Articles IT et Télécoms

L’obligation pour les entreprises de renforcer la protection des données relatives à leurs clients

La Commission Européenne a entamé une vaste réforme du cadre juridique relatif à la protection des données à caractère personnel. A terme, toutes les entreprises devront justifier de la prise de mesures de sécurité renforcées sous peine d’encourir des sanctions financières en cas de perte ou de vol de données privées.

De plus en plus nombreuses sont les entreprises qui échangent au quotidien des informations dont certaines concernent la vie privée de leurs clients. Cet échange de données est essentiel à l’activité de nombreux secteurs comme le commerce électronique ou les télécommunications.

La détention et l’échange de ces données s’accompagne pourtant d’obligations dont peu de sociétés ont clairement conscience. À terme, cette lacune pourrait leur couter cher. La Commission européenne a en effet lancé un vaste chantier visant à simplifier la réglementation concernant la protection des données privées.

Une norme européenne unique

Elle a présenté, le 25 janvier dernier, un projet de règlement visant à se substituer à la directive no 95/46/CE du 24 octobre 1995. Ce projet vise à instaurer une norme européenne unique (contre 27 actuellement !) qui s’appliquera à tous les États membres de l’Union européenne.

Ce « nettoyage » va s’accompagner d’un « durcissement » des contraintes et des sanctions.

Depuis 1978, la France dispose d’un cadre juridique et législatif dédié à la protection des données personnelles avec les Lois de 1978 et de 2004 et la Directive européenne de 1995.

Obligation de notification

La transposition du dernier « paquet télécom » est intervenue par une ordonnance du 24 août 2011 (n°2011-1012). Par son article 38, elle introduit un article 34 bis dans la loi « Informatique et Libertés » instituant un régime de divulgation obligatoire des atteintes à la sécurité des données personnelles. Ainsi, en « cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l’informatique et des libertés (CNIL) ».

Selon le projet de la Commission européenne, le montant des sanctions financières pourrait représenter jusqu’à 5 % du chiffre d’affaires des entreprises n’ayant pas pris les mesures nécessaires pour assurer une protection suffisante de ce genre d’informations.

Pour l’instant, le champ d’application de ce texte se cantonne aux fournisseurs de « services de communications électroniques accessibles au public ». Mais à terme, ces obligations pourraient concerner toutes les organisations et entreprises.

Contrôles renforcés

Deux signes témoignent de cette volonté de sensibiliser les sociétés.

En premier lieu, la CNIL a annoncé qu’elle allait réaliser cette année 450 contrôles visant les failles de sécurité, soit près de 12 % de plus qu’en 2011 ! Étant donné l’évolution de la réglementation européenne, les opérateurs de télécoms sont les premiers concernés. Mais la CNIL a aussi précisé que ses investigations viseraient les données de santé, la vidéosurveillance, les principales fédérations sportives françaises, les fichiers de police et les fichiers du quotidien (eau, gaz, électricité…).

Le deuxième signe de ce renforcement est la convention de partenariat signée en janvier dernier par la Direction Générale de la Concurrence, de la Consommation et de la Répression des fraudes (DGCCRF) et la CNIL. Ces deux entités peuvent dorénavant échanger des informations afin de renforcer et d’optimiser leurs actions.

En conséquence, lors des contrôles opérés par la DGCCRF, la CNIL se voit systématiquement communiquer les manquements constatés à la loi « Informatique et Libertés », notamment en cas de :

  • Manquement à l’obligation d’information des personnes sur le traitement de leurs données à caractère personnel
  • Disproportion des données collectées au regard de la finalité du traitement
  • Collecte de données dites sensibles
  • Collecte illicite et déloyale de données
  • Manquement à l’obligation de sécurisation des données collectées

Obligation de moyens

Ces évolutions réglementaires vont donc contraindre les responsables des Systèmes d’information à mettre en œuvre « toutes les mesures adéquates », selon l’expression d’un avocat spécialisé. Il n’y a pas une obligation de résultat, mais une obligation de moyens renforcés ; les entreprises doivent démontrer qu’elles ont pris toutes les mesures utiles et, qu’au regard de la pertinence de ces moyens, toutes les entreprises placées dans les mêmes conditions auraient subi les mêmes conséquences.

Parmi ces « mesures adéquates », il y a le chiffrement (on parle souvent à tort de cryptage) de tous les réseaux sur lesquels transitent des données personnelles et le filtrage des accès aux salles de stockage (mots de passe plus forts, gestion précise des identités…).

Il ne faut pas non plus oublier de vérifier la sécurité des postes de travail et notamment les ordinateurs portables, un maillon faible trop souvent négligé. Chaque année, des cadres perdent ou se font voler leur PC portable.

Pour éviter qu’un concurrent ou un pirate n’accède à ces informations, il faut absolument que les dossiers les contenant soient chiffrés. On peut le faire avec le service BitLocker de Windows 7 ou des logiciels gratuits comme TrueCrypt. Certifiée en France par l’ANSSI (Agence nationale de la sécurité des systèmes d’information www.ssi.gouv.fr/fr), cette application chiffre des données sur des supports fixes ou amovibles comme les clés USB.

Publicités

Discussion

Les commentaires sont fermés.

%d blogueurs aiment cette page :