Sécurisation des systèmes d’information : la pression juridique s’accroît, les sanctions financières aussi

Une double obligation de notification des failles de sécurité a été intégrée dans le cadre du Paquet Télécom. Il est important de se pencher sur les impacts de cette nouvelle obligation pour tous les acteurs de l'internet.

Le « Paquet Télécom » modifié, ensemble de directives encadrant le secteur des communications électroniques, a été publié au journal officiel de l'Union européenne le 18 décembre 2009. Parmi ses nouveautés, une double obligation de notification des failles de sécurité est instaurée, notamment pour les fournisseurs d'accès à l'internet. C'est l'occasion de revenir sur cette notion, son historique et surtout ses conséquences économiques.

Face aux pertes, diffusions involontaires ou vols d'informations à caractère personnel de clients qui se sont multipliées ces dernières années, les législateurs de plusieurs pays ont décidé de réagir afin de forcer les entreprises à prendre des mesures de sécurité plus importantes.

En effet, les sociétés ayant une clientèle importante de personnes physiques constituent souvent des bases de données très complètes au fur et à mesure de la relation contractuelle avec ces derniers. Ces informations peuvent être en outre particulièrement sensibles au sens de la législation dite « Informatique et Libertés », les plus complètes étant en pratique les informations détenues par les établissements financiers ou encore les administrations : numéros de sécurité sociale, numéros de cartes bancaires, adresses, informations fiscales voire patrimoniales, etc.

Frauduleusement utilisées, ces informations peuvent permettre d'usurper l'identité des clients et donc de leur causer un préjudice potentiellement très important (demandes de crédit, paiements frauduleux, etc.).

I. Objectifs et coûts engendrés par cette obligation

C'est d'ailleurs à la suite de la dissémination des données concernant les salaires de 200 000 fonctionnaires que le législateur californien a été le premier à réagir en 2002 (« Senate Bill 1386 » du 12 févier 2002, entrée en vigueur le 1er juillet 2003). Les entités publiques ou privées n'ayant pas suffisamment sécurisé leurs bases de données contenant les données à caractère personnel de leurs clients se sont ainsi vues imposer de les prévenir de leurs carences.

Le principe a, petit à petit, été repris dans 44 États américains puis au niveau fédéral dans certains secteurs tel que le secteur financier (avant de se propager dans d'autres pays). En pratique l'application aux États-Unis de ces textes peut souvent apparaître comme une « double peine » :

Tout d'abord l'entreprise, victime du vol ou de la perte de certaines données permettant le vol d'identité (données de carte bancaires, etc.), qui étaient insuffisamment sécurisées, va devoir le notifier à ses clients, supportant ainsi le coût de cette notification mais également l'impact en terme d'image. Des statistiques ont d'ailleurs montré que les clients, mécontents, pouvaient cesser toute relation commerciale dans une proportion de plus de 5 % à la suite de cette notification ;

Par ailleurs, dans un pays où l'action de groupe ou « class action » est fréquente comme aux États-Unis, les conséquences de la carence de sécurité, notifiée par l'entreprise victime à ses clients, sont très vite judiciaires. Ces derniers sont souvent prompts à se saisir de l'occasion. D'autant plus que la société opère elle-même indirectement une partie du travail nécessaire en pratique à une class action : l'information des victimes, préalable à leur regroupement.

Pour ces raisons, l'instauration d'une telle obligation de notification aux USA a, en elle-même, un effet incitatif particulièrement fort en matière de sécurisation des données sensibles.

Les chiffres du « Data loss barometer 2009 » de KPMG le démontrent en ce qui concerne le secteur des services financiers : le chiffre des failles notifiées a ainsi baissé de 2/3 l'année dernière.

Reste que les chiffres de cette étude montrent de façon générale une hausse de plus de 50 % des incidents en un an, tous secteurs confondus, et que les coûts engendrés par ces failles de sécurité sont très importants pour les organismes qui en souffrent.

Selon la 4ème étude du Ponemon Institute menée aux États-Unis sur l'année 2008 intitulée « US Cost of Data Breach Study » ce serait ainsi une perte de 202 $ par incident et par client causée par la faille rendue publique, dont 50 $ serait une perte directe et 152 $ en coût indirect, du fait des effets d'image, de la perte de clientèle et de la difficulté à en recruter de nouveaux. Soit une moyenne de 6,6 millions de dollars par faille notifiée en 2008.

En pratique, de telles failles de sécurité, si elles touchent un acteur économique important, peuvent justifier, en plus des sommes mentionnées ci-dessus, des dépenses encore plus importantes du fait du lancement de nouvelles campagnes de publicité, le changement de management voire même le changement de nom de l'entité victime.

II. Une obligation de notification doublement prévue au niveau de l'Union Européenne

En Europe, et en dépit du fait que les législations en matière de protection des données à caractère personnel sont bien plus strictes qu'aux États-Unis, une telle obligation de notification n'existait pas jusqu'à récemment. Au mieux, elle n'était que l'objet de débats comme en Angleterre (Chambre des Lords). C'est finalement l'Allemagne qui, en modifiant de façon importante sa loi fédérale sur la protection des données à caractère personnel du 20 décembre 1990 (Bundesdatenschutzgesetz) a été pionnière en Europe sur le sujet. Ainsi, depuis le 1er septembre 2009, le paragraphe 42a prévoit une telle notification concernant uniquement les atteintes aux données sensibles ou protégées par le secret professionnel qui causent un préjudice significatif aux personnes dont les données ont été compromises.

Mais en réalité, l'Allemagne a surtout pris les devants par rapport au « Paquet Télécom » modifié par les directives publiées au journal officiel européen du 18 décembre 2009. Ce cadre de régulation des communications électroniques au niveau européen prévoyait en effet dès 2007 un projet de notification obligatoire des failles de sécurité. Reste que, retardé notamment par le fameux « amendement 138 » et la position française sur la « riposte graduée » qui était au centre des lois Hadopi, ces nouvelles dispositions n'ont finalement été publiées que tout récemment.

Ainsi, au milieu d'autres obligations concernant par exemple la portabilité des numéros ou des mesures pour promouvoir l'accès haut débit, se trouvent des dispositions spécifiques à la sécurisation des réseaux et des services d'accès et notamment une « obligation de notification des failles ».

Concernant cette obligation, trois enseignements majeurs sont à tirer de ce « Paquet Télécom » modifié :

Une notification des failles de sécurité est prévue par la directive 2009/140/CE du 25 novembre 2009 modifiant notamment la directive 2002/21/CE (dite « cadre »). Celle-ci vise les « fournisseurs des réseaux de communications publics » ainsi que ceux fournissant « des services de communications électroniques accessibles au public » (fournisseurs d'accès à l'internet comme Orange, SFR ou Free). Le déclenchement de l'obligation de notification nécessite une atteinte portée à la sécurité ou une perte d'intégrité « ayant eu un impact significatif sur le fonctionnement des réseaux ou des services », mais indépendamment de la nature des données accédées (qu'elles soient à caractère personnel ou non). Cette notification est à faire non pas auprès des clients mais directement auprès de « l'autorité nationale compétente » avec une coordination possible au niveau européen, les victimes n'étant prévenues que si une telle information est « d'utilité publique ».

Une autre obligation de notification des failles est, cette fois-ci, prévue dans la directive 2009/136/CE du 25 novembre 2009 modifiant notamment la directive 2002/58/CE (« vie privée et communications électroniques »). Elle prévoit quant à elle une notification de « l'autorité nationale compétente » en cas d'atteinte à des données à caractère personnel et, si cela est de nature à « affecter négativement » les données ou la vie privée de la victime. Ne visant que les seuls fournisseurs de services de communications électroniques accessibles au public (fournisseurs d'accès à l'internet notamment), le texte s'inspire du modèle américain en prévoyant une exception à cette application : les données rendues techniquement « incompréhensibles » ne sont pas concernées. Toutefois, et contrairement au cas américain où un chiffrement fort est prévu comme critère objectif d'exonération, l'exception suppose ici que l'efficacité du dispositif soit démontrée par l'entreprise « à la satisfaction de l'autorité compétente ». Par ailleurs, la notification prévue apparaît beaucoup plus formelle que la notification étudiée ci-dessus. Ainsi, les « points de contact auprès desquels des informations supplémentaires peuvent être obtenues », ainsi que les recommandations pour atténuer les conséquences, doivent notamment être prévues dans celle-ci.

Cette dernière obligation ne restera pas longtemps cantonnée à une application aux seuls fournisseurs d'accès mais s'étendra à (court) terme à tous les secteurs. La directive 2009/136/Ce prévoit en effet dans ses considérants que « L'intérêt des utilisateurs à être informés ne se limite pas, à l'évidence, au secteur des communications électroniques, et il convient dès lors d'introduire de façon prioritaire, au niveau communautaire, des exigences de notification explicites et obligatoires, applicables à tous les secteurs ».

Il ressort donc de ce Paquet Télécom que le législateur communautaire a voulu sécuriser plus fortement les réseaux, mais également les données à caractère personnel des clients des fournisseurs d'accès à ces réseaux. A terme, l'ambition d'ores et déjà annoncée est d'appliquer ces nouvelles règles à tous les organismes, quel que soit leur secteur d'activité.

III. Une obligation de notification qui va faire son entrée en droit français

Sans doute à l'inspiration de ce qui a pu être fait dans la loi fédérale allemande sur la protection des données précitées, une proposition de loi française a été déposée au bureau du Sénat le 6 novembre 2009 « visant à mieux garantir le droit à la vie privée à l'heure du numérique ». Celle-ci propose également une obligation de notification des « atteintes aux traitements de données » qui serait prévue au sein de l'article 34 de la loi de 1978 dite « Informatique et Libertés » modifiée, article qui prévoit déjà pour l'heure l'obligation de sécurité des données à caractère personnel à laquelle est astreint tout responsable de traitement de ces données.

Même si l'on peut être dubitatif sur l'adoption de cette proposition de loi sénatoriale en particulier, il n'en reste pas moins que la date de transposition des directives précitées qui prévoient les obligations de notification étudiées ici est fixée au plus tard au 25 mai 2011. Le législateur français attendra-t-il cette date où la transposition sera-t-elle bien plus rapide ? Pour notre part, la seconde option nous apparaît réaliste, une des seules réelles difficultés consistant à déterminer quelle sera « l'autorité nationale compétente » visée par ces directives.

Il nous semble en effet logique de considérer que « l'autorité » visée dans la directive « cadre »,qui sera en charge de la sécurité des réseaux, pourrait être en France l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI, ex-DCSSI) alors que c'est la CNIL qui devrait être l'autorité compétente au sens de la directive « vie privée et communications électroniques ». Les hypothèses de chevauchement de notification étant réelles, une harmonisation des procédures et des modalités de notification est donc absolument à prévoir pour tenter de réduire le coût pour les entreprises et d'augmenter l'efficacité de la lutte pour la sécurité.

IV. L'impact pour les entreprises : une incitation forte à la sécurité

Les conséquences prévisibles de ces obligations et du coût que leur mise en place représenteront donc pour les entreprises une incitation croissante à adopter une réelle sécurisation de leurs données clients. Cette sécurité est en effet de moins en moins un argument publicitaire positif, véritablement différenciant, pour devenir une caractéristique nécessaire et fondamentale. Élément qui ne peut être vu que de manière négative et dévalorisante si l'entreprise « avoue » publiquement une faille...

Le risque, comme aux États-Unis depuis 2003, est de constater une artificielle « multiplication » des atteintes à la sécurité des données, en réalité plutôt due à leur médiatisation et à l'obligation de transparence affichée qu'à une augmentation réelle des cas constatés. Or ce phénomène apparent d'inflation galopante des risques informatiques entraînera probablement des effets dévastateurs en terme d'image, dans un pays comme la France où à l'heure actuelle, peu d'atteintes sont médiatisées. L'on peut toujours espérer bien sûr que le peu de failles constatées pour l'heure provienne du fait que la sécurité des systèmes d'information soit infiniment plus stricte et respectée en France que partout ailleurs (un certain « miracle français de la sécurité des SI » ?).

Mais il convient malheureusement de faire preuve de réalisme. Les entreprises françaises ou ayant une activité au niveau européen doivent dès à présent se préparer à ces nouvelles règles, en prévoyant bien sûr les processus internes nécessaires aux notifications (mise en place de cellules de crise, de numéros d'urgence, de procédures internes trop strictes, etc.) mais surtout de réfléchir, si ce n'est déjà fait :

A une sécurisation accrue de la protection des données dans l'entreprise (déjà renforcées, que ce soit légalement ou contractuellement, dans le cas des entreprises soumises aux normes PCI DSS par exemple) ;

A une traçabilité renforcée des processus et opérations internes, afin, si une fraude est perpétrée, de pouvoir en être averties au plus vite, d'en circonscrire autant que possible les conséquences et de conserver tous les moyens de preuve (logs, etc.) nécessaires à la sanction du ou des responsable(s).

Pour ce faire, les moyens juridiques disponibles et nécessaires doivent avoir été anticipés et mis en conformité avec notamment la Politique de Sécurité des Systèmes d'Information et le Plan de Continuité d'Activité de l'entreprise : charte d'utilisation des moyens de communication électronique, formalités CNIL, politique de conservation des logs, politique d'archivage électronique et déclaration de politique d'archivage électronique, politique d'Identity and Access Management, clauses contractuelles spécifiques à la sécurité dans les contrats de prestation, etc.).

Il est intéressant pour tous les prestataires disposant de bases de données à caractère personnel de clients, et au premier rang les FAI à qui l'obligation est formellement destinée, de préparer la mise en place de cette obligation en amont de phase, avant qu'elle ne leur soit expressément demandée. Ce travail préalable constituerait aux yeux d'un public européen des plus sourcilleux concernant le traitement de ses données à caractère personnel une précaution saluée, et conforme à l'état de l'art du marché mondial. Toutefois, afin d'éviter un travail qui risquerait de ne pas être conforme avec les exigences communautaires et nationales, une analyse précise du cadre juridique applicable s'avère, comme on l'a vu, indispensable.

CO-ECRIT PAR FRANCOIS COUPEZ, Avocat à la Cour de Paris et PAR PASCAL AGOSTI, Avocat au Barreau de Nice, Docteur en droit

Autour du même sujet