Perte de données personnelles : vers une nouvelle loi ?

En France, une entreprise qui perd des données personnelles n'est pas tenue à informer les individus concernés, ni même la CNIL... Mais, une proposition de loi dans ce sens a été déposée.

Le 17 mars, Symantec et Ponemon Institute ont rendu public les résultats de leur étude sur le coût de la perte de données en France. Le document, intitulé "2010 Annual Study: French Cost of a Data Breach", révèle que le coût des pertes de données est en forte hausse. En comparaison à l’année 2009, ce coût a augmenté de 16%, s’élevant ainsi à 98 euros par donnée. Ce coût s’explique principalement par le fait que les entreprises se doivent de faire face à une telle perte dans de très courts délais.

Au sein du panel d'entreprises étudiées, le coût de perte le plus élevé a été de 8,6 millions d'euros, contre 282.000 euros pour le coût le plus bas. Là encore, l'année 2010 présente une hausse considérable par rapport à l'année 2009. L'étude indique que 43 % des pertes de données sont le fait de tiers, par exemple les sous-traitants de l'entreprise. Si les pertes du fait de négligences sont en baisse (29% en 2010 contre 35% l'année précédente), elles n'en demeurent pas moins importantes, et soulignent une réelle lacune en la matière.

"La protection des données reste un défi pour les entreprises, mais la plupart des pertes de données peuvent être évitées", indique Laurent Heslault, directeur des technologies de sécurité de Symantec en Europe de l'Ouest. "Les entreprises doivent non seulement protéger les données partout où elles sont stockées ou utilisées, mais également développer une culture de la sécurité, avec des formations, des règles et des actions. Les résultats de cette étude montrent que les entreprises qui appliquent les meilleures pratiques en matière de protection des données sont en mesure de réduire considérablement le coût potentiel des pertes de données."

Au Royaume-Uni, la perte de données est surveillée par l'Information Commissioner's Office (ICO, la commission nationale en charge de la protection des données personnelles au Royaume Uni - l'équivalent de la CNIL Française). Cette commission peut infliger des amendes allant jusqu'à 500.000 livres (soit environ 574.710 euros) aux entreprises contrevenant à la loi relative à la protection des données. De plus, en matière de perte de donnée, l'ICO est soutenu par le Financial Service Authority (FSA) pour le secteur de la banque-assurance, qui s'avère beaucoup plus sévère. Ainsi le FSA a condamné Zurich Insurance en août 2010, à une amende de plus de deux millions d'euros pour la perte des données de 46 000 de ses clients.

La France connait une législation similaire (harmonisation européenne oblige), notamment au travers de l'article 34 de la loi Informatique et Libertés. Toutefois, la différence la plus importante entre les deux systèmes est qu'en France, une entreprise qui perd ses données n'est pas tenue à informer les individus concernés par une telle perte, ni même la CNIL. A l'inverse, au Royaume-Uni, l'ICO à clairement fait savoir que bien qu'il n'y ait aucune contrainte légale, les entreprises "devraient rapporter à l'ICO les cas de failles de sécurité sérieuses", et notamment la perte de données personnelles. Cette démarche s'inscrit dans une procédure d'urgence, détaillée par l'ICO à l'intention des entreprise ayant perdu des données et visant à limiter les dommages causés par la perte.

Dans un cadre où la multiplication des pertes de données est de plus en plus médiatisée et où l'étude conduite par Symantec et Ponemon souligne des failles importantes, certains militent pour une densification de la loi de 1978 relative à la protection des données personnelles . C'est à ce titre que M. Yves Détraigne et Mme Anne-Marie Escoffier ont déposé, le 6 novembre 2009, une proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique. L'article 7 de cette proposition de loi, visait justement le cas des pertes de données. Il visait à modifier l'article 34 de la loi de 1978 comme suit :
« Art. 34. - Le responsable du traitement met en œuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel traitées contre toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation, la diffusion, le stockage, le traitement ou l'accès non autorisés ou illicites.

"En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant "informatique et libertés" ou, en l'absence de celui-ci, la Commission nationale de l'informatique et des libertés. Le responsable du traitement, avec le concours du correspondant "informatique et libertés", prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l'intégrité et de la confidentialité des données. Le correspondant "informatique et libertés" en informe la Commission nationale de l'informatique et des libertés. Si la violation a affecté les données à caractère personnel d'une ou de plusieurs personnes physiques, le responsable du traitement en informe également ces personnes, sauf si ce traitement a été autorisé en application de l'article 26 [traitements de données sensibles autorisés par arrêté ministériel ou du Conseil d'Etat]. Le contenu, la forme et les modalités de cette information sont déterminés par décret en Conseil d'État pris après avis de la Commission nationale de l'informatique et des libertés. Un inventaire des atteintes aux traitements de données à caractère personnel est tenu à jour par le correspondant "informatique et libertés"."

Toutefois, pour le moment la procédure s'est arrêtée au dépôt devant la commission des lois en mars 2010, mais il est probable qu'une telle procédure aboutisse. Si le Royaume-Uni connait un système particulier basé sur une expérience similaire en matière bancaire, la notification de perte de données est largement appréciée par les administrations européennes  et communautaires et devrait intégrer prochainement le corpus législatif.