www.enisa.europa.eu/act/it/risks-and-data-breaches/dbn/art4_tech/at_download/fullReport

La directive 2009/139/CE du 25 novembre 2009 a créé une obligation de notification au régulateur et aux personnes concernées de toute violation de la sécurité entraînant la destruction, la perte, la divulgation ou l’accès non autorisé à des données personnelles.

Pour le moment, cette obligation n’est imposée qu’aux entreprises offrant des services de communications ouverts au public. Il est cependant prévu, dans le projet de réforme de la directive 95/46 sur la protection des données personnelles, que l’obligation de notification soit étendue à tous les secteurs d’activité.

Cette disposition est en cours de transposition dans les différentes législations nationales. En France, la transposition a été opérée par une ordonnance du 24 août 2011, qui a inséré dans la loi du 6 janvier 1978 (« Informatique et Libertés ») un nouvel article 34 bis.

Ces législations qui sont d’application immédiate soulèvent d’ors et déjà bon nombre d’interrogations sur les modalités pratiques de mise en oeuvre, dans la mesure où elles se contentent de transposer de façon plus ou moins littérale la directive de 2009.

Afin de s’assurer d’une mise en oeuvre cohérente dans toute l’UE de l’obligation de notification, l’article 4 de la directive de 2009 permet à la Commission européenne d’adopter des mesures techniques d’application concernant les circonstances, le format, et les procédures applicables aux obligations d’information et de notification des violations de données à caractère personnel.

Dans cette perspective, l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) a publié en décembre 2011 ses recommandations sur les mesures techniques à adopter. L’ENISA a une fonction de conseil et de coordination des mesures prises par la Commission et les pays de l’UE, et vise également à sécuriser leurs réseaux et systèmes d’information. L’ENISA expose un éventail détaillé de mesures organisationnelles et techniques ainsi que des procédures à mettre en oeuvre.

A titre préventif : identifier les vulnérabilités et risques, évaluer les impacts potentiels, faire en sorte de les minimiser, mettre en place une organisation et des outils techniques de contrôle et de détection, identifier les rôles et responsabilités (une équipe préétablie), mettre en place un plan de gestion de crise et documenter la procédure, tester les mesures et contrôler leur application.

En cas d’incident : détecter et comprendre l’incident, évaluer (en deux temps) l’importance des risques et des impacts potentiels et identifier la population concernée, contenir l’incident (si nécessaire par la suspension temporaire du traitement) et remettre en état.

La notification de préférence en deux temps :
o préliminaire dans les 24 heures de la détection mais après une évaluation initiale,
o puis détaillée dans un délai variant de 7 à 15 jours en fonction des risques après une évaluation approfondie qui servira aussi, le cas échéant pour la notification des personnes concernées (mais toujours en fonction aussi des réglementations locales).

Les recommandations traitent des exemptions de notification, du contenu et des moyens de communication des notifications et de la nécessité d’avoir un plan de communication.

A moyen et long terme : garder un inventaire des incidents, les analyser et améliorer en conséquence la sécurité ou les procédures de traitement des incidents ou des notifications.

Dans ce texte l’ENISA anticipe sur la réforme européenne, bien que le projet de règlement ait été publié postérieurement (le 25 janvier 2012), et précise que ses recommandations concernent tout type de violation des données personnelles indépendamment de l’activité concernée. Elle aborde aussi très brièvement la question du Cloud computing.

Ces recommandations devraient être d’une grande utilité pour l’ensemble des entreprises y compris celles qui n’offrent pas des services de communications. En effet, compte tenu des contraintes que va imposer l’obligation de notification en terme organisationnel et procédural, et du montant significatif des sanctions en cas de non respect, il est important pour elles de pouvoir anticiper.

• Plus généralement la notification et le registre des incidents doivent aussi permettre aux autorités d’exercer un rôle « éducatif » et de prévention.