Ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques
La directive 2009/136/CE du 25 novembre 2009 venant modifier la directive 2002/58/CE du 12 juillet 2002 relative au traitement des données personnelles et aux communications électroniques, a notamment introduit une obligation de notification d’un certain nombre d’événements (accidentels ou illicites) mettant en danger des données personnelles et présentant donc un risque pour les personnes concernées.
La France vient de s’ajouter à la liste de pays ayant transposé la directive (voir aussi notre article sur la transposition concernant les cookies). Elle l’a fait par voie d’ordonnance pour éviter d’aggraver le retard pris par rapport au calendrier européen et les éventuelles sanctions de la Commission européenne. L’ordonnance est directement applicable mais un projet de loi de ratification doit être présenté au Parlement avant la fin novembre 2011 sous peine de la rendre caduque.
Le texte de l’ordonnance reste fidèle à la Directive sans ajouter plus de précisions.
I. LE TEXTE
L’ordonnance du 24 août 2011 a créé un article 34 bis dans la Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (telle qu’amendée).
1. Le domaine d’application : les services de communications électroniques ouverts au public
La loi française ayant eu pour objectif de transposer la Directive, elle n’a pas étendu l’obligation de notification au-delà de ce qui est prévu dans cette dernière. En effet, l’obligation ne concerne que les données traitées dans le cadre de la « fourniture de services de communications électroniques ouverts au public ». La loi française précise que cela inclut aussi les fournisseurs « prenant en charge les dispositifs de collecte de donnée et d’identification ».
Certains pays comme l’Allemagne ont d’ors et déjà un système de notification s’appliquant très largement même si l’Allemagne prévoit par ailleurs d’introduire des dispositions spécifiques pour les violations dans le domaine prévu par la Directive. Un tel élargissement est aussi projeté au niveau européen.
2. Les données concernées : toutes
L’ordonnance ne pose aucune limite.
3. Les situations dans lesquelles il faut notifier la CNIL : la violation de données personnelles (ou « data breach »)
La notification à la CNIL est obligatoire dès lors qu’il y a « violation de données à caractère personnel ». Il s’agit de « toute violation de la sécurité entrainant accidentellement ou de manière illicite la destruction, la perte, l’altération la divulgation ou l’accès non autorisé à des données personnelles ». Cette disposition reflète celle de la Directive et ne se cantonne donc pas à des situations où un tiers peut avoir accès à des données mais semble inclure des situations où des données sont détruites, altérées ou perdues (pour tous).
Il est à noter que cela implique une notification systématique de tout incident sans aucune appréciation sur le fait qu’il présente un danger ou risque pour les personnes concernées (même si cette appréciation doit être faite par ailleurs).
4. Les situations dans lesquelles il faut aussi notifier les personnes concernées : le risque d’atteinte aux données ou à la vie privée
Il faut informer les intéressés dès lors que cette violation « peut porter atteinte aux données à caractère personnel ou à la vie privée de l’abonné ou de tout autre personne ».
L’ordonnance met en place un système à double vitesse.
En principe la notification doit se faire « sans délai » ce qui semble laisser l’appréciation du risque à l’initiative du responsable de traitement.
Cependant, l’ordonnance prévoit que l’appréciation de notifier ou non, relève aussi de la CNIL puisque celle-ci peut soit :
• dégager le responsable de traitement de son obligation de notifier si elle a constaté que des mesures de protections appropriées ont été mise en œuvre par celui-ci (afin de rendre les données incompréhensibles à des tiers non autorisé)
soit,
• enjoindre au responsable de notifier.
Gageons qu’il y aura un bon nombre de cas où les responsables de traitement (ayant pris des mesures appropriées de sécurisation) attendront la position de la CNIL avant de notifier aux intéressés.
5. L’obligation de garder un registre
Le responsable de traitement doit tenir un « inventaire » des violations (modalités, effets, mesures prises pour y remédier).
6. Les sanctions
En plus des sanctions que peut infliger la CNIL, l’absence de notification à la CNIL ou aux intéressés est punie d’une peine pouvant aller jusqu’à 5 ans de prison et 300.000€ euro d’amende (article 226-17-1 du code pénal).
7. Ce dont le texte ne traite pas
• Le contenu des notifications à la CNIL et aux victimes potentielles
• Les modes de notifications
• Les procédures internes à mettre en places
• Le rôle du CIL
Le texte de la Directive est un peu plus détaillé sur le premier point :
« La notification faite à l’abonné ou au particulier décrit au minimum la nature de la violation de données à caractère personnel et les points de contact auprès desquels des informations supplémentaires peuvent être obtenues et recommande des mesures à prendre pour atténuer les conséquences négatives possibles de la violation de données à caractère personnel. La notification faite à l’autorité nationale compétente décrit en outre les conséquences de la violation de données à caractère personnel, et les mesures proposées ou prises par le fournisseur pour y remédier »
II. LE PLAN D’ACTION
Pour être en mesure de se conformer à la loi, les entreprises concernées vont devoir mettre en place un système de détection et d’alerte des « violations » (avec des points de contact et chaines de communication) ainsi qu’un système et une méthode d’analyse (de la violation, des moyens d’y remédier, des risques potentiels pour les personnes concernées) et de gestion (de la mise en œuvre des mesures pour remédier à la situation, des recommandations à faire aux personnes concernées pour limiter les risques et plus généralement de la communication). Il faudra notamment tenir compte dans le calendrier et le contenu de la notification de ce que la divulgation d’un incident peut gêner une éventuelle enquête pénale ou encore provoquer de nouvelles violations (s’il n’a pas encore été remédié à la faille de sécurité). Ceci implique la mise en commun de compétences diverses : techniques, juridiques et de relations publiques. En plus du coût que cela représente pour toute entreprise, il faut aussi prendre en compte le risque d’atteinte à la réputation.
C’est donc avec beaucoup d’attention qu’il faut suivre les développements sur cette question. Si c’est devenu une priorité pour les sociétés concernées par la loi, les autres entreprises doivent aussi se préparer à l’élargissement quasi inéluctable. Sur ces points il peut être intéressant d’examiner l’exemple allemand concernant le domaine général, à savoir non spécifique aux services de communication (voir l’article sur les FAQ de l’autorité de Berlin sur la loi fédérale allemande)
Il est à souhaiter que dans ce domaine aussi il y ait une plus grande harmonisation au niveau européen pour éviter les communications différentes d’un pays à l’autre.