b) Améliorer les dispositions relatives à la sécurité des données
Le principe de la sécurité des données est probablement celui qui mériterait les aménagements les plus importants.
L'article 34 de la loi du 6 février 1978 modifiée impose à tout responsable d'un traitement de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Principe fondamental, la sécurité des données est en pratique difficile à vérifier , à moins de contrôler chaque système de sécurité par des attaques-tests. En outre, l'évolution de l'état de l'art en cette matière rend rapidement obsolète un système de sécurité qui était hier encore inviolable. L'actualisation des anti-virus illustre cette course constante entre le bouclier et le glaive.
Difficile à contrôler en amont, la sécurité des données est aussi délicate à définir par la réglementation en raison de l'évolution rapide des techniques 96 ( * ) . En outre, il n'existe pas une réponse unique, mais autant que de systèmes à protéger. L'exposition à une attaque extérieure n'est pas égale.
Dans ces conditions, la CNIL intervient surtout lorsque la faille de sécurité est flagrante : perte de données, accès libre à certaines données, etc. L'absence de mesures destinées à assurer la sécurité et la confidentialité des données expose alors le responsable du traitement à des sanctions lourdes (5 ans d'emprisonnement et 300.000 euros d'amende). La CNIL peut également prononcer une série de sanctions (avertissement, amende, injonction de cesser le traitement, retrait de l'autorisation, interruption du traitement) prévue à l'article 45 de la loi du 6 janvier 1978.
Néanmoins, si, en France, assez peu de scandales ont révélé des failles de sécurité graves, à l'étranger les exemples sont nombreux. A chaque fois, ce sont des centaines de milliers de personnes, voire plusieurs millions, dont les données sont perdues ou, ce qui est plus dangereux, volées.
Quelques exemples de faille de sécurité Novembre 2007 : des cédéroms contenant les données bancaires de 25 millions de contribuables sont égarés par les services fiscaux britanniques. Avril 2008 : la première banque britannique perd un cédérom contenant des informations sur 370.000 de ses clients. Août 2008 : un ordinateur contenant les données bancaires d'un million de clients britanniques est vendu pour 44 euros sur le site d'enchères eBay. Dans le même temps, le ministère des Finances britannique égare un fichier comportant les noms des 84.000 prisonniers, dont ceux de 10.000 personnes « à surveiller en priorité pour leur comportement délictueux prolifique ». En août 2008, la presse allemande révèle qu'il est possible d'acheter sur Internet des fichiers de 6 millions de données confidentielles pour 850 euros. Source : CNIL |
La CNIL estime qu'en France, même si aucune faille importante de sécurité n'a été révélée, le niveau de protection des données ne peut être jugé satisfaisant , comme en témoignent ses contrôles, tant auprès des entreprises que des administrations. La sécurité des données ne constitue malheureusement pas encore une préoccupation majeure.
Selon des responsables de Thalès, si les administrations et les entreprises sensibles sont bien protégées en France, des progrès très importants restent à accomplir pour sécuriser les données du secteur marchand.
Il serait absurde d'appliquer à tous les traitements les normes de sécurité mises en oeuvre pour protéger le secret de la Défense nationale. Mais il semble à tout le moins que tout organisme possédant de grandes bases de données incluant des informations telles que des numéros de compte bancaire ou de carte de crédit devrait mettre en oeuvre des sécurités renforcées. Selon Thalès, la précaution consistant à crypter la base de données elle-même est peu répandue.
Lors de leur audition, les représentants de la chambre américaine de commerce en France ont expliqué que la règle selon laquelle les failles de sécurité -vols et pertes de données- doivent être notifiées occupait une place très importante dans le dispositif américain de protection des données.
La grande majorité des Etats américains (42 sur 50) dispose de lois imposant de telles notifications. L'Etat de Californie a été pionnier en ce domaine dès 2002. L'objectif recherché est d'inciter les entreprises à renforcer leurs mesures de sécurité interne , car les notifications sont coûteuses et préjudiciables à leur image de marque.
Les dispositifs mis en place varient beaucoup d'un Etat à l'autre. Les délais des notifications, leur contenu, les moyens employés et les destinataires ne sont pas identiques. Ainsi, la notification peut se faire selon les cas par voie de presse, par écrit ou par voie électronique. Les délais varient aussi considérablement : soit immédiatement après la découverte de la faille, soit dans un délai raisonnable. Dans 25 Etats environ, la notification peut être reportée si une autorité policière décide que la notification risque d'empêcher ou de menacer une enquête criminelle.
Une conséquence de ces obligations de notification est une meilleure connaissance statistique de l'ampleur des failles de sécurité aux Etats-Unis. Ainsi, selon l'organisme Internet Identity Theft Resource Center (IRTC), en 2008, plus de 35 millions de données personnelles auraient été perdues, soit une hausse de 47 % par rapport à 2007.
En France, une telle obligation n'existe pas. L'article 4 de la directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques 97 ( * ) (ci-après dénommée directive « vie privée et communications électroniques ») contraint seulement les opérateurs de télécommunications à informer leurs abonnés en cas de risque particulier de violation de la sécurité des réseaux. Cette disposition doit notamment permettre aux abonnés de prendre leurs propres mesures de précaution.
Toutefois, dans le cadre de la réforme du « paquet télécom », la Commission européenne a présenté, le 13 novembre 2007, trois propositions de texte dont une proposition de directive modifiant la directive 2002/58/CE 98 ( * ) . Le (3) de l'article 2 de cette proposition tend à obliger les responsables de traitement, « en cas de violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés à des données personnelles », d'avertir l'autorité administrative compétente et l'abonné concerné.
Compte tenu du champ de la directive « vie privée et communications électroniques », seuls les fournisseurs de services de communications électroniques accessibles au public (opérateurs mobiles, FAI, etc.) seraient concernés.
Le Contrôleur européen de la protection des données et le G 29 99 ( * ) se sont déclarés très favorables à cette proposition. Allant plus loin, ils préconisent d'étendre cette obligation à « tous les prestataires de services en ligne » sur Internet 100 ( * ) . Ils proposent également de permettre, dans certaines circonstances, à l'autorité administrative compétente 101 ( * ) de divulguer l'information au public.
Le Sénat s'est également prononcé sur cette question en adoptant une résolution européenne en mai 2008 102 ( * ) sur le rapport de la commission des affaires économiques. Dans son rapport 103 ( * ) , notre collègue Pierre Hérisson exprime plusieurs réserves : « la proposition de la Commission d'obliger tout opérateur à notifier aux abonnés toute atteinte à leurs données personnelles, si elle peut contribuer à une meilleure transparence au profit des consommateurs, pourrait se révéler contre-productive en nourrissant l'inquiétude des consommateurs voire en provoquant des attaques pour tester la sécurité des réseaux. Sans doute serait-il donc préférable de prévoir l'accord préalable du régulateur national avant tout type de communication en matière de sécurité ou [...] de limiter l'information du consommateur aux seules atteintes à ses données personnelles qui seraient susceptibles de lui porter préjudice ».
Vos rapporteurs partagent ces réserves, notamment quant au risque que la notification d'une faille au public n'attise de nouvelles attaques.
Toutefois, l'éventail des solutions en vigueur aux Etats-Unis montre que le choix n'est pas entre tout ou rien.
Il faut d'ailleurs souligner que la loi du 6 janvier 1978 ouvre une fenêtre pour la publicité des failles de sécurité constatées par la CNIL à l'occasion de ses contrôles. En effet, son article 46 autorise la CNIL à « rendre publics les avertissements qu'elle prononce. Elle peut également, en cas de mauvaise foi du responsable du traitement, ordonner l'insertion des autres sanctions qu'elle prononce dans des publications, journaux et supports qu'elle désigne. Les frais sont supportés par les personnes sanctionnées ». A cet égard, vos rapporteurs estiment que la publicité de ces sanctions devrait être désormais la règle (cf. supra ).
Il semble possible d'aller un peu plus loin en créant a minima une obligation de notification des failles de sécurité à la CNIL , des critères et des seuils devant être définis pour ne pas la submerger. Cette obligation pèserait sur tous les responsables de traitement.
Bien maîtrisée et encadrée, l'obligation de notification des failles de sécurité peut être une incitation forte au renforcement de la sécurité des données.
Recommandation n° 11 : Créer a minima une obligation de notification des failles de sécurité auprès de la CNIL. |
* 96 L'article 34 de la loi du 6 janvier 1978 permet l'élaboration de prescriptions techniques pour les traitements les plus sensibles.
* 97 Transposé à l'article D. 98-5 du code des postes et des communications électroniques.
* 98 Document COM (2007) 698 final.
* 99 Avis WP 150 du 15 mai 2008.
* 100 Le Parlement européen a adopté des amendements en ce sens.
* 101 En France, cette autorité ne serait pas la CNIL mais l'Autorité de régulation des communications électroniques et des postes (ARCEP). Toutefois, les négociations ont fait évoluer la proposition. Les autorités chargées de la protection des données seraient également associées.
* 102 Résolution n° 96 (2007-2008).
* 103 Rapport n° 349 (2007-2008).