Fuites de données personnelles : le nouveau cauchemar des entreprises
Le projet de réglementation européenne qui doit être présenté officiellement la semaine prochaine intègre de nombreuses dispositions qui auront vraisemblablement les faveurs des défenseurs de la vie privée et des données personnelles. Mais elles promettent de renforcer considérablement le risque juridique sur les entreprises.
On sait depuis la fin décembre que la Commission européenne s’apprête à rendre obligatoire la notification des fuites de données personnelles aux personnes concernées et aux autorités de protection des données personnelles compétentes - dont, en France, la CNIL. Nos confrères de l’AFP ont eu accès, en début de semaine, à des documents confirmant les informations précédemment diffusées par le Financial Times, à savoir que les entreprises pourraient encourir une amende d’un montant s’élevant jusqu’à 5 % de leur chiffre d’affaires mondial en cas de défaut de notification dans un délai de 24h de toute fuite de données personnelles. Ces documents, que nous avons pu consulter, sont des épreuves de travail datant de la fin novembre 2011. La version finale, qui doit être présentée le 25 janvier prochain, devrait en être très proche.
Pour mémoire, le 14 juillet dernier, Bruxelles avait ouvert une consultation sur les règles pratiques de notification des pertes de données personnelles. Consultation close le 9 septembre dernier. Mais deux autres consultations, sur le même thème, l’avait précédée en 2009 et 2010. Forte de ces travaux, Viviane Reding, vice-présidente de la Commission européenne et Commissaire à la Justice, évoquait, le 7 décembre dernier, le besoin d’un cadre réglementaire «qui protège les individus et stimule l’économie numérique ». En particulier, elle indiquait vouloir que les citoyens soient «toujours en capacité de prendre des décisions informées sur la manière dont leurs données personnelles sont utilisées. Les entreprises Internet doivent assurer la transparence ». Surtout, pour Viviane Reding, il apparaît essentiel que «les entreprises prennent la sécurité des données personnelles plus au sérieux. [...] Lorsque qu’une fuite de données survient, l’entreprise responsable devra en informer l’autorité compétente nationale immédiatement ainsi que les individus dont les données ont été compromises ou volées. [...] Rien ne peut excuser que l’on n'informe pas les personnes concernées de ce qui est arrivé à leurs données personnelles. Ce risque de fuites de données est préjudiciable à la confiance des personnes dans l’économie numérique.»
Moderniser la réglementation en vigueur
C’est dans ce contexte que l’on découvre un projet de directive qui renforce sensiblement la protection des données personnelles et risque de s’avérer fortement contraignant pour les entreprises. Le texte vise logiquement tous les traitements des données personnelles, de manière totalement ou partiellement automatisée, mais aussi les fichiers à l’ancienne, avec un traitement manuel. Il laisse toutefois de côté les activités sortant des compétences de l’Union, comme la sécurité nationale. Les institutions et agences de l’Union européenne sont également exclues du champ d’application du texte.
Par certains côtés, il présente des allures de PCI DSS appliqué aux données personnelles. Ainsi, les traitements sont exécutés sous la responsabilité d’un donneur d’ordre, et les données sont stockées sous une forme qui limite, dans le temps, l’accès en clair. Un accès qui doit d’ailleurs être restreint aux personnes qui en ont besoin pour leurs tâches professionnelles, et pour le temps de réalisation de ces tâches. Les entreprises collectant des données personnelles ou en assurant le traitement doivent, selon le texte, mettre en oeuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données et les restrictions d’accès. La Commission envisage même de définir elle-même des spécifications pour les mesures techniques.
Le projet de directive prévoit une responsabilité forte du donneur d’ordre : il doit s’assurer que celui qui exécute les traitements pour lui apporte des garanties techniques et organisationnelles suffisantes. Et si ce dernier veut sous-traiter tout ou partie du travail, il ne doit le faire qu’avec l’accord du donneur d’ordre.
De la même manière, le responsable des traitements doit mettre en place les mesures techniques et organisationnelles pour interdire les accès - en lecture, mais aussi effacement ou modification - non autorisés aux données.
En cas de transfert des données à l’étranger, il appartiendra au donneur d’ordre de vérifier que le transfert n’est pas préjudiciable au respect de la législation en vigueur en Europe. Tout donneur d’ordre étranger doit avoir un représentant dans l’Union.
En outre, le texte prévoit que les États membres doivent prendre les mesures nécessaires pour faire avancer la coopération sur la protection des données. Ils se doivent assistance mutuelle.
Un important devoir de contrôle et d’information
Les données collectées doivent être en rapport avec le but poursuivi. Et la collecte ne devra se faire qu’avec le consentement explicite des intéressés. Ceux-ci devront en outre être informés du but poursuivi, des données qu’il sera obligatoire de communiquer et facultatifs - ainsi que les conséquences d’un refus de fournir ces dernières. Ils devront pouvoir connaître les buts poursuivis dans le cadre de la collecte de leurs données, la période de rétention, l’existence d’un droit d’accès, de rectification et de suppression, mais aussi les destinataires des données ou leur nature; si le responsable prévoit de transférer les données à un pays tiers ou une organisation internationale et le niveau protection apporté par le destinataire. Bref, le devoir d’information des particuliers apparaît très large.
Le responsable des traitements devra être connu des personnes dont les données seront collectées, de même que le directeur chargé de la protection des données personnelles. Un poste important dont le rôle est précisément défini par le texte, de même que sa position dans l’organisation. En clair, il ne doit pas être qu’un alibi.
De lourdes sanctions
Mais le point marquant du texte est probablement l’obligation, dans les 24h, de notification de toute fuite de données. Une notification qui devra être assortie d’une description de la nature de l’incident et des données concernées, ainsi que de recommandations d’actions correctrices, des conséquences envisageables et des mesures proposées et adoptées. À moins que le donneur d’ordre ait fait la démonstration à l'autorité de contrôle qu’il a mis en oeuvre les mesures techniques appropriées pour répondre à la fuite. Des mesures rendant les données inintelligibles à toute personne qui chercherait à accéder aux données compromises dans la fuite.
Le projet de directive prévoit des sanctions administratives importantes. Et pour cause : elles se veulent «dissuasives ». Ainsi, un premier niveau de sanction, entre 100 et 300 000 euros ou 1 % du CA mondial pour une entreprise, est prévu en cas de défaut de communication avec les titulaires des informations concernées, ou de demande de paiement pour l’accès à ces informations. En cas de refus d’accès à l’information, de suppression, ou de modification, refus intentionnel ou par négligence, ou encore fourniture de l’information de manière partielle ou pas assez transparente, il faudra compter entre 500 et 600 000 euros ou 3 % du CA mondial. Enfin, en cas de défaut dans la communication des fuites, ou encore dans l’adoption des mesures appropriées à la protection des données traitées, ce sera de 100 000 à 1 000 000 € ou 5 % du CA monde d’une entreprise...
Et bien sûr, à ces sanctions administratives pourraient encore s'ajouter le fruit de poursuites engagées par les victimes.