Formation au droit de la cybercriminalité

droit de la cybercriminalitéVirginie Brulé-Bensoussan et Marion Catier animent une formation pour Lamy Formation (Wolters Kluwer) sur le droit de la cybercriminalité le 17 juin 2019.

Elles dresseront un panorama des atteintes aux systèmes de traitement automatisés de données (STAD) et du vol d’informations avant d’évaluer quel plan d’actions mettre en oeuvre pour renforcer son dispositif de sécurité.

Panorama des infractions pénales

  • La notion de STAD
  • La notion de maître du système
  • La question de la protection du STAD
  • L’accès frauduleux
  • Le maintien frauduleux
  • L’atteinte à l’intégrité du système
  • L’atteinte à l’intégrité des données
  • L’association de malfaiteurs informatiques
  • La détention d’un programme informatique conçu pour commettre une atteinte à un STAD
  • La tentative
  • le vol d’information

Les actions à mettre en oeuvre suite à une attaque informatique

  • Dépôt de plainte
  • Déclaration de sinistre
  • Plan de communication interne et externe
  • Mise en situation : rédaction d’un plan média

Les mesures à mettre en place pour prévenir les attaques informatiques

Les principales mesures consistent à sécuriser le SI contre les risques externes mais également contre les risques internes à l’aide d’outils adaptés :

  • Charte des moyens informatiques et des outils numériques
  • Charte des administrateurs
  • Charte des tiers

La notification de violations de données

En cas de violation de données, il existe deux types de notification à faire : à la Cnil et à l’Anssi.

Devant la Cnil, il s’agit de faire des notifications initiale et complémentaire et d’informer les personnes concernées par les violations de données.

Devant l’Anssi (Agence nationale de la sécurité des systèmes d’information), les notifications devront être faites par :

  • les organismes d’importance vitale (OIV)
  • les organismes de service essentiel (OSE)
  • les fournisseurs de service numérique (FSN)

Télécharger la fiche thématique : Droit de la cybercriminalité

Pour la formation « Droit de la cybercriminalité », s’inscrire auprès des éditions Wolter Kluwer




Les obligations de notification des incidents de sécurité

notification des incidents de sécuritéLes obligations de notification des incidents de sécurité informatique nécessitent une gestion rigoureuse des événements et un système d’alerte performant.

Plusieurs autorités peuvent être notifiées en fonction du secteur d’activité de l’organisme et de sa sensibilité pour la sécurité nationale, de la nature des données collectées et du type de traitement.

Afin de répondre à l’ampleur de ce phénomène, l’introduction d’un guichet unique, qui centralise l’ensemble des incidents de sécurité, peut constituer une solution pragmatique et efficace pour simplifier les démarches des entreprises.

La notification des incidents de sécurité aux Agences régionales de santé

Les centres de santé (hôpitaux, cliniques, centres de soins, structures pour personnes âgées, handicapées et dépendantes) ont l’obligation de notifier les incidents graves de sécurité de leur système d’information aux organismes administratifs chargés de la mise en œuvre de la politique de santé au niveau régional.

Cette notification des incidents graves de sécurité aux Agences régionales de santé (ARS) vise pour l’essentiel à :

  • informer les autorités de l’Etat ;
  • aider les établissements concernés à prendre des mesures adaptées;
  • alerter l’ensemble des acteurs de santé concernés.

Les établissements de santé concernés ont l’obligation de signaler les incidents graves de sécurité, à savoir, les événements générateurs d’une situation exceptionnelle et notamment :

  • les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins ;
  • les incidents ayant des conséquences sur la confidentialité ou l’intégrité des données de santé ;
  • les incidents portant atteinte au fonctionnement normal de l’établissement, de l’organisme ou du service concerné.

La déclaration de notification des incidents graves de sécurité s’effectue, sans délai, sur le site signalement-sante.gouv.fr, ou, en cas d’impossibilité, par voie de formulaire figurant en annexe de l’arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d’information (1).

Les notifications des violations de données à caractère personnel à la Cnil

Tout responsable d’un traitement a l’obligation de notifier à la Commission nationale de l’informatique et des libertés (Cnil) les violations de données à caractère personnel, c’est-à-dire, toute violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

En cas de recours à la sous-traitance, le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

Le G29, groupe de travail réunissant les autorités de contrôles européennes, distingue trois cas de violations de données :

  • les violations de confidentialité : en cas de divulgation et/ou d’accès (accidentel ou non-autorisé) à des données personnelles ;
  • les violations de disponibilité : en cas de perte et/ou destruction (accidentel ou non-autorisé) de données personnelles ;
  • les violations d’intégrité : en cas d’altération et/ou modification (accidentel ou non-autorisé) de données personnelles.

La notification devra être effectuée au plus tard dans les 72 heures après que le responsable du traitement a eu connaissance de la violation. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

De plus, lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement communique également la violation de données à caractère personnel aux personnes concernées dans les meilleurs délais.

Les notifications des incidents de sécurité à l’Anssi

Trois catégories d’acteurs ont l’obligation de notifier à l’Agence nationale de la sécurité des systèmes d’Information (Anssi) les incidents de sécurité de leur système d’information.

Les Opérateurs d’importance vitale (OIV) sont désignés par le gouvernent. Ces organismes sont des entreprises exploitant des établissements ou utilisant des installations dont l’indisponibilité risquerait de diminuer la sécurité nationale. A cet égard, les OIV ont l’obligation d’informer le Premier ministre des incidents affectant le fonctionnement ou la sécurité de leur système d’information.

On trouve également, les Opérateurs de services essentiels (OSE) qui, désignés par le Premier ministre, offrent des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents affectant leur système d’information. Ces derniers doivent également déclarer à l’Anssi les incidents qui ont ou sont susceptibles d’avoir, compte tenu notamment du nombre d’utilisateurs et de la zone géographique touchés, ainsi que de la durée de l’incident, un impact significatif sur la continuité de ces services.

Les Fournisseurs de services numériques (FSN), entreprises qui fournissent des services de places de marché en ligne, des moteurs de recherche en ligne, ou services d’informatique en nuage sont également les débiteurs d’une obligation de notification à l’Anssi des incidents de sécurité qui affectent leur système d’information. Ces entreprises ont notamment l’obligation de déclarer les incidents affectant les réseaux et systèmes d’information nécessaires à la fourniture de leurs services dans l’Union européenne, lorsque les informations dont ils disposent font apparaître que ces incidents ont un impact significatif sur la fourniture de ces services.

En ce qui concerne les modalités de signalement, l’Anssi met à la disposition de ces acteurs un formulaire de déclaration d’un incident de sécurité, accessible depuis son site internet. Ce document devra lui être transmis sur un support adapté à la sensibilité des informations déclarées.

La notification d’incident de sécurité auprès de l’Anssi devra par ailleurs être effectuée, sans retard injustifié, par ces opérateurs.

Les notifications d’incidents à la Banque de France

Les Prestataires de services de paiement (PSP) regroupent les établissements de paiement et les établissements de crédit. Ces derniers doivent informer, sans retard injustifié, l’Autorité de contrôle prudentiel et de résolution (ACPR) de tout incident opérationnel majeur et la Banque de France de tout incident opérationnel majeur qu’ils auraient à connaître dans le cadre de leur activité. Cet incident est défini comme un évènement découlant de processus inadéquats ou défaillants, de personnes et systèmes ou d’événements de force majeure qui affectent l’intégrité, la disponibilité, la confidentialité, l’authenticité et/ou la continuité des services liés aux paiements.

La notification des incidents à l’ACPR et à la Banque de France s’effectue sur la base d’un modèle de notification pour les prestataires de services de paiement conforme à l’annexe 1 des lignes directrices EBA/GL/2017/10 (2). Ce document est communiqué dans les 4 heures qui suivent l’incident en se connectant à la Banque de France via un site internet dédié.

Anthony Coquer
Jean-François Mary
Lexing Département Sécurité et organisation

(1) Arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d’information, JORF n°0261 du 8-11-2017 .
(2) Orientations sur la notification des incidents majeurs en vertu de la directive (UE) 2015/2366 (DSP2), (EBA/GL/2017/10), 19-12-2017 : Lignes directrices, annexe 1 p. 21.




RGPD Notification des violations de données personnelles

notification des violations de données personnellesA compter du 25 mai 2018, il existera de nouvelles obligations de notification des violations de données personnelles.

En effet, le règlement général sur la protection des données (RGPD) (Rég. UE 2016/679 du 27-4-2016) généralise l’obligation de notification des failles de sécurité à l’autorité de contrôle compétente et impose une nouvelle obligation de communication aux personnes concernées par une violation de leurs données personnelles.

Ces obligations s’appliquent à tous les responsables de traitement, c’est-à-dire à tout organisme qui « détermine les finalités et les moyens du traitement » (Art. 4, 7° du RGPD), et non plus seulement aux entreprises fournissant des services de communications électroniques, comme le droit français l’impose à l’heure actuelle.

L’obligation de notification des violations de données personnelles à l’autorité de contrôle

L’obligation de notification à l’autorité de contrôle d’une violation de données à caractère personnel est introduite par l’article 33 du RGPD.

En vertu de cet article, le responsable du traitement doit notifier toute violation de données à caractère personnel à l’autorité de contrôle compétente dans les meilleurs délais, et si possible, 72 heures au plus tard après en avoir pris connaissance. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans ce délai, il convient de l’informer des motifs du retard. En France, l’autorité de contrôle compétente est la Cnil.

Lorsqu’un responsable du traitement constate une violation des données à caractère personnel qu’il traite, il est tenu d’informer l’autorité de contrôle de :

  • la nature de la violation de données à caractère personnel y compris, si possible, des catégories et du nombre approximatif de personnes concernées par la violation et des catégories et du nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • du nom et des coordonnées du délégué à la protection des données (DPO), ou de tout contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • des conséquences probables de la violation de données à caractère personnel ;
  • des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

S’il n’est pas possible de fournir toutes ces informations en même temps, elles peuvent l’être par étapes, dans un délai raisonnable.

De plus, le responsable du traitement doit documenter toute violation des données à caractère personnel, en décrivant les faits et les mesures qui ont été prises afin de permettre à la Cnil de vérifier qu’il a bien respecté son obligation de notification.

Il existe cependant une dérogation à cette obligation de notification des violations de données personnelles lorsque les violations en question ne sont pas susceptibles d’engendrer un risque pour les droits et libertés des personnes physiques. En outre, dans l’attente de la mise en œuvre du règlement et au regard des rapports publiés sur le sujet, cette obligation ne s’imposerait que pour les données qui pourraient être lues (2). Les failles concernant les données fortement chiffrées, rendant l’identification des données et des personnes, impossible n’auraient pas à être notifiées.

Le devoir de communication aux personnes concernées

L’obligation de notification des violations de données personnelles aux personnes concernées est introduite par l’article 34 du RGPD.

Conformément à cet article, le responsable du traitement doit informer la personne concernée de toute violation de ses données à caractère personnel lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.

La communication à la personne concernée doit être claire et simple, et contenir les informations suivantes :

  • le nom et des coordonnées du délégué à la protection des données (DPO), ou de tout contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • les conséquences probables de la violation de données à caractère personnel ;
  • les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Il existe certaines dérogations à la notification des violations de données personnelles aux personnes concernées lorsque :

  • le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement ;
  • le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n’est plus susceptible de se matérialiser ;
  • elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.

Dans l’éventualité où le responsable du traitement ne remplirait pas cette obligation de notification des violations de données personnelles à la personne concernée, l’autorité de contrôle peut intervenir et exiger du responsable du traitement qu’il procède à cette communication.

Virginie Bensoussan-Brulé
Lexing Contentieux numérique

(1) Règlement (UE) 2016/679 du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JOUE L 119 du 4-5-2016, p. 1–88)
(2) J. Ph. Albrecht, Rapport sur la proposition de règlement, Doc. A7-0402-2013 du 21-11-2013, amendement 64, p. 477.




Règlement européen de protection des données « J – 1 an »

Le règlement européen de protection des données : J - 1 anLe cabinet a organisé le 3 mai 2017 un petit-déjeuner débat sur le règlement européen de protection des données : « J – 1 an », animé par Alain Bensoussan.

En 2018, entrera en application le règlement européen de protection des données personnelles. Le compte à rebours s’accélère pour les entreprises.

Elles ont en effet jusqu’au 25 mai 2018 pour repenser la gouvernance actuellement mise en place en matière de protection des données personnelles et déployer de nouvelles actions pour être en conformité dans les délais imposés.

Il s’agira pour les entreprises notamment :

  • d’intégrer les concepts de protection des données personnelles dès la conception et par défaut. Ces principes recommandent d’inclure à toute technologie exploitant des données à caractère personnel, des dispositifs techniques de protection des données personnelles dès leur conception, ainsi que des mesures organisationnelles permettant d’anticiper en amont des projets informatiques la problématique de protection des données personnelles ;
  • de prendre en compte le principe d’accountability qui impose aux entreprises d’être en mesure de justifier l’ensemble des dispositifs de contrôle et d’encadrement mis en place pour assurer la conformité Informatique et libertés ;
  • de notifier à la Cnil toute violation de données à caractère personnel ;
  • d’introduire la fonction de Data Protection Officer (délégué à la protection) au sein de l’entreprise.

L’enjeu est primordial pour les entreprises : les sanctions susceptibles d’être prononcées sont très élevées, jusqu’à 2 ou 4 % du chiffre d’affaires mondial réalisé.

A un an de l’entrée en vigueur du règlement européen de protection des données, nous vous proposons, dans le cadre de ce petit-déjeuner débat, de préciser le chemin de route qu’il faut tracer.

Le petit-déjeuner débat a eut lieu de 9h30 à 12h00 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes




Amende record pour une fuite de données massive au Royaume-Uni

Amende record pour une fuite de données massive au Royaume-Uni

Suite à une cyberattaque provoquant une importante fuite de données, le groupe Talk Talk a écopé d’une amende record.

L’ICO (Information Commissioner’s Office), l’organe de protection des données personnelles britannique, reproche au groupe Talk Talk d’avoir ignoré un risque sérieux, connu et techniquement évitable de cyberattaque, causant le piratage de 156 959 comptes dont 15 656 numéros de comptes bancaires.

Une base de données vulnérable

Lors de l’acquisition des activités britanniques de la société Tiscali, le groupe Talk Talk a également fait l’acquisition de pages internet vulnérables donnant accès à une base de données plus que fournie en données personnelles puisqu’elle contenait les noms, adresses, dates de naissance, numéros de téléphone, adresses méls et informations bancaires et financières de nombreux clients.

Le groupe Talk Talk a été victime d’une série de cyberattaques commises entre le 15 et le 21 octobre 2015, utilisant manifestement des failles de sécurité de son système d’informations qui se sont traduites par la fuite de ses données, découverte à cause du ralentissement de son système informatique.

Une cyberattaque connue et techniquement évitable

La cyberattaque a été réalisée à l’aide d’une « injection SQL » qui consiste à modifier une requête SQL (Structured Query Langue ou en français langage de requête structurée) afin de se connecter à n’importe quel compte d’une base de données sans pour autant connaître le mot de passe et, par ce biais, d’en exfiltrer les données.

Or, comme le précise l’ICO, non seulement ce type de cyberattaque est très répandu mais, également, il existe des protections efficaces et connues permettant d’éviter ou de réduire le risque de contamination.

Dès lors, ayant échoué à « prendre des mesures techniques et organisationnelles appropriées » pour assurer une protection effective contre les traitements non autorisés ou illicites de données personnelles, le groupe Talk Talk a violé le 7e principe de protection des données personnelles prévu dans le Data Protection Act de 1998 et, par conséquent, a été condamné à régler une amende record de 400 000 euros.

Les raisons d’une amende élevée

L’importance de cette sanction s’explique notamment par le caractère sérieux de l’attaque, notamment du fait de l’ampleur de l’extraction de la base de données, de la nature des données, et de ses potentielles conséquences pour les clients.

De plus, cette décision est un avertissement vis-à-vis des entreprises qui ne prennent pas suffisamment au sérieux les risques de cyberattaques pouvant mener à la fuite de données personnelles de clients alors que, non seulement le risque est réel mais également, il existe des techniques efficaces pour y remédier ou prévenir ce risque.

Des risques réels pour les entreprises effectuant des traitements de données en France

En France, l’article 34 de la loi Informatique et Libertés impose que les entreprises prennent toutes précautions utiles visant à préserver la sécurité des données personnelles sous peine d’être pénalement sanctionnées.

En outre, dans le cas d’une violation de la sécurité de données faisant l’objet d’un traitement, les fournisseurs de services de communications électroniques ont, en vertu de l’article 34 bis de la loi Informatique et Libertés, l’obligation de prévenir sans délai la Cnil ainsi que les clients, en cas de risque d’atteinte à la vie privée.

Le principe de protection des données par défaut (« security by default ») instauré par le règlement (UE) 2016/679 sur la protection des données personnelles, vient renforcer cette obligation de veiller à la sécurité et à la confidentialité des données personnelles, tout en étendant cette obligation à tous les acteurs économiques, quel que soit leur secteur d’activité. Il implique, en conséquence, que les responsables de traitement mettent en place, dès la conception et l’élaboration du produit ou du service, des mesures techniques et organisationnelles appropriées relatives à la protection des données personnelles.

Alain Bensoussan Avocats
Lexing Droit Télécoms




Règlement européen et hébergement de données de santé

Règlement européen et hébergement de données de santéQuel impact le règlement européen sur la protection des données a-t-il sur l’hébergement agréé des données de santé ?

Nouvelles obligations pour les sous-traitants

Le règlement européen sur la protection des données, adopté le 27 avril 2016, sera applicable et opposable à tout responsable de traitement et sous-traitant à compter du 25 mai 2018.

La nouvelle procédure de certification d’hébergeur de données de santé sera probablement mise en place avant l’application du règlement (1), la loi de modernisation de notre système de santé. Elle devra nécessairement prendre en compte les nouvelles obligations découlant dudit règlement.

En effet, l’hébergeur de données de santé, agréé en vertu des articles L 1111-8 et R 1111-9 et suivants du Code de la santé publique (3), est un sous-traitant au sens du règlement européen (1).

L’hébergeur agréé sera dès lors soumis directement aux obligations suivantes :

  • le recours à la sous-traitance par le sous-traitant est subordonné à l’autorisation écrite spécifique préalable du responsable de traitement (art. 28) ;
  • la tenue d’un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement (art. 30) ;
  • la coopération avec l’autorité de contrôle (art. 31) ;
  • la mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (art. 32) ;
  • la notification au responsable de traitement de toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance (art. 33) ;
  • la désignation d’un délégué à la protection des personnes sous certaines conditions (art. 37) (4) ;
  • le respect des règles relatives aux transferts de données hors Union européenne (art. 44).

Par ailleurs, le contrat d’hébergement devra prévoir les engagements suivants du sous-traitant (art. 28) :

  • réalisation de traitement uniquement sur instructions du responsable de traitement ;
  • engagement du personnel tenu, par convention ou par obligation légale, à la confidentialité ;
  • réalisation des mesures nécessaires de sécurité ;
  • demande d’autorisation préalable du responsable de traitement pour toute sous-traitance ;
  • création des conditions techniques et organisationnelles nécessaires pour permettre au responsable de s’acquitter de son obligation de donner suite aux demandes d’exercice de leurs droits par les personnes concernées ;
  • aide du responsable à garantir le respect des obligations prévues aux articles 32 à 36 (sécurité des données, notifications de violations de données personnelles, analyse d’impact, consultation préalable) ;
  • suppression ou renvoi des données au terme de la prestation ;
  • mise à disposition du responsable et de l’autorité de contrôle de toutes les informations nécessaires.

Il convient dès lors de modifier les modèles de contrat d’hébergement des hébergeurs agréés.

Le sous-traitant est en outre pleinement responsable des prestations confiées à son propre sous-traitant (art. 28).

Règlement : ce qui change pour les hébergeurs agréés

Les hébergeurs de données de santé appliquent déjà de strictes mesures de sécurité, en vertu de leur agrément. Ce qui change, c’est qu’ils seront directement responsables vis-à-vis de l’autorité de contrôle, en sus de leur éventuelle responsabilité civile et pénale découlant du non-respect de leur agrément.

Concrètement, la tenue d’un registre, la notification des violations de données personnelles, la désignation d’un délégué à la protection des données sont autant de mesures nouvelles qui devront être mises en place par les hébergeurs.

Il conviendra également d’encadrer, dans les contrats d’hébergement, l’assistance apportée par l’hébergeur au responsable de traitement, son client, s’agissant des droits des personnes et s’agissant de ses obligations relatives à la sécurité des données, à la notification des violations de données personnelles, à l’analyse d’impact et à la consultation préalable.

A date, les contours du rôle du sous-traitant dans la réalisation de l’analyse d’impact, telle que définie à l’article 35 du nouveau règlement européen, ne sont pas clairement définis. Le 16 juin 2016, la Cnil a lancé à ce sujet une consultation, dont les contributions sont disponibles en ligne (5) et devrait rendre son rapport prochainement.

Marguerite Brac de la Perriere
Aude Latrive
Lexing Santé numérique

(1) Règlement (UE) 2016/679 du 27-4- 2016.
(2) Loi 78-17 du 6-1-1978 relative à l’informatique, aux fichiers et aux libertés.
(3) CSP, art. L1111-8 et R1111-9 et suivants.
(4) L’article 37 du Règlement européen prévoit trois cas obligatoires de désignation d’un délégué à la protection des données :
(a) traitement effectué par une autorité publique ou un organisme public, à l’exception des juridictions ;
(b) en cas d’opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées;
(c) en cas de traitement à grande échelle de données sensibles et de données à caractère personnel relatives à des condamnations pénales et à des infractions (ce dernier cas est susceptible d’inclure les hébergeurs agréés de données de santé).
(5) Cnil, Consultation sur le règlement européen sur la protection des données, 19-7-2016.




Failles de sécurité et violation de données personnelles

Couverture Minilex Failles de sécurité« Failles de sécurité et violation de données personnelles » la dernière publication du cabinet Alain Bensoussan Avocats Lexing aux éditions Larcier , premier ouvrage permettant aux entreprises de savoir comment réagir sur le plan juridique lorsqu’elles sont confrontées à une fuite de données.

Les médias se font régulièrement l’écho de comptes clients dérobés lors d’attaques informatiques ou dévoilées sur internet, et ce en raison d’une mauvaise configuration d’un site web, d’une « faille de sécurité ».

De la gestion à la production en passant par le marketing, quel que soit le secteur d’activité, l’informatique et plus généralement les réseaux sont omniprésents et rendent vulnérable toute organisation face aux failles de sécurité.

Qu’est-ce qu’une violation de sécurité : une faille ou un défaut ?

Cette expression a une acception très large. Elle recouvre tous les éléments qui portent atteinte à un système de traitement automatisé de données : les erreurs, les bogues, mais aussi les fraudes internes et externes. Elle traduit le fait qu’à un instant des données se trouvent avoir été corrompues.

Les risques sont importants : piratage des systèmes de traitement automatisé de données (STAD), perte d’informations confidentielles et stratégiques, vol de données personnelles, et lourds de conséquences tant sur le plan financier qu’en termes d’image.

Comment notifier à la Cnil et informer les clients et partenaires lorsque la faille de sécurité a conduit à une violation de données à caractère personnel ? Quelles sont les organisations soumises à cette obligation de notification et d’information ? Quelles sont les mesures de protection appropriées et les actions qui doivent être mises en œuvre ? Quels sont les recours et sanctions en cas d’exploitation d’une faille de sécurité par des pirates informatiques ? Quels services spécialisés de la police ou de la gendarmerie peut-on solliciter ? Comment ce cyber risque est-il couvert par les assureurs ?

Autant de questions abordées par cet ouvrage à jour du nouveau Règlement européen sur la protection des données adopté le 27 avril 2016, qui notamment généralise à l’ensemble des entreprises, quel que soit leur secteur d’activité, l’obligation de notifier les violations de données personnelles aux autorités nationales compétentes et, dans certains cas, aux personnes concernées.

Second ouvrage de la collection des MiniLex qui rassemble des ouvrages traitant l’essentiel des questions juridiques d’une technologie, le MiniLex Failles de sécurité et violation de données personnelles, a été rédigé par Virginie Bensoussan-Brulé, Chloé Torres, avec la collaboration de Gérôme Billois, Senior Manager, et Vincent Nguyen, consultant senior, au cabinet Solucom.

Il est édité par les éditions Larcier dans la collection Lexing-Technologies avancées & Droit. Il est préfacé par Lazaro Pejsachowicz, Président du Clusif.

MiniLex Failles de sécurité et violation de données personnelles, Ed. Larcier, Juillet 2016 (146 p.).




Protection des données : adoption du règlement européen

Adoption du règlement européen sur la protection des donnéesLe Parlement européen a adopté le 14 avril 2016 le règlement général sur la protection des données personnelles (1).

Réunis en séance plénière à Strasbourg, les parlementaires ont mis un point final à la réforme sur la protection des données personnelles après 4 années de travaux et de débats.

L’objectif du règlement est d’instaurer des mécanismes visant à assurer une application cohérente de la législation en matière de protection des données dans l’ensemble de l’Union européenne.

Les points clés du règlement sont :

  • la consécration d’un droit à l’oubli numérique pour les personnes concernées ainsi qu’un droit à la portabilité des données ;
  • le principe d’accountability ;
  • l’obligation de la mise en œuvre de la protection des données dès la conception et par défaut ;
  • le principe de security by design ;
  • la fonction de data protection officer ;
  • l’obligation de notification des violations de données à caractère personnel.

Les sanctions susceptibles d’être prononcées à l’égard d’un responsable de traitement ou d’un sous traitant qui ne respecterait pas les dispositions du règlement sont très élevées, jusqu’à 2 ou 4 % du chiffre d’affaires mondial.

Le règlement européen entrera en vigueur 20 jours après sa publication au Journal officiel de l’Union européenne.

Les entreprises disposent donc d’un délai de deux ans à compter de cette date pour se conformer aux nouvelles exigences prévues par le règlement.

Lexing Alain Bensoussan Selas
Lexing Droit de l’Informatique et des libertés

(1) Règlement européen n°5419/1/16 du 8-4-2016 tel qu’adopté par le Parlement européen le 14-4-2016. Règlement 2016/679.




Failles de sécurité : quel régime juridique ?

Failles de sécurité : quel régime juridique ?Quel est le régime juridique des failles de sécurité ? Chloé Torres répond aux questions de la rédaction de La Semaine juridique. Mais que recouvre exactement l’expression « faille de sécurité » ?

Quelles sont les obligations légales et en quoi consiste votre intervention ? Quelles sont les tendances ?

L’expression « failles de sécurité » est régulièrement utilisée par les médias qui se font l’écho de comptes clients dérobés lors d’attaques informatiques ou dévoilées sur Internet en raison d’une mauvaise configuration d’un site web. Cette expression recouvre tous les éléments qui portent atteinte à un système de traitement automatisé de données : les erreurs, les bugs mais aussi les fraudes internes et externes. Elle traduit le fait qu’à un instant des données à caractère personnel se trouvent avoir été corrompues.

L’article 34 bis de la loi Informatique et libertés utilise la terminologie de « violation de données personnelles » définit de manière extrêmement large comme toute destruction, perte, altération, divulgation ou accès non autorisé à des données.

L’entreprise victime d’une faille de sécurité doit mettre en place une cellule de crise habituellement composée de la Direction des systèmes d’information (DSI), du responsable de la sécurité des systèmes d’information (RSSI), de la direction juridique et d’un avocat spécialisé. Cette cellule de crise est chargée de piloter les principales actons (audit de sécurité, dossier de preuve technique, stratégie de communication vis-à-vis de la Cnil et des médias, assurance, etc.).

La proposition de règlement européen sur la protection des données qui devrait être adopté fin 2015 début 2016 va étendre à l’ensemble des entreprises l’obligation de notifier auprès de la Cnil toute violation de données à caractère personnel. Un texte qui aura un impact sur de nombreuses activités économiques…

Chloé Torres, « 3 questions : Failles de sécurité : quel régime juridique ?« , La Semaine Juridique – Entreprise et Affaires, n° 4, 22 janvier 2015.




Données personnelles : les impacts du futur règlement européen

Données personnelles: les impacts du futur règlement européenDonnées personnelles – André Meillassoux, Président de l’Association française du droit de l’informatique et de la télécommunication (AFDIT) et Alain Bensoussan organisent le 20 mars 2014, un colloque sur le thème « Données personnelles : les impacts du futur règlement européen » avec le concours d’Ubifrance.

La Commission européenne a publié le 25 janvier 2012 un projet de règlement général qui a vocation à réviser le cadre européen de la protection des données personnelles. Le texte définitif pourrait être publié d’ici fin 2014 et adopté en mai 2015. Les points clés de la proposition sont les suivants :

– l’obligation sous certaines conditions tenant à la taille de l’entreprise ou aux traitements mis en œuvre de désigner un délégué à la protection des données personnelles ;
– la consécration d’un droit à l’oubli numérique pour les personnes concernées ainsi qu’un droit à la portabilité des données personnelles ;
– l’application du principe d’accountability ;
– l’obligation de la mise en œuvre de la protection des données dès la conception et par défaut ;
– l’introduction de l’obligation de notification des violations de données à caractère personnel.

Cette proposition implique pour les entreprises d’adopter certaines mesures permettant de se préparer au futur renforcement des obligations.

Cette journée a pour objet de présenter les points clés de la proposition de règlement et les mesures à mettre en place pour anticiper son adoption.

Alain Bensoussan et Chloé Torres interviendront aux côtés de Christian Pardieu (GE Corporate), Patricia Le Large (Orange), Hélène Legras (Areva), Emmanuelle Bartoli (Atos), Dominique Entraygues et José Patrick Boé (Michelin), Serge Yablonsky (SYC Consultants), Fabien Gandrille (SCOR SE), Jacques Perret (GDF Suez), Bertrand Lapraye (Alcatel Lucent) et Jean-François Simon (Nestlé).

Edouard Geffray, secrétaire de la Cnil, clôturera cette journée.

Lieu : Ubifrance,
77 boulevard Saint-Jacques
75014 Paris

Informations (programme et inscription)




La réforme des données personnelles : avis d’expert

réforme des données personnellesLa réforme des données personnelles abordée par Maître Bensoussan interviewé par Sébastien David et Aurélie Magniez pour IT-Expert Magazine.

Un projet de règlement européen est sur le point de réformer profondément le cadre de la protection des données personnelles en Europe.

Si pour les entreprises, le projet de réforme des données personnelles va vers une simplification en matière de formalités administratives, il les soumet à des obligations accrues pour une meilleure protection des personnes. Chaque entreprise devra donc placer la protection des données au cœur de ses préoccupations et anticiper la réforme.

Maître Bensoussan nous livre en 4 épisodes son analyse juridique sur l’impact qu’aura le règlement Européen pour les entreprises.

L’apparition d’un règlement

Le projet de règlement est constitué de la directive 95/46 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, à la quelle ont été ajoutés les nouveaux principes suivants : le droit à l’oubli, le principe de minima et le formatage ainsi que la remise des données sous un format réutilisable.

Accountability

Il explique les modalités concrètes de la mise en oeuvre du règlement Européen qui réforme la protection des données personnelles et les conséquences pour l’entreprise de plus de 250 personnes, à travers le principe d’Accountability.

Notification des failles de sécurité

Maître Bensoussan aborde les aspects de sécurité et notamment l’obligation de notification des failles de sécurité. Il nous parle également de l’impact de cette notification en terme d’image de marque pour les entreprises.

Le CIL, obligations et missions

Il nous présente le CIL – Correspondant Informatique et Libertés – ses obligations et ses missions. Aujourd’hui, il n’est pas obligatoire pour les entreprises d’avoir un correspondant informatique et libertés mais vivement conseillé…

Interview intégrale IT-Expert




Failles de sécurité et réforme des données personnelles

Failles de sécuritéFailles de sécurité est le troisième thème abordé par Maître Bensoussan lors de son interview par Sébastien David et Aurélie Magniez pour IT-Expert Magazine.

III. – Maître Bensoussan aborde les aspects de sécurité et notamment l’obligation de notification des failles de sécurité.

Le projet de règlement oblige le responsable du traitement et le sous-traitant à mettre en œuvre les mesures appropriées pour assurer la sécurité du traitement (art. 30). Fondé sur l’article 17, paragraphe 1, de la directive 95/46/CE, cette disposition étend l’obligation de sécurité aux sous-traitants, indépendamment du contrat conclu avec le responsable du traitement.

Par ailleurs, le projet de règlement prévoit qu’à la suite d’une évaluation des risques, le responsable du traitement et le sous-traitant prennent les mesures appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite et la perte accidentelle et pour empêcher toute forme illicite de traitement, notamment la divulgation, la diffusion ou l’accès non autorisés, ou l’altération de données à caractère personnel.

En outre, il prévoit qu’en cas de violation de données à caractère personnel, le responsable du traitement en adresse notification à l’autorité de contrôle sans retard injustifié et, si possible, 24 heures au plus tard après en avoir pris connaissance. Lorsqu’elle a lieu après ce délai de 24 heures, la notification comporte une justification à cet égard. Le sous-traitant devra alerter et informer le responsable du traitement immédiatement après avoir constaté la violation de données à caractère personnel (art. 31).

La «violation de données à caractère personnel » est définie comme « une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l’altération, la divulgation ou la consultation non autorisées de données à caractère personnel transmises, conservées ou traitées d’une autre manière ».

Outre ces nouvelles obligations, Alain Bensoussan nous parle également de l’impact de la notification des failles de sécurité en terme d’image de marque pour les entreprises.

Episode 3 : La notification des failles de sécurité




Cnil : Procédure en ligne de notification des violations de données

Cnil : Procédure en ligne de notification des violations de donnéesLa Cnil a créé sa procédure en ligne de notification des violations de données personnelles le 23 août 2013 (1). Cette procédure, effective depuis le 25 août, fait suite à la publication du règlement européen du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel qui impose aux autorités de protection des données de mettre à disposition des fournisseurs de communications électroniques une procédure de notification des violations de données à caractère personnel.

Pour rappel, l’obligation de notification, qui incombe pour l’heure uniquement aux fournisseurs de communications électroniques, résulte de la ratification de la directive Paquet Telecom, qui a été transposée à l’article 34 bis de la loi Informatique et libertés.

Dès lors, si un fournisseur de communications électroniques constate une violation de données personnelles, il devra utiliser le formulaire téléchargeable sur le site internet de la Cnil, lequel pourra être adressé par la même voie. La Cnil met également à leur disposition un outil d’aide à l’analyse du degré de gravité de la violation de données personnelles.

Cette télé-procédure sera probablement étendue dans un futur proche, dans la mesure où le projet de règlement européen de protection des données à caractère personnel du 25 janvier 2012 prévoit l’extension de l’obligation de notification à tous les responsables de traitement.

Polyanna Bigle
Lexing Droit Sécurité des systèmes d’information
Caroline Macé
Lexing Droit Informatique et libertés contentieux

(1) Cnil, Rubrique Actualité, article du 23-8-2013




Projet de rapport sur la protection des données personnelles en Europe

Projet de rapport Ce début d’année est l’occasion de la publication du projet de rapport de Jan Philipp Albrecht, rapporteur à la Commission Libertés civiles, justice et affaires intérieures du Parlement européen, portant sur la proposition de règlement européen pour la protection des données à caractère personnel (1).

Les objectifs recherchés par cette Commission, dans le projet  de rapport susvisé, visaient à adopter une approche globale de la protection des données, à renforcer les droits de personnes concernées, à faire avancer la dimension et la cohérence internationale du marché et à renforcer la dimension mondiale des flux de données. Dans la droite ligne de ces objectifs, les principales remarques du rapporteur portent sur les points suivants.

En premier lieu, si le rapporteur se félicite que la Commission ait choisi de remplacer la directive actuellement en vigueur par un règlement, en vue d’une meilleure harmonisation de la réglementation en matière de protection des données au sein de l’Union européenne, tout en laissant la possibilité aux Etats membres de maintenir ou d’adopter des règles spécifiques concernant la liberté d’expression, le secret professionnel, la santé, ou encore l’emploi, il déplore l’insécurité juridique résultant du fait que la proposition de règlement ne couvre pas les services répressifs.

En second lieu, concernant le champ d’application territorial du règlement, le projet de rapport insiste sur le fait que celui-ci devrait également s’appliquer, dans un souci d’application cohérente de la législation en Union européenne, aux activités de traitement liées à l’offre de biens ou de services à des personnes concernées dans l’Union, que ces biens ou services fassent l’objet d’un paiement ou non, ainsi qu’aux activités liées à l’observation du comportement de ces personnes (par exemple, traçage sur internet).

En troisième lieu, le rapporteur encourage la protection et la sauvegarde des droits fondamentaux des citoyens, et notamment :

  • le recours à la pseudonymisation et à l’anonymisation ;
  • le principe de consentement, meilleur moyen de permettre aux personnes concernées de contrôler les activités de traitement les concernant, le projet de rapport ajoutant alors des précisions sur ce que constitue l’expression d’un consentement dans l’environnement « en ligne » ;
  • l’une information simple, compréhensible et normalisée (logos, icônes, etc.) ;
  • l’une définition et d’une réglementation des activités de profilage ;
  • la définition de certains termes constituant la base juridique d’un traitement, notamment la notion d’intérêt légitime du responsable du traitement ;
  • le principe « clé » de limitation de la finalité.

Le rapporteur soutient également à cet effet la thèse d’un renforcement du droit d’accès (assorti d’un droit à la portabilité des données) et introduit, dans le cadre du droit à l’oubli, la notion de droit à « l’effacement numérique » (cf. déréférencement), tout en insistant sur le fait que le droit d’opposition devrait pouvoir, dans tous les cas, être exercé gratuitement et être accordé à la personne concernée en des termes clairs, simples et adéquats.

En quatrième lieu, le rapport souhaite apporter des modifications à la proposition de règlement concernant la mise en œuvre des règles en matière de protection des données dans le cadre international du marché. A cet égard, le rapporteur :

  • considère que le seuil à partir duquel il est obligatoire de désigner un délégué à la protection des données ne devrait pas se fonder sur la taille de l’entreprise, mais plutôt sur l’importance du traitement des données (catégorie de données à caractère personnel, type de traitement et nombre de personnes dont les données sont traitées) ;
  • salue les concepts de protection des données dès la conception (privacy by design) et par défaut (privacy by default) rappelant que si l’on veut que la protection des données dès la conception soit efficace, il faut la mettre en œuvre à toutes les phases du cycle de vie des systèmes de traitement des données. Il propose toutefois de définir de manière plus claire ces concepts ;
  • suggère, dans un souci de pragmatisme, de faire passer de 24h à 72h le délai de notification d’une violation de données à caractère personnel à l’autorité de contrôle compétente ;
  • propose que le critère de compétence des autorités de contrôle soit fondé sur le lieu de résidence du citoyen, ce qui permettrait d’éviter une distance excessive entre la personne concernée et l’autorité compétente ;
  • propose de désigner comme point de contact unique pour les responsables de traitement et sous-traitants ayant des activités dans plusieurs Etats Membres, une autorité chef de file, qui ne disposerait pas de compétences exclusives, mais dont le rôle serait d’instruire ces situations transfrontalières au nom et pour le compte des autorités compétentes et d’assurer leur coordination avant de prendre toute décision ;
  • propose un nouveau mécanisme de cohérence renforçant le rôle et les pouvoirs du Comité européen de la protection des données, notamment en lui conférant un pouvoir décisionnel sur les projets de décisions d’une autorité de contrôle, ou en le chargeant de fournir des orientations supplémentaires.

En dernier lieu, concernant plus particulièrement les flux transfrontières de données, le rapport rejette la nouvelle option prévue dans la proposition de règlement visant à permettre à la Commission européenne de reconnaître comme ayant une protection adéquate, outre des pays, des secteurs d’activité, considérant que cette possibilité serait source d’un accroissement de l’insécurité juridique. Le rapporteur énonce enfin clairement que les transferts de données vers des pays tiers devraient en toutes hypothèses être encadrés par des règles d’entreprise contraignantes ou des clauses standards de protection des données.

Ce projet de rapport doit maintenant être publié dans sa version définitive afin que les propositions qui y sont contenues puissent être étudiées par le Parlement européen et le Conseil.

(1) Projet de rapport Jan Philipp Albrecht sur proposition de règlement.




Notification des violations de données personnelles : la position de la Cnil

La Cnil a publié, le 28 mai 2012, un article sur son site internet relatif à la notification des violations de données à caractère personnel prévue par l’article 34 bis de la loi Informatique et libertés et le décret du 30 mars 2012. Elle apporte notamment des éclaircissements s’agissant de ce qui constitue, à son sens, une violation de données à caractère personnel et des mesures de protection appropriés en vue de pallier ces violations.

La Commission précise également que seuls les fournisseurs de services de communications électroniques accessibles au public, tels que les fournisseur d’accès Internet, sont soumis à ces dispositions, contrairement aux entités telles que les banques en ligne, les sites d’e-commerce ou les téléservices des administrations.

Cnil, rubrique Actualité, article du 28 mai 2012




L’obligation de notification des failles de sécurité

notification des faillesLe décret du 30 mars 2012 précise les modalités pratiques de notification des failles à la Cnil et aux personnes concernées des violations de sécurité visées par la loi Informatique et libertés.

La loi du 6 janvier 1978 prévoit, en son article 34 bis, qu’en cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public doit avertir sans délai :

  • la Cnil de l’existence d’une violation ;
  • les personnes concernées, lorsqu’il y a un risque d’atteinte à la vie privée ou d’atteinte aux données à caractère personnel.

Le décret du 30 mars 2012 est venu préciser les informations que le fournisseur doit communiquer à :

  • la Cnil en cas de violation de données à caractère personnel ;
  • la personne concernée en cas de risque d’atteinte aux données à caractère personnel ou à la vie privée d’une personne.

Ce texte précise, toutefois, que le fournisseur peut être dispensé de notifier la violation de sécurité à la personne concernée s’il a mis en place des mesure de protection appropriées (la définition de telles mesures étant donnée par le décret) et si la Cnil a constaté que ces mesures ont été mises en œuvre.

Il est important de rappeler que le non respect des obligations d’information peut coûter cher au fournisseur, le code pénal le punissant de cinq ans d’emprisonnement et de 300 000 € d’amende.

L’implémentation, par les fournisseurs de services de communications électroniques accessibles au public, d’une stratégie interne relative à la possibilité d’informer la Cnil de la mise en œuvre de mesures de protection afin bénéficier de l’exception de notification des failles, semble donc à envisager.

Décret n° 2012-436 du 30-3-2012
Décret n° 2005-1309 du 20-10-2005




Paquet télécoms : Cookies, spams et notification des failles de sécurité

Paquet télécomsLe nouveau « paquet télécoms » (directives CE) vient d’être transposé en droit français par l’ordonnance du 24 août 2011.

Ainsi, la protection de la vie privée et des données personnelles est élargie avec l’interdiction des spams,l’encadrement de l’usage des cookies.

Par ailleurs, l’obligation est faite aux opérateurs de notifier les violations de données personnelles constatées.

Alain Bensoussan pour Micro Hebdo, le 22 septembre 2011




Faille ou défaut de sécurité : nouvelles règles du jeu

faillePetit-déjeuner du 5 octobre 2011 – Alain Bensoussan et Céline Avignon ont animé un petit-déjeuner débat consacré à la nouvelle obligation de notification d’une faille de sécurité introduite par l’Ordonnance du 24 août 2011 de transposition du nouveau « Paquet télécom ».

S’agissant de la protection de la vie privée et des données personnelles dans le cadre des services de communications électroniques, l’ordonnance complète la loi relative à l’informatique, aux fichiers et aux libertés par de nouvelles obligations figurant à l’article 34 bis.

Cet article est une véritable révolution juridique qui s’applique à « toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques ».

L’article 34 bis crée quatre obligations :

  • d’information générale de la Cnil en cas de violation de sécurité ;
  • de notification aux clients dans un certain nombre de cas ;
  • de réaction immédiate pour remédier à la violation ;
  • d’inventaire visant à tenir à jour la liste des violations identifiées, leurs effets et les mesures prises pour y remédier.

Il confère également un nouveau pouvoir à la Cnil puisqu’il prévoit que cette dernière peut, après avoir examiné la gravité de la violation, mettre en demeure l’intéressé de procéder à une notification du client.

Ce nouvel article pose une série de questions dont la résolution est d’importance puisque le non-respect de l’obligation de « notification » est sanctionné pénalement.

Quelles sont les personnes soumises à ces nouvelles obligations ? Qu’est ce qu’une violation de sécurité : une faille ou un défaut ? Comment informer la Cnil et notifier les clients ? Quelles sont les « mesures de protection appropriées » qui permettent d’éviter une notification client ?

Que l’on soit ou non directement et immédiatement soumis à ces nouvelles dispositions, la réponse à ces questions intéresse tout un chacun dès lors que les objectifs posés tant par les instances nationales qu’européennes sont d’étendre cette obligation à tous les responsables de traitement quels qu’ils soient.

Nous vous avons proposé, à l’occasion d’un petit-déjeuner, de faire le point sur ces nouvelles dispositions.

Le petit-déjeuner débat a eu lieu le 5 octobre 2011 dans les locaux de ALAIN BENSOUSSAN sis 29, rue du Colonel Avia 75015 Paris.




Cookies et notification des failles de sécurité à la Cnil

Les nouvelles dispositions issues de l’ordonnance du 24 août 2011 (1) transposant le paquet télécoms introduisent une protection renforcée de la vie privée et des données personnelles, se traduisant par diverses mesures, dont l’encadrement légal des « cookies », l’interdiction de la prospection directe sans consentement préalable et la modification de la loi Informatique et libertés. Concernant l‘encadrement légal des « cookies », l’article 37 de l’ordonnance rappelle le principe d’une information claire et complète de l’internaute sur l’installation des cookies, ainsi que sur leur finalité et les moyens de les refuser. La mesure innovante de ce texte relève de la subordination de l’accès aux informations déjà stockées dans l’équipement terminal ou de l’inscription des informations dans cet équipement au consentement préalable de l’abonné ou de la personne utilisatrice. Ce consentement peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Ces dispositions ne sont toutefois pas applicables aux cookies dits de « navigation » qui ont pour principale finalité de « permettre ou de faciliter la communication par voie électronique » et aux cookies strictement nécessaires à la fourniture d’un service.

Concernant la prospection directe visée à l’article 8 de l’ordonnance, celle-ci est interdite lorsqu’elle est effectuée au moyen de systèmes automatisés d’appel et de communication, d’un télécopieur ou de courriers électroniques et qu’elle utilise les coordonnées d’une personne physique abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement.

Parallèlement, l’article L.121-15-1 du code de la consommation, qui prévoit que « les publicités, et notamment les offres promotionnelles […] adressées par courrier électronique, doivent pouvoir être identifiées de manière claire et non équivoque dès leur réception » est complété par une disposition posant l’obligation d’indiquer une adresse ou un moyen électronique qui permet effectivement au destinataire de transmettre une demande visant à obtenir la cessation de ces publicités.

Concernant la protection des données à caractère personnel, l’ordonnance prévoit, à l’article 38, une procédure spécifique de notification à la Cnil et à l’utilisateur en cas de « faille de sécurité ». Cet article s’applique aux traitements de données à caractère personnel mis en oeuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification.

Ainsi, le fournisseur de ces services est désormais astreint à l’obligation de notifier sans délai à la Cnil toute de violation de sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques.

Cet article impose également au fournisseur de services de communications électroniques d’informer l’intéressé lorsque la faille de sécurité porte atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique. Toutefois, la notification à l’intéressé n’est plus nécessaire en cas de constatation par la Cnil de mesures de protection appropriées mises en oeuvre par le fournisseur pour rendre les données concernées par la violation incompréhensibles à toute personne non autorisée à y avoir accès. A défaut, la Commission peut mettre en demeure le fournisseur d’informer également les intéressés après avoir examiné la gravité de la violation.

Enfin, chaque fournisseur de services de communications électroniques tient à jour, à la disposition de la Cnil, un inventaire des violations de données à caractère personnel, ainsi que leur effet et les mesures pour y remédier. Le Conseil national du numérique (CNN) avait rendu, sur demande du gouvernement, un avis du 23 mai 2011 (2) considérant que ce dernier dispositif d’information de la Cnil en cas de faille de sécurité était plus contraignant que celui prévu par la directive. A titre d’illustration, dans le texte de la directive, le fournisseur doit avertir « sans retard indu » l’intéressé, mention qui n’est pas fidèlement transposée dans l’ordonnance puisque la mention « sans délai », beaucoup plus contraignante, y est substituée. L’avis du Conseil national du numérique n’a donc pas été suivi par le Conseil des ministres puisque des mesures plus strictes que celles instaurées par la directive ont été adoptées.

(1) Ordonnance n° 2011-1012 du 24-8-2011 ; Rapport du 26-8-2011 ; Arcep, Avis n° 2011-0524 du 10-5-2011
(2) Avis du 23-5-2011




Consultation européenne sur la notification des violations de données personnelles

La Commission européenne lance une consultation sur les modalités pratiques de l’entrée en vigueur de l’obligation prévue par la directive 2009/136/CE « Vie privée et communications électroniques » du 25 novembre 2009, qui impose aux fournisseurs d’accès à internet d’informer les autorités nationales compétentes de toute violation des données personnelles.Elle entend ainsi recueillir les commentaires des opérateurs de télécommunications, des fournisseurs de services internet, des Etats membres, des autorités nationales responsables des données et des organisations de défense des consommateurs.

La consultation, qui prendra fin le 9 septembre prochain, pourrait donner lieu à la rédaction, par la Commission, de « mesures techniques d’application » susceptibles d’être examinées par le Parlement.

Commission européenne, Communiqué du 14-7-2011