Socialiste ou encore de l’enseigne Cdiscount, la presse fait régulièrement état de failles de sécurité majeures subies par des entreprises ou organismes publics, venant ainsi sensibiliser l’opinion publique quant à l’importance de la sécurité accordée aux données à caractère personnel mais aussi fragiliser la confiance en ces derniers.

Il semblerait que de telles révélations, pourtant préjudiciables à la réputation des entreprises et organismes devraient se généraliser dans les mois et années à venir.

En effet, le législateur européen souhaite faire de la publicité des failles de sécurité un principe directeur du nouveau droit des données à caractère personnel et de la lutte contre la cybercriminalité.

Dans un souci de responsabilisation des entreprises, le Règlement européen vient soumettre l’ensemble des responsables de traitement à l’obligation de (i) notifier toute faille de sécurité aux autorités nationales compétentes mais aussi d’(ii) informer les personnes physiques concernées par une telle faille.

Cette obligation de notification n’est pas nouvelle. Prévue pour la première fois dans le Paquet Télécom européen, transposé en droit français par une ordonnance n°2011-1012 du 24 août 2011 (article 34 bis de la loi n°78-17 du 6 janvier 1978), cette obligation ne concernait à l’origine que les violations de données à caractère personnel et les seuls fournisseurs de services de télécommunication électronique.

Sa généralisation à l’ensemble des acteurs économiques sera effective à compter du 25 mai 2018, date d’entrée en vigueur du Règlement européen et devrait ainsi contribuer à assurer une plus grande implication de la part des responsables de traitement dans la mise en conformité et notamment au regard de leur obligation de sécurité.

1/ L’obligation de notifier toute faille de sécurité à l’autorité de contrôle

L’article 33 du Règlement prévoit qu’en cas de violation de données à caractère personnel, le responsable de traitement devra notifier cette dernière à l’autorité de contrôle compétente (la CNIL) « dans les meilleurs délais et si possible 72 heures au plus tard après en avoir pris connaissance, à moins que la violation ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ».

Il est précisé que toute notification effectuée au-delà du délai maximum de 72 heures devra être motivée afin d’expliquer le retard pris dans l’exécution de l’obligation de notification.

Cette notification devra être documentée par le responsable de traitement et préciser:

-       la nature de la violation de données à caractère personnel (catégories et nombre de personnes impactées) ;

-       les catégories et le nombre d’enregistrements de données à caractère personnel concernés ;

-       l’identité et les coordonnées du délégué à la protection des données ou de tout autre point de contact auprès duquel la CNIL pourra obtenir des informations supplémentaires ;

-       les conséquences probables de cette violation ;

-       les mesures prises par le responsable de traitement ou que ce dernier propose de prendre afin de remédier à la violation et/ou d’atténuer les éventuelles conséquences négatives.

Au-delà de cette obligation de notifier l’autorité de contrôle compétente, les entreprises devront également informer les personnes physiques impactées par une telle faille (clients, salariés, prospects, etc. )

2/ L’obligation d’informer individuellement les personnes physiques concernées par une faille de sécurité

L’article 34 prévoit que « lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable de traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais ».

Autant dire qu’il sera très difficile de démontrer une telle absence de risque pour les droits et libertés des personnes. Il est néanmoins prévue une autre exception lorsque le responsable de traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées, telles que le chiffrement des données par exemple. (Art. 34.3.a)

La communication devra être effectuée dans les meilleurs délais (il n’est pas fait état d’un délai maximum) et individuellement, sauf à ce que cela exige de la part du responsable de traitement des « efforts disproportionnés ». Dans ce cas, la communication sera faite publiquement. Mais il sera compliqué de faire état du caractère disproportionné des efforts réalisés par le responsable de traitement qui dispose en principe quasiment toujours, a minima d’une adresse email ou d’un numéro de téléphone.

A l’instar de la notification faite à l’autorité compétente, la communication devra préciser (i) l’identité et les coordonnées du Délégué à la protection des données ou de tout autre contact privilégié, (ii) les conséquences probables de la violation des données, (iii) les mesures prises par le responsable de traitement suite à la faille identifiée.

L’article 34 du Règlement précise que si une telle communication n’a pas été faite spontanément par le responsable de traitement, l’autorité de contrôle pourra, au regard de la gravité de la situation, exiger de ce dernier qu’il y procède.

Cette obligation de notification applicable à toute faille de sécurité pourra être assortie d’une notification additionnelle auprès de l’ANSSI pour certains opérateurs tels que les « opérateurs de services essentiels » (fournisseurs d’énergie, d’eau potable, les services bancaires, transports, santé, etc.) et les « fournisseurs de services numériques » (places de marché, moteurs de recherches, prestataires de services cloud).

En effet, la directive n°2016-1148 du 8 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et systèmes d’information  (dite « Directive NIS ») prévoit, en son article 14 que ces deux nouvelles catégories d’opérateurs « sensibles » devront notifier à l’ANSSI, sans délai, les incidents ayant un impact significatif sur la continuité des services essentiels. Cette obligation vise l’ensemble des failles, au-delà des seules failles affectant les données à caractère personnel.

Avec le Règlement européen, les responsables de traitement devront rendre des comptes aux autorités compétentes mais aussi à leurs clients et salariés en cas d’atteinte à leur système d’information, ce qui constitue, au-delà de la sanction financière encourue, une sanction implacable venant impacter directement leur réputation. Il est par conséquent, urgent pour ces derniers d’anticiper et de limiter les risques de cyber-attaques, en  mettant en place une véritable politique de sécurité du système d’information (PSSI), laquelle devra être assortie d’une politique de protection des données à caractère personnel.

Aurélie Klein

Print FriendlyImprimer cet article

Mots-clefs : , , , , , , , , , ,

Laisser une réponse