Logo Éduscol
Accueil du portail  Ressources  Légamedia  Données personnelles et faille de sécurité

Données personnelles et faille de sécurité

Page mise à jour le 01 juillet 2013

Le vol de données des millions d’utilisateurs de la plateforme de jeux en ligne d’un grand groupe industriel japonais a sans doute précipité l’adoption de l’ordonnance du 24 août 2011[1] qui crée un nouvel article 34 bis de la loi « Informatique et libertés » sur les failles de sécurité.

Présentation

Assurer la sécurité des données personnelles que l’on détient est obligatoire[2]. Et gérer les « violations de sécurité » est indispensable. Aucune application informatique, malgré tout le soin apporté pour atteindre le niveau de sécurité recherché, n’est à l’abri d’une attaque. C’est vrai des applications internes des entreprises ou des organismes et, plus encore, des sites ou services en ligne, davantage exposés et, paradoxalement, parfois moins sécurisés.

L’article 34 bis intégré dans la loi par ordonnance de 2011 s’applique à « toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques ».

Cet article pose différentes questions.

1. Qu’est-ce qu’une violation de sécurité ?

La notion de violation de sécurité s’analyse par les conséquences. Autrement dit, toute faille de sécurité n’entraîne pas forcément une violation de sécurité. Par exemple, une faille de sécurité corrigée avant d’avoir été exploitée n’entraîne pas de violation de sécurité.

Quant à l’origine, elle peut être :

  • une faille de sécurité accidentelle qui provient d’une faute, d’une erreur ou d’une négligence interne ;
  • une faille de sécurité ouverte au moyen de procédés illicites.

Une faille de sécurité est un défaut dans un matériel, un logiciel (par exemple un bogue dans un programme) ou une procédure, qui ouvre une brèche dans la sécurité du système. Ce peut être également une circonstance particulière (le système de contrôle est en panne, le gardien s’est évanoui).

La notion de faille de sécurité est donc essentiellement technique. Les éléments suivants, notamment, n’interviennent pas dans sa détermination :

  • une éventuelle faute du responsable de la gestion des données ;
  • la connaissance effective ou potentielle de la faille ;
  • sa gravité ;
  • etc.

En revanche, ces éléments pourront être pris en compte pour apprécier la gravité du risque encouru, ou encore les différentes responsabilités pénales ou civiles.

2. Que dois-je faire en cas de violation de sécurité ?

Lorsqu’une faille de sécurité est détectée, il est obligatoire :

  • d’informer la CNILCNIL
    « La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
    La CNIL remplit des missions :
      * d’information générale ;
      * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
      * de recensement et de publication des fichiers déclarés ;
      * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
      * de proposition pour faire évoluer les réglementations.
    Contactez la CNIL pour :
      * les SMS frauduleux (tél. : 33700) ;
      * les spams insidieux (www.signal-spam.fr).
    sans délai[3] ;
  • d’informer les personnes concernées lorsque cette violation peut porter atteinte à leurs données à caractère personnel ou à leur vie privée ;
  • de réagir immédiatement pour remédier à la violation de sécurité ;
  • de tenir un inventaire visant à tenir à jour la liste des violations identifiées, leurs effets et les mesures prises pour y remédier.

3. Que risque-t-on si on ne respecte pas l’article 34 bis ?

« Le fait pour un fournisseur de services de communications électroniques de ne pas procéder à la notification d'une violation de données à caractère personnel à la Commission nationale de l'informatique et des libertés ou à l'intéressé, en méconnaissance des dispositions du II de l'article 34 bis de la loi n° 78-17 du 6 janvier 1978, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende[4] ».

4. Qui est tenu d’appliquer cet article ?

Le texte, de l’article 34 bis, vise les « fournisseurs de services de communications électroniques accessibles au public ». Il ne s’adresse pas directement aux acteurs principaux de la gestion des données personnelles qui sont les « responsables de traitement ».

Aucune disposition légale ne définit le « fournisseur de services de communications électroniques accessibles au public ». Mais de l’avis de tous, et surtout de la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
, le texte ne s’adresse qu’aux opérateurs de télécoms et aux fournisseurs d’accès internet. L’article 34 bis et sa sanction pénale ne sont donc pas directement applicables aux services de l’Éducation nationale et de la communauté éducative.

Néanmoins, il doit être signalé que si leur responsabilité ne peut être engagée pour violation de l’article 34 bis, elle pourra l’être sur d’autres fondements tels que la négligence fautive, ou encore les régimes de responsabilités de droit commun. Parmi les régimes de responsabilité de droit commun, on peut citer les articles 1382[5], 1383[6] et 1147[7] du Code civil.

Mais attention, la proposition de règlement du Parlement européen et du conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données prévoit d’étendre la responsabilité juridique aux responsables de traitement.

Illustration

Régulièrement les médias informent sur la détection de failles de sécurité.

Il a ainsi été découvert, par hasard, par un site de presse que de nombreuses données médicales confidentielles se trouvaient en ligne accessibles par une simple recherche dans Google. La cause était à rechercher dans les failles de sécurité des systèmes notamment une mauvaise protection des serveurs informatiques des établissements et les maladresses du personnel des services hospitaliers.

On peut citer également le cas du vol de données des millions d’utilisateurs de la plateforme en ligne Playstation Network du géant japonais en 2011. L'attaque est survenue entre le 17 et le 19 avril 2011. Durant l'attaque, des millions de données personnelles et bancaires ont été subtilisées. Le 20 avril 2011, Sony ferme le PlayStation Network. Avec un total de plus de 77 millions d'utilisateurs, le nombre de données et d'identifiants volés en fait la plus grande violation de sécurité du réseau depuis son lancement en 2006. De lourdes pertes financières se comptant en milliards de dollars ont été recensées et un bon nombre d'actions en justice ont été engagées contre la firme.

Citations

« toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques ».

« Tout fait quelconque de l'homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer. »

« Chacun est responsable du dommage qu'il a causé non seulement par son fait, mais encore par sa négligence ou par son imprudence. » 

« Le débiteur est condamné, s'il y a lieu, au paiement de dommages et intérêts soit à raison de l'inexécution de l'obligation, soit à raison du retard dans l'exécution, toutes les fois qu'il ne justifie pas que l'inexécution provient d'une cause étrangère qui ne peut lui être imputée, encore qu'il n'y ait aucune mauvaise foi de sa part. »

En savoir plus…

Liens internes

Lien externe

Texte réglementaire

  • [1] Ordonnance n° 2001-1012 du 24 août 2011 relative aux communications électroniques.
  • [2] Articles 34 et 35 de la loi informatique et libertés du 6 janvier 1978.
  • [3] Les modalités d’informations de la CNILCNIL
    « La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
    La CNIL remplit des missions :
      * d’information générale ;
      * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
      * de recensement et de publication des fichiers déclarés ;
      * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
      * de proposition pour faire évoluer les réglementations.
    Contactez la CNIL pour :
      * les SMS frauduleux (tél. : 33700) ;
      * les spams insidieux (www.signal-spam.fr).
    sont prévues par le décret n° 2012-436 du 30 mars 2012.
  • [4] Article 226-17-1 du Code pénal
  • [5]« Tout fait quelconque de l'homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer. » 
  • [6]« Chacun est responsable du dommage qu'il a causé non seulement par son fait, mais encore par sa négligence ou par son imprudence. » 
  • [7]« Le débiteur est condamné, s'il y a lieu, au paiement de dommages et intérêts soit à raison de l'inexécution de l'obligation, soit à raison du retard dans l'exécution, toutes les fois qu'il ne justifie pas que l'inexécution provient d'une cause étrangère qui ne peut lui être imputée, encore qu'il n'y ait aucune mauvaise foi de sa part. »