L’encadrement juridique des failles de sécurité.

Une faille de sécurité est une vulnérabilité au sein d’un système informatique pouvant être exploitée afin de porter atteinte à l’intégrité de ce système. L’atteinte en question peut constituer une altération du fonctionnement du système, mais elle peut également concerner les données contenues dans ce système. Dans le cas des données personnelles, on parle de violation des données personnelles, à savoir la perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite.

1- La problématique des données personnelles : les obligations légales.

Parallèlement à l’importance croissante des données personnelles, nous subissons tous de plus en plus de pratiques illégales voire criminelles telles que le ransomware visant à chiffrer les données d’un utilisateur et à exiger une rançon auprès de lui pour obtenir le déchiffrement de celles-ci.

Avec l’entrée en application du Règlement Général à la Protection des Données (RGPD), les mesures relatives à la sécurité des traitements de données personnelles s’accentuent en Europe.

a- L’obligation d’assurer la sécurité du traitement

L’article 32 prévoit désormais une obligation pour le responsable du traitement ou le sous-traitant de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, compte tenu de divers facteurs tels que la nature et les finalités du traitement, les risques et les coûts de mise en œuvre de ces mesures. Ce texte évoque notamment la pseudonymisation et le chiffrement comme pouvant représenter des mesures techniques et organisationnelles appropriées.

Pour autant, des failles de sécurité peuvent également être détectées dans les protocoles de chiffrement, comme le montre l’exemple récent des protocoles PGP et S/MIME, utilisés dans le chiffrement des mails.

Il conviendra donc pour les responsables de traitement de se montrer particulièrement vigilant quant à la sécurité effective de leurs traitements et aux démarches entreprises afin de s’assurer de l’adéquation entre les données détenues, les opérations qui en sont faites et le niveau de sécurité mis en place. Une démarche réfléchie, concertée, testée et documentée devra être partagée dans l’entreprise.

b- Les obligations de notification et de communication

Le RGPD (articles 33 et 34) a instauré une obligation de notification, obligeant les responsables de traitement à notifier toute violation de données personnelles à l’autorité de contrôle compétente, et ce dans un délai de 72 heures à compter de sa découverte.

Cette obligation est doublée d’une obligation de communiquer dans les meilleurs délais cette violation auprès de la personne concernée en cas de risque élevé pour les droits et libertés d’une personne physique. En cas de doute, il est conseillé de notifier à l’autorité de contrôle, qui appréciera alors la nécessité d’informer les personnes concernées.

Le responsable de traitement doit donc être en mesure d’identifier rapidement une faille de sécurité et les risques qu’elle représente, grâce à des outils techniques appropriés. Il doit ensuite procéder à la notification selon la procédure déterminée par l’autorité de contrôle compétente, et devra impérativement justifier tout retard éventuel dans cette notification.

Plusieurs autorités de contrôle (CNIL, ICO¹ ,…) ont établi des formulaires-types de violation de données. La CNIL a également mis en place un télé-service de notification de violations, et a d’ores et déjà indiqué que le document récapitulatif de la notification à la CNIL permettait de répondre à l’obligation de documentation interne.

2- La mise en place d’une politique interne face aux failles de sécurité

Au vu des obligations qui leur incombent, les responsables de traitement devront être en mesure de justifier leur politique en matière de sécurité, qui devra prévoir l’organisation interne de l’entreprise (mise en place de process en cas de découverte d’une faille de sécurité, la gestion des habilitations, le niveau de sécurité selon le type de données ou l’opération concernée, la sécurité physique, matériel, les politiques de suppression des données, etc.), les modalités de communication vis-à-vis des utilisateurs, mais aussi les relations contractuelles conclues avec des acteurs extérieurs.

Rappelons que tous les contrats conclus avec les sous-traitants doivent comporter certaines mentions obligatoires, détaillées à l’article 28 du RGPD.

Enfin, la preuve du respect des obligations liées à la sécurité des traitements impliquera notamment la mise en place d’un cahier des incidents (distinct du registre des traitements) comprenant l’ensemble de la documentation relative à ces incidents. Cette documentation doit comprendre la nature de la violation, les catégories et le nombre approximatif des personnes concernées par la violation et des enregistrements de données personnes concernés, les conséquences probables de la violation de données, et les mesures prises ou envisagées pour atténuer les éventuelles conséquences négatives ou pour éviter que l’incident se reproduise.

3- Sanctions légales

En cas de non-respect des obligations précitées, les autorités de contrôle (CNIL² en France) ont la possibilité de sanctionner tout responsable de traitement par le biais d’amendes administratives, pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaire annuel mondial (Article 83-4 a) du RGPD).

Par ailleurs, en droit français, le législateur a sanctionné pénalement tout accès ou maintien frauduleux dans un « système automatisé de traitement de données » (STAD), dont la définition est interprétée largement, de deux ans d’emprisonnement et 60 000 € d’amende (Article 323-1 du Code Pénal).

Cette peine est portée à 3 ans d’emprisonnement et 100 000 euros d’amende lorsqu’il s’ensuit une modification ou suppression de données, ou une altération du fonctionnement de ce système.

Blandine Poidevin
Avocat associé
Cabinet Jurisexpert
www.jurisexpert.net

^{1.Information Commissioner’s Office
2.Commission Nationale de l’Informatique et des Libertés}