Cette ordonnance renforce donc, par ses articles 37, 38 et 39 la loi 78-17 du 6 janvier 1978[1], dite "Informatique et libertés". Pour ce qui nous intéresse ici, à savoir la notification des incidents de sécurité, ce sont aux articles 38 et 39 qu'il conviendra de s'intéresser.

Le premier nous explique en substance ce qu'on entend par "violation de données à caractère personnel" et précise que le cas échéant, je cite, "le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l'informatique et des libertés". De plus, si, je cite encore, la "violation peut porter atteinte aux données à caractère personnel ou à la vie privée d'un abonné ou d'une autre personne physique, le fournisseur avertit également, sans délai, l'intéressé". Cette obligation souffre cependant d'une exception notable puisque l'article 38 précise également que la "notification d'une violation des données à caractère personnel à l'intéressé n'est toutefois pas nécessaire si la Commission nationale de l'informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation". Ce n'est qu'à défaut que la commission pourra "mettre en demeure le fournisseur d'informer également les intéressés".

Et c'est bien là que le bât blesse à mon sens. Car pour que tout ceci ait un sens, la déclaration devrait se déroulait ainsi. Après avoir constaté l'incident et établi qu'il touchait des données à caractère personnel[2], le fournisseur va devoir notifier la CNIL du problème. Cette dernière, sur la base des déclarations du fournisseur[3], décidera si oui ou non il y a lieu de mettre ce dernier en demeure d'informer les personnes impactées. À défaut de mise en demeure, il ne se passera apparemment rien. La CNIL devra donc se montrer particulièrement motivée et réactive pour que ça fonctionne correctement. Or le moins qu'on puisse dire, c'est que c'est un zèle auquel cette commission ne nous a malheureusement pas encore habitués. Même si, reconnaissons-le, on en sent poindre la volonté de se rattraper...

Autre problème, celui de la sanction. Alors que d'aucuns jugent les sanctions actuelles ridicules au regard des investissements à consentir pour une sécurisation correcte des données, celles introduites par l'article 39 sus-mentionné sont les mêmes et en seront donc pas plus motivantes. De plus, quand on regarde les incidents en question, on constate trop souvent qu'ils sont imputables à de la négligence, laquelle se trouve punie par la loi à hauteur de 5 cinq ans d'emprisonnement et 300 000EUR d'amende. De fait, déclarer un incident pourrait revenir, pour le fournisseur, à s'exposer à une sanction pénal en admettant un manque de sécurisation. Le défaut de déclaration d'incident étant lui aussi soumis à une sanction similaire, il y a fort à parier que certains oublieront une déclaration dont les conséquences, ne serait-ce qu'en terme d'image, dépasseront largement la peine encourue. Enfin, quand on sait que, dans la pratique, personne ne se fait jamais taper sur les doigts, autant s'en donner à cœur joie...

Tout ça pour dire que si cette ordonnance va dans le bon sens, elle ne va pas encore assez loin pour réellement changer le paysage en matière de protection des données personnelles. Entre un processus reposant sur le bon vouloir d'un organisme débordé et des sanctions symboliques, il ne faut pas s'attendre à ce que les acteurs du secteur modifient leur façon d'aborder le problème. Que ce soit en investissant dans la protection des données en amont ou en jouant la transparence en cas de problème...

Notes

[1] C'est désormais la version consolidée que vous trouverez en ligne.

[2] Chose dont le fournisseur peut "ne pas s'apercevoir"...

[3] Déclarations qu'on pourrait ne pas avoir le temps et/ou les moyens de vérifier...