Logo Éduscol
Accueil du portail  Ressources  Légamedia  Données personnelles et obligation de sécurité

Données personnelles et obligation de sécurité

Page mise à jour le 01 juillet 2013

Les données personnelles sont des données sensibles par nature. Il appartient donc à celui qui met en œuvre un traitement de données à caractère personnel d’assurer la sécurité de ce traitement et des informations qu’il comporte.

Présentation

Le fonctionnement même de la communauté éducative repose sur l’utilisation de données à caractère personnel dont certaines peuvent même être considérées comme particulièrement « sensibles » par la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
(biométriebiométrie
Né au début du XXe siècle pour désigner l’étude statistique des populations animales ou humaines, ce terme désigne aujourd’hui, le plus souvent, une technique d’identification des personnes à l’aide du repérage précis d’une caractéristique biologique ou comportementale propre à chacun d’entre nous. Comme dans les enquêtes policières ou les dispositifs d’accès très sécurisés, on peut prouver l’identité d’une personne par ses empreintes digitales, les couleurs et les dessins de son iris, le réseau des vaisseaux sanguins de son doigt, les fréquences de sa voix ou les caractéristiques de l’écriture de sa signature.
ou données de santé).

Mais quel que soit le degré de sensibilité de ces données, la loi « Informatique et libertés » impose à toute personne qui met en œuvre un traitement de données à caractère personnel d’assurer un niveau de sécurité « adapté » à ces données.

En matière de sécurité des données, on peut se poser cinq questions.

  • Qu’entend-on par sécurité ?

Cette obligation de sécurité est liée à l’article 34 de la loi Informatique et libertés qui précise que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Deux remarques sont à formuler sur cet article :

  • il n’est pas donné de précision sur les mesures « utiles » qui doivent être adoptées ;
  • il est énoncé dans cet article une quasi-obligation (« est tenu de ») de parvenir à l’objectif de sécurité des données ;
  • Quel est le risque de ne pas sécuriser ?

Le non-respect de l’obligation de sécurisation prévue à l’article 34 est puni de cinq ans d'emprisonnement et de 300 000 € d'amende aux termes de l’article 226-17 du Code pénal.

L’obligation de sécurisation est aussi assortie d’une sanction en cas de divulgation des données personnelles traitées.

En effet, l’article 226-22 du Code pénal prévoit que « le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.

La divulgation prévue à l'alinéa précédent est punie de trois ans d'emprisonnement et de 
 100 000 euros d'amende lorsqu'elle a été commise par imprudence ou négligence. »

  • Existe-t-il des standards ou des référentiels ?

Il existe de nombreux référentiels et guides concernant la sécurité des systèmes d’informations. Parmi ceux-ci, on peut citer (voir les liens en fin de fiche) :

  • les conseils de la CNILCNIL
    « La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
    La CNIL remplit des missions :
      * d’information générale ;
      * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
      * de recensement et de publication des fichiers déclarés ;
      * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
      * de proposition pour faire évoluer les réglementations.
    Contactez la CNIL pour :
      * les SMS frauduleux (tél. : 33700) ;
      * les spams insidieux (www.signal-spam.fr).
    qui a publié deux guides en 2012 et dix conseils pour la sécurité des systèmes d’information ;
  • un référentiel général de sécurité de l’Anssi pour les autorités administratives ;
  • la norme ISO 27000 qui fait une description développée des exigences en termes de gestion des risques liés à la sécurité de l’information ;
  • le S3it (schéma stratégique des systèmes d'information et des télécommunications) de l’Éducation nationale, de l’Enseignement supérieur et de la Recherche.
  • Que se passe-t-il si je confie à un tiers le traitement de mes données ?

L’article 35 de la loi informatique et libertés envisage cette hypothèse et prévoit que « le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures ».

Le contrat liant le tiers à la personne responsable des données doit préciser l’indication les obligations incombant à ce tiers en matière de protection de la sécurité et de la confidentialité des données et prévoit que le tiers ne peut agir que sur instruction du responsable du traitement. Par ailleurs, la loi fait obligation au responsable du traitement de veiller à des contrôles sur la mise en œuvre effective de ces mesures par le tiers prestataire.

  • Que se passe-t-il en cas de violation de sécurité ?

La réglementation a été complétée, en 2011, d’un article 34 bis qui appréhende désormais le cas de la faille de sécurité du traitement et régit la procédure qui doit être suivie dans ce cas[1].

Illustration

La CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
rappelle régulièrement l’obligation de sécurité qui incombe au responsable de traitement.

Elle a ainsi adressé un avertissement public à la société Free SAS pour avoir manqué à son obligation de sécurité au titre de l’article 34 de la loi du 6 janvier 1978 modifiée, en transmettant par erreur aux éditeurs d’annuaires et aux services de renseignements téléphoniques, le fichier des abonnés inscrit sur la « liste rouge ». 

Le fournisseur d’accès Free a l’obligation de mettre à la disposition des éditeurs d’annuaires, des abonnés et des services de renseignements téléphoniques, les coordonnées de ses abonnés qui ne se sont pas opposés à leur diffusion, à l’exclusion des abonnés inscrits sur une liste d’opposition.

Or à la suite d’une erreur de programmation informatique, elle a transmis aux éditeurs, au cours du mois d’avril 2006, une liste comportant les coordonnées de plus de 120 000 personnes qui avaient demandé à ce que leurs coordonnées ne paraissent pas dans les annuaires[2].

Dans une autre affaire, la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
a prononcé un avertissement public à l’encontre du site internet entreparticuliers.com qui avait rendu accessible, par l’intermédiaire de son site internet, à toutes les personnes disposant d’un espace personnel, les espaces personnels des autres internautes[3].

Astuce

Vérifier le niveau de sécurité par rapport aux dix conseils de base de la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
.

Citations

« le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

« le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.

La divulgation prévue à l'alinéa précédent est punie de trois ans d'emprisonnement et de 100 000 euros d'amende lorsqu'elle a été commise par imprudence ou négligence. »

« le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures »

En savoir plus…

Liens internes

Liens externes

Jurisprudences