Failles de sécurité : quelles responsabilités pour les entreprises ?

Perte ou vol de données, accès frauduleux à une base de données, altération ou destruction volontaire de données… Les failles de sécurité sont nombreuses et de nature différentes. Décryptage des responsabilités juridiques qui en découlent.

Aujourd'hui, la mise en place d'une politique de gestion des données à caractère personnel est devenue un enjeu économique majeur pour les entreprises qui veulent se positionner sur le marché. Or, l'actualité a été récemment marquée par d'importantes failles de sécurité comme celle qui a touché le réseau informatique d'un fabricant américain de cartes de crédit.

Cette faille a permis à des cybercriminels d'accéder frauduleusement à la base des données clients et d'exploiter les numéros de cartes bancaires de plusieurs millions de consommateurs. En France, une faille sur le portail Web de l'opérateur Orange a permis aux internautes d'accéder aux données personnelles de plus de 400.000 abonnés. Le mois dernier, le site d'emploi Monster a annoncé que sa base de données avait été illégalement visée et qu'un certain nombre de comptes avait été piraté. De tels actes soulèvent la question de la responsabilité des entreprises qui mettent en œuvre des traitements de données à caractère personnel.

Une obligation de sécurité qui incombe au responsable du traitement

La mise en œuvre d'un traitement de données à caractère personnel expose les données à des risques contre lesquels le responsable du traitement doit se prémunir. Aux termes de l'article 34 de la loi Informatique et libertés[1], « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données ». Ni la loi Informatique et libertés ni son décret d'application[2] ne définit les « précautions utiles », bien qu'il soit précisé dans la loi que celles-ci doivent notamment empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.

L'article 17 de la directive 95/46/CE[3], plus précis, énonce que « le responsable du traitement doit mettre en œuvre des mesures techniques et d'organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite ». La directive précise également que « ces mesures doivent assurer, compte tenu de l'état de l'art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger ».

Enfin, depuis une délibération de 1981[4], la CNIL incite les responsables de traitements à prendre « les mesures générales de sécurité nécessaires » compte tenu de la finalité du traitement, du volume des informations traitées et de leur degré de sensibilité au regard des risques d'atteinte à la personne humaine. Ces mesures concernent notamment la capacité de résistance aux atteintes accidentelles ou volontaires extérieures et intérieures. La CNIL recommande ainsi aux responsables de traitement d'évaluer les risques avant d'entreprendre tout nouveau traitement et de consigner les mesures destinées à assurer la sécurité et la confidentialité des données dans un document de référence, régulièrement mis à jour.

Le risque de sanction prononcée par la CNIL

L'absence de mesures destinées à assurer la sécurité et la confidentialité des données à caractère personnel expose le responsable du traitement à des sanctions lourdes (5 ans d'emprisonnement et 300.000 euros d'amende)[5]. Une faille de sécurité importante peut également inciter certaines personnes à déposer plainte auprès de la CNIL. Cette dernière peut alors exercer son droit de contrôle sur les lieux et les installations servant à la mise en œuvre du traitement[6]. La CNIL peut notamment demander communication de tous documents nécessaires à l'accomplissement de sa mission et accéder aux programmes informatiques et aux données traitées.

A l'issue de son enquête, la CNIL peut prononcer une sanction à l'encontre du responsable de traitement (avertissement, amende, injonction de cesser le traitement, retrait de l'autorisation, interruption du traitement)[7] si elle considère que les mesures de sécurité sont inexistantes ou insuffisantes. Elle peut également rendre publics les avertissements qu'elle prononce, ce qui peut avoir des conséquences désastreuses pour l'image de l'entreprise.

Le 21 septembre 2006, la CNIL a prononcé un avertissement public à l'encontre de la société Free pour atteinte grave à la vie privée et à la tranquillité de ses abonnés[8]. Suite à une erreur de programmation informatique, Free avait transmis aux éditeurs d'annuaires et aux services de renseignements téléphoniques une liste comportant les coordonnées de plus de 120.000 personnes inscrites sur liste rouge.

Le 20 mai 2008, la CNIL a prononcé un avertissement à l'égard de la société Entreparticuliers.com en raison de plusieurs manquements à la loi Informatique et libertés[9]. Saisie de plusieurs plaintes d'annonceurs particuliers, la CNIL a constaté lors d'un contrôle sur place qu'une faille de sécurité permettait d'accéder, depuis le site internet, à l'espace personnel des particuliers annonceurs et de voir leurs données de facturation ou de modifier les annonces à leur insu. Dans ce contexte, Alex Türk, Président de la CNIL, estime que « le niveau de protection des données ne peut être jugé satisfaisant comme en témoignent les contrôles que la CNIL effectue régulièrement « sur le terrain », tant auprès des entreprises que des administrations »[10].

Vers une obligation de sécurité renforcée ?

La question se pose de savoir si le régime juridique actuel suffit à protéger les données à caractère personnel ou s'il faut renforcer les obligations du responsable de traitement à l'égard de la sécurité des données. Aux Etats-Unis, quasiment tous les états ont adopté une loi qui impose aux responsables de traitement d'informer les autorités publiques compétentes et les personnes concernées en cas d'atteinte à la sécurité des données à caractère personnel (« data security breach notification »). En France, le régime actuel ne prévoit pas une telle obligation même si les opérateurs de télécommunications sont contraints d'informer leurs abonnés lorsqu'il existe un risque particulier de violation de la sécurité du réseau[11].

Toutefois, dans le cadre de la réforme du Paquet télécom[12], une nouvelle disposition pourrait figurer dans la directive « Vie privée et communications électroniques »[13] qui imposerait aux responsables de traitement d'avertir l'autorité administrative compétente et les personnes concernées en cas d'atteinte à la sécurité des données à caractère personnel. Dans sa version actuelle, la directive modifiée prévoit que seuls les fournisseurs de services de communications électroniques accessibles au public (opérateurs mobiles, FAI, etc.) seraient concernés. Cependant, le Contrôleur Européen de la Protection des Données préconise d'élargir le champ d'application de cette disposition à tous les fournisseurs de services en ligne (commerçants, banques, distributeurs, hôtels, etc.)[14]. La directive modifiée sera définitivement adoptée par le Parlement européen et le Conseil dans le courant de l'année 2009.

[1] Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

[2] Décret n°2005-1309 du 20 octobre 2005 modifié par le décret n°2007-451 du 25 mars 2007.

[3] Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

[4] Délibération n°81-94 du 21 juillet 1981 portant adoption d'une recommandation relative aux mesures générales de sécurité des systèmes informatiques.

[5] Article 226-17 du Code pénal.

[6] Article 44 de la loi Informatique et libertés.

[7] Article 45 de la loi Informatique et libertés.

[8] Délibération n°2006-208 du 21 septembre 2006 prononçant un avertissement à l'encontre de la société Free SAS.

[9] Délibération n°2008-118 du 20 mai 2008 prononçant un avertissement à l'encontre de la société Entreparticuliers.com

[10] Voir « C'est arrivé près de chez nous ... ! » tribune de la CNIL du 26 septembre 2008, disponible sur le site suivant : www.cnil.fr

[11] Article D-98-5 du Code des Postes et Communications Electroniques.

[12] La directive 2002/58/CE dite « vie privée et communications électroniques » est l'une des cinq directives européennes dans le secteur des communications électroniques, adoptées en 2002, qui compose le « Paquet télécom ». Ce Paquet Télécom est actuellement en cours de révision par le Parlement européen et le Conseil des ministres.

[13] Directive 2002/58/CE du Parlement Européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.

[14] Voir le deuxième avis du Contrôleur Européen de la Protection des Données sur la réforme de la directive 2002/58/CE, disponible en anglais sur le site suivant : www.edps.europa.eu

Autour du même sujet