Logo Éduscol
Accueil du portail  Ressources  Légamedia  Sécurité des données à caractère personnel

Sécurité des données à caractère personnel

Page mise à jour le 04 octobre 2016

Le mésusage des données à caractère personnel peut engendrer des atteintes à la vie privée, voire à l'intégrité, des personnes concernées. De ce fait, leur utilisation requiert des mesures de sécurité adaptées « au regard de la nature des données et des risques présentés par le traitement ».

Présentation

Le fonctionnement même de la communauté éducative repose sur l’utilisation de données à caractère personnel dont certaines peuvent être considérées comme particulièrement « sensibles »[1] par l’Éducation nationale (données de scolarité, par exemple). Par ailleurs, l'article 8 de la loi « Informatique et libertés » pose un principe général d'interdiction de traitement de certaines catégories de données (notamment données de santé), sauf exceptions très encadrées. Le traitement de ces données, dites « données sensibles » par la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
, requiert des formalités particulières et un haut niveau de sécurité. La CNIL porte également une attention particulière aux traitements recourant à la biométriebiométrie
Né au début du XXe siècle pour désigner l’étude statistique des populations animales ou humaines, ce terme désigne aujourd’hui, le plus souvent, une technique d’identification des personnes à l’aide du repérage précis d’une caractéristique biologique ou comportementale propre à chacun d’entre nous. Comme dans les enquêtes policières ou les dispositifs d’accès très sécurisés, on peut prouver l’identité d’une personne par ses empreintes digitales, les couleurs et les dessins de son iris, le réseau des vaisseaux sanguins de son doigt, les fréquences de sa voix ou les caractéristiques de l’écriture de sa signature.
, ou encore à la géolocalisation.

Quel que soit le niveau de risque associé au traitement de ces données, la loi n° 78-17 du 6 janvier 1978 dite « Informatique et libertés » impose à toute personne qui met en œuvre un traitement automatisé de données à caractère personnel d’assurer un niveau de sécurité « adapté » à ces données et à leur traitement.

En matière de sécurité des données, on peut se poser un certain nombre de questions.

Qu’entend-on par sécurité ?

Selon l’article 34 de la loi « Informatique et libertés », « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Trois remarques sont à formuler sur cet article :

  • Il n’est pas donné de précision sur les mesures « utiles » qui doivent être adoptées, mais il est nécessaire que « toutes » les précautions utiles soient prises. En d’autres termes, on ne peut se contenter de mesures obsolètes (anti-virus non à jour) ou de n’en choisir qu’une seule.
  • La sécurité n’est pas un choix, c’est bien une obligation de préserver la sécurité des données (« est tenu »).
  • C’est une obligation de moyens, et non de résultat.

Quelle est la sanction en cas de manquement à l’obligation de sécurité ?

Le non-respect de l’obligation de sécurité prévue à l’article 34 de la loi « Informatique et libertés » est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende aux termes de l’article 226-17 du Code pénal, sans préjudice d’un cumul avec d’éventuelles (et bien plus probables) sanctions de la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
.

Existe-t-il des standards ou des référentiels ?

Il existe de nombreux référentiels et guides concernant la sécurité des systèmes d’information qui s’appliquent aux traitements automatisés des données. Parmi ceux-ci, on peut citer (voir les liens en fin de fiche) :

Que se passe-t-il si je confie à un tiers le traitement de mes données à caractère personnel ?

L’article 35 de la loi « Informatique et libertés » envisage cette hypothèse et prévoit que « le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures ».

Le contrat liant le sous-traitant au responsable du traitement des données doit préciser les obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et doit prévoir que le sous-traitant ne peut agir que sur instruction du responsable du traitement. Par ailleurs, la loi fait obligation au responsable du traitement de veiller à contrôler chez le sous-traitant la mise en œuvre effective de ces mesures.

Qu’est-ce qu’une violation et une faille de sécurité ?

Selon le règlement européen n° 2016/679 du 27 avril 2016 (article 4), il y a une violation de sécurité quand elle entraîne « de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

La notion de violation de sécurité s’analyse par les conséquences. Autrement dit, toute « faille » de sécurité n’entraîne pas forcément une violation de sécurité des données. Par exemple, une faille de sécurité corrigée avant d’avoir été exploitée n’entraîne pas de violation de sécurité.

Une « faille » de sécurité est un défaut dans un matériel, un logiciel (par exemple un bogue dans un programme) ou une procédure, qui ouvre une brèche dans la sécurité du système. Ce peut être également une circonstance particulière (le système de contrôle est en panne, le gardien s’est évanoui).

La notion de faille de sécurité est donc essentiellement technique.

Que faire en cas de violation de sécurité ?

Lorsqu’une violation de sécurité est détectée, l’article 34 bis de la loi « Informatique et libertés » impose au fournisseur de communications électroniques au public :

  • d’informer la CNILCNIL
    « La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
    La CNIL remplit des missions :
      * d’information générale ;
      * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
      * de recensement et de publication des fichiers déclarés ;
      * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
      * de proposition pour faire évoluer les réglementations.
    Contactez la CNIL pour :
      * les SMS frauduleux (tél. : 33700) ;
      * les spams insidieux (www.signal-spam.fr).
    sans délai[2] ;
  • d’informer les personnes concernées lorsque cette violation peut porter atteinte à leurs données à caractère personnel ou à leur vie privée ;
  • de réagir immédiatement pour remédier à la violation de sécurité ;
  • de tenir un inventaire visant à tenir à jour la liste des violations identifiées, leurs effets et les mesures prises pour y remédier.

Que risque-t-on si on ne respecte pas l’obligation de notification d’une violation de sécurité ?

« Le fait pour un fournisseur de services de communications électroniques de ne pas procéder à la notification d'une violation de données à caractère personnel à la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
ou à l'intéressé, en méconnaissance des dispositions du II de l'article 34 bis de la loi « Informatiques et libertés », est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. »[3]

Qui est tenu d’appliquer cet article ?

Le texte de l’article 34 bis vise les « fournisseurs de services de communications électroniques accessibles au public ». Il ne s’adresse pas directement aux acteurs principaux de la gestion des données personnelles qui sont les « responsables de traitement ».

Aucune disposition légale ne définit le « fournisseur de services de communications électroniques accessibles au public ». Mais de l’avis de tous, et surtout de la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
, le texte ne s’adresse qu’aux opérateurs de télécoms et aux fournisseurs d’accès internet. L’article 34 bis et sa sanction pénale ne sont donc pas directement applicables aux services de l’Éducation nationale et de la communauté éducative.

Néanmoins, il doit être signalé que si leur responsabilité ne peut être engagée pour violation de l’article 34 bis, elle pourra l’être sur d’autres fondements tels que la négligence fautive, ou encore les régimes de responsabilités de droit commun. Parmi les régimes de responsabilité de droit commun, on peut citer les articles 1240 [4], 1241 [5] et 1231-1 [6] du Code civil.

Illustration

La CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
 rappelle régulièrement l’obligation de sécurité qui incombe au responsable de traitement automatisé de données à caractère personnel.

Elle a ainsi adressé un avertissement public à la société Free SAS pour avoir manqué à son obligation de sécurité au titre de l’article 34 de la loi « Informatique et libertés », en transmettant par erreur aux éditeurs d’annuaires et aux services de renseignements téléphoniques le fichier des abonnés inscrits sur la « liste rouge ». 

Le fournisseur d’accès Free a l’obligation de mettre à la disposition des éditeurs d’annuaires, des abonnés et des services de renseignements téléphoniques, les coordonnées de ses abonnés qui ne se sont pas opposés à leur diffusion, à l’exclusion des abonnés inscrits sur une liste d’opposition.

Or, à la suite d’une erreur de programmation informatique, il a transmis aux éditeurs, au cours du mois d’avril 2006, une liste comportant les coordonnées de plus de 120 000 personnes qui avaient demandé à ce que leurs coordonnées ne paraissent pas dans les annuaires[7].

Dans une autre affaire, la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
 a prononcé un avertissement public à l’encontre du site internet entreparticuliers.com qui avait rendu accessible, par l’intermédiaire de son site internet, à toutes les personnes disposant d’un espace personnel, les espaces personnels des autres internautes[8].

On peut citer également le cas du vol de données des millions d’utilisateurs de la plateforme en ligne Playstation Network en 2011. Des millions de données personnelles et bancaires ont été subtilisées. De lourdes pertes financières se comptant en milliards de dollars ont été recensées et un bon nombre d'actions en justice ont été engagées contre la firme.

L’absence de préjudice avéré pour les personnes concernées ne suffit pas à faire disparaitre le manquement. Le 24 mai 2016, la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
a sanctionné la société Ricard pour défaut de sécurité des données de ses clients car elles étaient accessibles librement sur internet. Elle a estimé que la société avait manqué à son obligation de veiller à la sécurité et confidentialité des données à caractère personnel, en méconnaissance de l’article 34 de la loi « Informatique et libertés ». 

Astuce

Vérifier le niveau de sécurité par rapport aux dix conseils de base de la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
.

Citations

« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. » (Article 34 de la loi « Informatique et libertés »)

« Le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.

La divulgation prévue à l'alinéa précédent est punie de trois ans d'emprisonnement et de 100 000 euros d'amende lorsqu'elle a été commise par imprudence ou négligence. » (Article 226-22 du Code pénal)

« Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. » (Article 35 de la loi « Informatique et libertés »)

En savoir plus…

Liens internes

Liens externes

Texte

Jurisprudences

  • [1] L'adjectif « sensible » est pris ici au sens courant et au sens métier de la sécurité des systèmes d'information, et non pas au sens de la CNILCNIL
    « La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
    La CNIL remplit des missions :
      * d’information générale ;
      * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
      * de recensement et de publication des fichiers déclarés ;
      * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
      * de proposition pour faire évoluer les réglementations.
    Contactez la CNIL pour :
      * les SMS frauduleux (tél. : 33700) ;
      * les spams insidieux (www.signal-spam.fr).
    . Alors que cette dernière limite son emploi à la liste des données énumérées à l'article 8 de la loi « Informatique et libertés », il caractérise dans cette phrase toute donnée dont le traitement ou les atteintes éventuelles peuvent avoir des conséquences néfastes ou relativement imprévisibles et potentiellement incontrôlables.
  • [2] Les modalités d’informations de la CNILCNIL
    « La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
    La CNIL remplit des missions :
      * d’information générale ;
      * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
      * de recensement et de publication des fichiers déclarés ;
      * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
      * de proposition pour faire évoluer les réglementations.
    Contactez la CNIL pour :
      * les SMS frauduleux (tél. : 33700) ;
      * les spams insidieux (www.signal-spam.fr).
    sont prévues par le décret n° 2012-436 du 30 mars 2012.
  • [3] Article 226-17-1 du Code pénal.
  • [4] « Tout fait quelconque de l'homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer. »
  • [5] « Chacun est responsable du dommage qu'il a causé non seulement par son fait, mais encore par sa négligence ou par son imprudence. »
  • [6] « Le débiteur est condamné, s'il y a lieu, au paiement de dommages et intérêts soit à raison de l'inexécution de l'obligation, soit à raison du retard dans l'exécution, s'il ne justifie pas que l'exécution a été empêchée par la force majeure. »
  • [7] Délibération n° 2006-208 du 21 septembre 2006.
  • [8] Délibération n° 2008 118 du 20 mai 2008.