« J’ai l’intention d’introduire une obligation de notification des atteintes à la sécurité des données – comme je l’ai fait pour les télécoms et l’accès Internet quand j’étais commissaire en charge des télécommunications, mais cette fois pour tous les secteurs, y compris les services bancaires et financiers. »
Viviane Reding, juillet 2011
Été 2011 : alors que la presse bruissait des déboires sécuritaires de Sony, Sega ou autres FBI, la profession de foi de la commissaire européenne en charge de la justice est passée relativement inaperçue mais elle présage un réel changement dans les pratiques des entreprises quant à leur gestion des atteintes à la sécurité des données.
Ce changement est une réalité dès aujourd’hui pour les fournisseurs d’accès et les opérateurs télécoms depuis l’adoption du Paquet Télécom et sa déclinaison attendue en droit français.
L’obligation de notification bicéphale du Paquet Télécom : sécurité et données à caractère personnel
Noël 2009 : la Commission Européenne dépose au pied du sapin des législateurs nationaux un volumineux paquet d’exigences. Composé de deux directives, ce Paquet Télécom vient mettre à jour et modifier le précédent paquet de 2002, essentiellement retranscrit dans le droit français via le Code des Postes et des Communications Électroniques (CPCE). Parmi les nouveautés, figure la médiatique obligation de sécurité à travers notamment deux obligations de notification, s’appliquant respectivement à la sécurité des réseaux et à la protection des données à caractère personnel.
Sans doute frémissant encore de la cyberattaque ayant paralysé l’Estonie en 2007, le législateur européen fait en effet de la sécurité des réseaux de communication une obligation inconditionnelle du métier de fournisseur de réseau. Celui-ci est alors tenu de mettre en place un niveau de sécurité adapté au risque existant et de se soumettre à des audits indépendants. A ceci s’ajoute un strict devoir de transparence en la matière vis-à-vis de l’autorité concernée. Ainsi, tout incident de sécurité ayant un impact significatif sur le fonctionnement des réseaux et systèmes devra être porté à sa connaissance, le public n’étant informé que s’il est jugé d’utilité publique de le faire. Cette obligation est très certainement une première étape vers la création d’un standard de sécurisation européen des réseaux.
La seconde obligation de notification vise quant à elle à inciter les fournisseurs et opérateurs à une vigilance accrue en matière de protection des données. Elle impose ainsi de notifier sans retard indu l’autorité compétente de toute violation de données à caractère personnel, c’est-à-dire de toute violation entrainant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé aux données. Les impacts ne sont pas nuls. Ils deviennent même considérables lorsque l’on ajoute que les abonnés ou personnes concernées doivent également être informées dès lors que cette violation peut avoir un impact sur eux
Quid des opérateurs et FAI français ?
En France, une loi votée en mars 2011 autorise le gouvernement à transcrire ce Paquet Télécom dans le droit national via une ordonnance, ce qui devait intervenir avant fin septembre. C’est chose faite depuis hier, l’ARCEP ayant publié sur son site l’Ordonnance le transcrivant en droit français (cf. encadré en fin d’article).
Ainsi, si les modalités doivent encore en être précisées, les notifications de violation de traitement à caractère personnel devront être effectuées auprès de la CNIL, qui appréciera les efforts déployés par les opérateurs et FAI en réponse aux incidents. Elle pourra également les mettre en demeure d’informer leurs abonnés, et sanctionner les entreprises en cas de manquement.
D’ici là les acteurs concernés doivent sans attendre s’assurer que leur gestion de la sécurité leur permet :
- D’assurer un niveau adapté aux risques, y compris sur les périmètres sous-traités à des tiers.
- De détecter et de répondre rapidement aux incidents de sécurité.
- De répondre aux sollicitations de l’autorité compétente et d’être à même de lui démontrer du niveau de sécurité mis en place.
- De gérer une communication de crise efficace et adaptée aux violations de données.
Par ailleurs, il semble dès à présent que les fuites de données chiffrées, et donc rendue inutilisables directement, n’auront pas à être notifiées aux abonnés. L’inventaire et la cartographie des données à caractère personnel sur le SI des opérateurs apparaissent donc être des chantiers indispensables, en tant que vecteurs de maitrise et donc de sécurité mais également comme première étape d’un programme plus vaste de protection. Celui-ci incluant notamment le chiffrement, mais pas uniquement, la Commission mentionnant très clairement l’utilisation des bonnes pratiques et normes internationalement reconnues et met en avant des principes proches de la norme ISO 27001.
Après les télécoms : à qui le tour ?
2012 ? Et ce qui est vrai pour les opérateurs et FAI le sera sans doute très prochainement également pour les autres secteurs, comme l’attestent les déclarations de la commissaire européenne en charge de la justice. Chez nos voisins américains, allemands, irlandais ou néerlandais notamment, les législations ont fleuri ces dernières années afin d’instaurer une telle transparence.
Le législateur européen n’est pas en reste. Il qui indique dans la longue introduction aux exigences du Paquet Télécom : L’intérêt des utilisateurs à être informés ne se limite pas, à l’évidence, au secteur des communications électroniques, et il convient dès lors d’introduire de façon prioritaire, au niveau communautaire, des exigences de notification explicites et obligatoires, applicables à tous les secteurs
Le sens de l’histoire est ainsi bien à la notification systématique de tout incident de sécurité. Le projet de loi dit Informatique et Libertés (LIL) 3, déjà adopté au Sénat, en France, le confirme.
Que dit l’ordonnance du 25/08/2011?
L’ARCEP publie aujourd’hui sur son site l’Ordonnance transcrivant le paquet Télécom en droit français. S’il est confirmé que les atteintes aux données à caractère personnel devront bien être notifiées à la CNIL, sous peine de 5 ans d’emprisonnement et de 300 000€ d’amende, la notification des failles portant sur la sécurité et l’intégrité des réseaux n’est quant à elle pas directement mentionnée. En revanche, l’obligation pour les opérateurs de se soumettre la sécurité de leurs installations, services et réseaux à des contrôles imposés par l’État est à présent reprise dans l’article 6 du Code des Postes et Communications Électronique (CPCE). Un décret en Conseil d’État viendra en préciser les modalités d’application.