Cette obligation a été évoquée à plusieurs reprises lors de la récente Université des Correspondants Informatique & Libertés, organisée récemment par l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel www.afcdp.org).
Pour aider le responsable de traitement (le plus souvent, le représentant légal de l’entreprise) à se mettre ou rester en conformité avec le cadre légal, un décret paru en octobre 2005 a formalisé la fonction de Correspondant Informatique et Libertés (ou CIL). Celui-ci a un rôle de conseil. Il propose les solutions permettant de concilier protection des libertés individuelles – dont le respect de cet article 34 – et intérêt légitime des entreprises.
Dans son intervention « CIL en Allemagne ou en France, même combat ? », Richard Bertrand, Correspondant Informatique & Libertés et Datenschutzbeauftragter (son équivalent outre-Rhin), a indiqué que la fonction allemande est très axée sur la sécurisation des données. Ainsi, au titre de l’article 6c de la loi fédérale de protection des données personnelle (Bundesdatenschutzgesetz), toute entreprise doit formaliser une procédure précise en cas de transfert de ce type d’informations sur tout support amovible, et notamment préciser les moyens prévus pour se prémunir d’une fuite de données lors de la perte du support.
Il est vrai que dans le domaine de la protection des données personnelles, nos voisins ont beaucoup d’avance sur nous : savez-vous que le Land de Hesse a créé la fonction de Délégué à la Sécurisation des Données (Datenschutzbeauftragte) dès 1970, soit plus de trente ans avant la France ?
Si on retrouve de nombreux points communs entre le Correspondant français et le délégué allemand (dont il s’inspire), on note plusieurs différences de taille outre-Rhin : la désignation d’un Datenschutzbeauftragte est obligatoire pour toute entreprise comptant plus de neuf salariés (et opérant des traitements informatiques), cette personne bénéficie du statut de salarié protégé et il détermine lui-même son budget de fonctionnement. C’est lui aussi qui fait signer à certains collaborateurs (ceux qui manipulent les données à caractère personnel) des engagements formels de confidentialité, engagements qui restent valables même après le départ de ces salariés.
La sécurisation des données a également été abordés par Christian Pardieu, CIL et Real Estate Europe Compliance Officer pour GE (General Electric) : « Nous sommes passés d’une défense périmétrique à une protection de la donnée » indique-t-il, « Nous devons protéger ces informations comme s’il s’agissait d’espèces, en les mettant dans un coffre ». C’est ainsi que tous les PC portables de GE sont chiffrés. Sage précaution. A l’échelle mondiale, l’entreprise perd ou se fait dérober chaque année environ 5.000 laptops !
Christian Pardieu souligne son étroit partenariat avec les RSSI des différentes entités de GE pour veiller au respect de la loi. Au-delà de la sécurisation des traitements effectués en interne, ses exigences s’étendent aux prestataires : le recours à la sous-traitance n’exonérant en rien le responsable de traitement de ses obligations.
Pour sa part, le Commissaire principal Yves Crespin, chef de la BEFTI (Brigade d’Enquêtes sur les Fraudes aux Technologies de l’Information), regrette le manque d’attention porté aux opérateurs et administrateurs : « Pas de sécurité sans gestion et prise en compte des aspects humains ». Ainsi le cas de cette entreprise de transports, confrontée récemment à une attaque de son système d’informations. Sollicitée, la BEFTI n’a pas mis très longtemps pour remonter jusqu’à un ancien administrateur technique, remercié quelques mois auparavant par l’entreprise. Il avait tout bonnement conservé ses droits. L’informaticien n’a fait aucune difficulté pour avouer : il avait alerté à plusieurs reprises sa direction de la sécurité insuffisante du SI : son attaque n’avait d’autre but que de prouver ses dires. De plus, il avait positionné des dispositifs espions, dans l’espoir de surprendre un échange entre directeurs de service, le regrettant et reconnaissant a posteriori son mérite. Pour Yves Crespin, « il aurait fallu écouter ce collaborateur avec plus d’attention ». Dans le même registre, le commissaire recommande de prêter quelque soin aux stagiaires.
Les mots de passe inchangés, même suite au départ d’un administrateur clé, sont monnaie courante : « Dans plus de la moitié des dossiers que ma brigade traite, nous mettons en évidence des problèmes de sécurité classiques » affirme Yves Crespin. L’an dernier, le compte rendu d’une réunion secrète du comité directeur d’une société cible d’une OPA s’est retrouvé dans la Presse. À nouveau, la brigade a rapidement découvert qu’un ancien administrateur réseau avait quitté l’entreprise sans que ses droits soient invalidés.
Ces précautions de premier niveau peuvent tout à fait être vérifiées par les agents habilités de la Commission Informatique & Libertés à l’occasion d’un contrôle inopiné, comme l’indique Bruno Rasle dans son intervention « Comment se préparer à un contrôle sur place de la CNIL ? ».
En effet la CNIL peut charger ses agents habilités de se rendre partout où est mis en œuvre un traitement de données à caractère personnel, afin de procéder à des vérifications sur place. Ces missions ont pour but d'examiner la régularité des traitements, de s'assurer que le traitement mis en œuvre correspond au traitement ayant fait l'objet des formalités préalables, de vérifier que l'ensemble des dispositions de la loi sont respectées – dont la sécurisation des données.
Bruno Rasle a rappelé que si la CNIL a infligé en 2006 un montant total en sanctions financières de 168.300 euros (réparti en onze sanctions, allant de 300 à 45.000 euros), son homologue espagnole dépasse depuis plusieurs années les vingt millions d’euros et prononce des sanctions unitaires qui peuvent aller jusqu’à 600.000 euros.
De leur côté, si les multiples autorités de contrôles allemandes infligent peu de sanctions, l’une d’entre elles a récemment facturé sa mission à l’entreprise contrôlée, au tarif horaire de cent euros!
Concernant la sécurisation des données, la CNIL s’est exprimé très tôt : sa délibération n° 81-094 du 21 juillet 1981 « portant adoption d'une recommandation relative aux mesures générales de sécurité des systèmes informatiques » est toujours d’actualité. À l’occasion de certaines étapes du Tour de France qu’elle a entrepris pour porter à la connaissance des chefs d’entreprises et d’organismes hébergeant des données à caractère personnel les nouveautés introduites par la nouvelle loi Informatique & Libertés, la CNIL sensibilise les RSSI à la protection des données personnelles.
La Commission intervient régulièrement pour rappeler aux responsables de traitement leurs obligations en ce domaine. Ainsi, durant l’été dernier, elle a fait suspendre l’application Bases Elèves (opérée par l’Education Nationale) pour cause de protection insuffisante. En mai 2007, lors d’un contrôle au sein d’un hôtel, la CNIL a mis en évidence un niveau de sécurité inadéquat au regard de la nature des données enregistrées (numéros de carte bancaire notamment). A l’issue du contrôle, la Commission a pris contact avec la société éditrice du logiciel hôtelier, qui l’a modifié de manière à chiffrer les données clientèles et bancaires. On se souvient également des remarques de la Commission concernant le DMP, souhaitant que les mesures de sécurité soient renforcées.
L’affaire la plus importante reste à ce jour la condamnation en 2001 du Président et du directeur du syndicat national professionnel des médecins du travail (50 000 et 30 000 francs d’amende) pour, notamment, défaut de sécurité. C’est plus précisément la mauvaise gestion du droit d’en connaître qui a été épinglée. Le jugement de la Cour de Cassation indique en effet que le traitement a été mis en œuvre « sans qu’aient été prises toutes les précautions utiles en vue d’empêcher la communication des informations médicales aux membres du personnel administratif, tiers non autorisés ».
Le Correspondant Informatique & Libertés peut donc aider le RSSI à renforcer la sécurisation des données à caractère personnel traitées par son entreprise. D’ailleurs de nombreux CIL sont également Responsable de la sécurité des SI : « Le premier CIL officiellement désigné auprès de la CNIL est d’ailleurs un RSSI, celui du Port autonome de Marseille », indique Bruno Rasle, « Le Correspondant est donc l’allié objectif du RSSI, pour assurer une meilleure protection des données et réduire le risque juridique couru par le responsable de traitement ».
D’une façon pragmatique, CIL et RSSI peuvent passer en revue, pour chaque traitement, les critères de la délibération CNIL de juillet 1981 (évaluation des risques, sensibilisation des personnels, dispositions de sécurité physique et logique, etc.), car il est probable que la pression augmente : le seuil des 200 contrôles sur place effectués par la Commission devrait être atteint cette année (contre une trentaine par an avant la refonte de la loi). Son site Web comporte d’ailleurs un avertissement clair : « L’année 2008, avec une augmentation significative des moyens consacrés par la CNIL à sa politique de contrôle, confirmera sans nul doute ce nouveau mode d’intervention ».
Flux Rss
Version PDF
Commenter 
La loi Informatique & Libertés révisée en août 2004 fait obligation au responsable de traitement de données à caractère personnel « de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (article 34). 
