Modification de la loi informatique et libertés

21 septembre 2011

L’obligation de révéler les fuites de donnéesL’ordonnance n° 2011-1012 du 24 août 2011 modifie la loi informatique et libertés. Désormais, les internautes devront donner leur accord préalablement à l’inscription de cookies et la CNIL recevra les notifications des failles de sécurité des opérateurs de communications électroniques.

Une directive européenne transposée au droit français

L’obligation de révéler les fuites de donnéesLa transposition en droit français des directives européennes dites « Paquet télécom » est intervenue avec la publication de l’ordonnance du 24 août 2011 qui modifie l’actuelle loi Informatique et libertés.

Si les premiers articles de l’ordonnance n’ont rien de révolutionnaire, on notera toutefois que le ministre en charge du secteur peut désormais imposer des audits de sécurité chez les opérateurs (article 6, modifiant les articles L 33-9 et L 33-10 du CPCE).

Dans le même esprit, l’article 16 permet à l’ARCEP d’imposer des niveaux de service minimums aux opérateurs.

Un accord pour l’utilisation des cookies qui ne change rien

Les cookies permettent de mémoriser sur votre ordinateur des informations envoyées par les sites web que vous visitez. . La CNIL a toujours soutenu l’adoption du principe de l’accord préalable de l’utilisateur. Si c’était le cas au niveau européen, l’ordonnance l’applique désormais au droit français.

L’accord préalable de l’internaute doit être associé à une information qui lui précisera notamment les mécanismes lui permettant, le cas échéant, de revenir ultérieurement sur sa décision et d’exprimer son refus.

Cependant, les exigences européennes portent sur le fait que les cookies doivent être stockés après autorisation de l’internaute, la manière dont cette autorisation est exprimée restant à la discrétion des pays. La France estiment que le le paramétrage du navigateur web suffit à prouver l’accord.

Ainsi, un paramétrage du navigateur acceptant tous les cookies sans distinguer leur finalité suffira à prouver l’accord de l’internaute. Ce qui finalement ne change rien à la situation actuelle puisque la majorité des navigateurs sont réglés ainsi d’origine.

Une autorisation claire et explicite aurait été plus logique. Cependant, elle aurait sans doute été difficile à mettre en Å“uvre vu le nombre de cookies et serait peut être même devenue une contrainte pour l’utilisateur comme pour les services.

La CNIL devra être notifiée des failles de sécurité

Les failles de sécurité qui entraînent de manière accidentelle ou illicite la perte, l’altération, et l’accès non autorisé à des données à caractère personnel devront être systématiquement notifiées à la CNIL.

L’article 38 de l’ordonnance institue l’obligation de notifier une violation des données à caractère personnel à la CNIL, ainsi qu’à la personne intéressée (l’abonné ou toute personne physique) par le traitement de données, lorsque cette violation peut porter atteinte à ses données personnelles où à sa vie privée.

Seuls les fournisseurs de services de communications électroniques, c’est-à-dire essentiellement les opérateurs déclarés auprès de l’ARCEP, sont concernés par cette nouvelle obligation. Désormais, ils auront l’obligation de mettre en place un inventaire des violations et de le conserver à la disposition de la CNIL.

300 000 euros d’amende et 5 ans d’emprisonnement

L’article 39 va fixer les sanctions en cas d’absence de notification. Celle-ci est punie de 300 000 euros d’amende et 5 ans d’emprisonnement (article 226-17-1 du code pénal).

Toutefois, vous n’aurez pas à notifier la violation de données à caractère personnel à l’intéressé si la CNIL a constaté que « des mesures de protection appropriées ont été mises en Å“uvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation. »

Ternir son image ou investir dans la sécurité

Tous les jours, les entreprises font face à des difficultés en matière de sécurité informatique. Ceci devrait en convaincre bon nombre d’initier des audits techniques et de revoir leurs procédures, ne serait-ce que pour se mettre en conformité avec cette nouvelle réglementation.

C’est d’ailleurs la vocation première de cette ordonnance. On le voit de plus en plus, les entreprises ont du mal à protéger les données personnelles de leurs clients. Elles devront désormais choisir entre ternir leur image en révélant la fuite et investir pour renforcer la sécurité de leur système informatique.

Suggestions de lecture

Posté dans: Responsabilités   Tags: ,

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>