Failles de sécurité : quelles responsabilités pour les entreprises ?

Perte ou vol de données, accès frauduleux à une base de données, altération ou destruction volontaire de données… Les failles de sécurité sont nombreuses et de nature différentes. Décryptage des responsabilités juridiques qui en découlent.

Aujourd'hui, la mise en place d'une politique de gestion des données à caractère personnel est devenue un enjeu économique majeur pour les entreprises qui veulent se positionner sur le marché. Or, l'actualité a été récemment marquée par d'importantes failles de sécurité comme celle qui a touché le réseau informatique d'un fabricant américain de cartes de crédit.

Cette faille a permis à des cybercriminels d'accéder frauduleusement à la base des données clients et d'exploiter les numéros de cartes bancaires de plusieurs millions de consommateurs. En France, une faille sur le portail Web de l'opérateur Orange a permis aux internautes d'accéder aux données personnelles de plus de 400.000 abonnés. Le mois dernier, le site d'emploi Monster a annoncé que sa base de données avait été illégalement visée et qu'un certain nombre de comptes avait été piraté. De tels actes soulèvent la question de la responsabilité des entreprises qui mettent en œuvre des traitements de données à caractère personnel.

Une obligation de sécurité qui incombe au responsable du traitement

La mise en œuvre d'un traitement de données à caractère personnel expose les données à des risques contre lesquels le responsable du traitement doit se prémunir. Aux termes de l'article 34 de la loi Informatique et libertés[1], « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données ». Ni la loi Informatique et libertés ni son décret d'application[2] ne définit les « précautions utiles », bien qu'il soit précisé dans la loi que celles-ci doivent notamment empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.

L'article 17 de la directive 95/46/CE[3], plus précis, énonce que « le responsable du traitement doit mettre en œuvre des mesures techniques et d'organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite ». La directive précise également que « ces mesures doivent assurer, compte tenu de l'état de l'art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger ».

Enfin, depuis une délibération de 1981[4], la CNIL incite les responsables de traitements à prendre « les mesures générales de sécurité nécessaires » compte tenu de la finalité du traitement, du volume des informations traitées et de leur degré de sensibilité au regard des risques d'atteinte à la personne humaine. Ces mesures concernent notamment la capacité de résistance aux atteintes accidentelles ou volontaires extérieures et intérieures. La CNIL recommande ainsi aux responsables de traitement d'évaluer les risques avant d'entreprendre tout nouveau traitement et de consigner les mesures destinées à assurer la sécurité et la confidentialité des données dans un document de référence, régulièrement mis à jour.

Le risque de sanction prononcée par la CNIL

L'absence de mesures destinées à assurer la sécurité et la confidentialité des données à caractère personnel expose le responsable du traitement à des sanctions lourdes (5 ans d'emprisonnement et 300.000 euros d'amende)[5]. Une faille de sécurité importante peut également inciter certaines personnes à déposer plainte auprès de la CNIL. Cette dernière peut alors exercer son droit de contrôle sur les lieux et les installations servant à la mise en œuvre du traitement[6]. La CNIL peut notamment demander communication de tous documents nécessaires à l'accomplissement de sa mission et accéder aux programmes informatiques et aux données traitées.

A l'issue de son enquête, la CNIL peut prononcer une sanction à l'encontre du responsable de traitement (avertissement, amende, injonction de cesser le traitement, retrait de l'autorisation, interruption du traitement)[7] si elle considère que les mesures de sécurité sont inexistantes ou insuffisantes. Elle peut également rendre publics les avertissements qu'elle prononce, ce qui peut avoir des conséquences désastreuses pour l'image de l'entreprise.

Le 21 septembre 2006, la CNIL a prononcé un avertissement public à l'encontre de la société Free pour atteinte grave à la vie privée et à la tranquillité de ses abonnés[8]. Suite à une erreur de programmation informatique, Free avait transmis aux éditeurs d'annuaires et aux services de renseignements téléphoniques une liste comportant les coordonnées de plus de 120.000 personnes inscrites sur liste rouge.

Le 20 mai 2008, la CNIL a prononcé un avertissement à l'égard de la société Entreparticuliers.com en raison de plusieurs manquements à la loi Informatique et libertés[9]. Saisie de plusieurs plaintes d'annonceurs particuliers, la CNIL a constaté lors d'un contrôle sur place qu'une faille de sécurité permettait d'accéder, depuis le site internet, à l'espace personnel des particuliers annonceurs et de voir leurs données de facturation ou de modifier les annonces à leur insu. Dans ce contexte, Alex Türk, Président de la CNIL, estime que « le niveau de protection des données ne peut être jugé satisfaisant comme en témoignent les contrôles que la CNIL effectue régulièrement « sur le terrain », tant auprès des entreprises que des administrations »[10].

Vers une obligation de sécurité renforcée ?

La question se pose de savoir si le régime juridique actuel suffit à protéger les données à caractère personnel ou s'il faut renforcer les obligations du responsable de traitement à l'égard de la sécurité des données. Aux Etats-Unis, quasiment tous les états ont adopté une loi qui impose aux responsables de traitement d'informer les autorités publiques compétentes et les personnes concernées en cas d'atteinte à la sécurité des données à caractère personnel (« data security breach notification »). En France, le régime actuel ne prévoit pas une telle obligation même si les opérateurs de télécommunications sont contraints d'informer leurs abonnés lorsqu'il existe un risque particulier de violation de la sécurité du réseau[11].

Toutefois, dans le cadre de la réforme du Paquet télécom[12], une nouvelle disposition pourrait figurer dans la directive « Vie privée et communications électroniques »[13] qui imposerait aux responsables de traitement d'avertir l'autorité administrative compétente et les personnes concernées en cas d'atteinte à la sécurité des données à caractère personnel. Dans sa version actuelle, la directive modifiée prévoit que seuls les fournisseurs de services de communications électroniques accessibles au public (opérateurs mobiles, FAI, etc.) seraient concernés. Cependant, le Contrôleur Européen de la Protection des Données préconise d'élargir le champ d'application de cette disposition à tous les fournisseurs de services en ligne (commerçants, banques, distributeurs, hôtels, etc.)[14]. La directive modifiée sera définitivement adoptée par le Parlement européen et le Conseil dans le courant de l'année 2009.