Andy Dean - Fotolia
Législation : une transparence toute relative pour les violations de données personnelles
Les attaques de rançongiciel actuelles s’apparentent à des brèches monétisées, avec généralement atteinte à des données personnelles. Mais pas question d’en connaître l’ampleur. Car la législation interdit à la CNIL de divulguer les formulaires de notification de violations qui lui sont adressés.
Holy-Dis, Spie, Prismaflex, Carlson Wagonlit Travel, et MMA ; Bouygues Construction, DMC, Bretagne Telecom, ou encore Bolloré Logistics plus tôt, des collectivités territoriales… La liste des victimes de ransomware ne cesse de s’allonger. Avec une constante pour plusieurs groupes de cyberdélinquants : des données sont volées avant que ne soit lancé le chiffrement des machines compromises au sein du système d’information de la victime. Place ensuite à l’extorsion.
Une communication à géométrie variable
Selon les organisations, la transparence est à géométrie très variable. Certaines font le gros dos face aux demandes de la presse, en attendant que passe l’orage ; d’autres communiquent succinctement pour rassurer leurs investisseurs et se conformer à leurs obligations réglementaires ; et certaines assument pleinement une situation délicate en répondant (là encore, plus ou moins) aux questions posées.
En début d’année, Bouygues Construction a été frappé par le rançongiciel Maze. Une cyberattaque sur laquelle le groupe n’a que très sporadiquement communiqué. S’exprimant jeudi 20 février sur celle-ci, à l’occasion de la présentation des résultats de son groupe, Martin Bouygues l’assurait : « on ne peut pas dire, a priori, que l’on ait été négligent sur les besoins de protection ». Et d’affirmer que le groupe avait été « attaqué par quelque chose de nouveau, par un virus d’un nouveau genre ».
Pour un avocat, fin connaisseur des obligations en matière de communication financière, le PDG semblait là chercher surtout à rassurer les investisseurs et analystes, car « ce que sanctionnent les marchés, ce n’est pas tant l’aléa ou de mauvais résultats, que l’impréparation et des procédures inadaptées pour faire face ». Mais quid de la réelle ampleur de l’attaque ? Mystère…
Le RGPD clé de la transparence ?
Pour s’en faire une idée, il y aurait bien quelques indicateurs : la quantité de données personnelles compromises, leur nature, le nombre de personnes concernées, etc. Autant de choses que l’entreprise est censée déclarer à la CNIL en vertu du règlement général de protection des données (RGPD).
Nous avons posé la question à la CNIL le 6 mars dernier. Et ceux qui pouvaient être tentés d’espérer une plus grande transparence sur les violations de données personnelles en France du fait du RGPD vont rester sur leur faim.
L’analyse de la commission commence de manière favorable : la « consultation de ce type de formulaire revêt le caractère de document administratif au sens de l’article L. 300-2 du code des relations entre le public et l’administration (CRPA). Il est donc en principe communicable sous réserve des dispositions des articles L. 311-5 et L. 311-6 du même code ». Et celles-ci, justement, sont invoquées pour conclure que, non, un formulaire de notification de violation de données à caractère personnel, d’un responsable de traitement précisément identifié, « n’est pas possible sur le fondement des dispositions du CRPA ».
La CNIL estime ainsi qu’un « tel formulaire est susceptible de révéler de la part du responsable de traitement concerné un non-respect des règles de gestion de ces données, notamment l’obligation de sécurité appropriée »… Et justement, « la divulgation de ce type de comportement pourrait dès lors lui porter préjudice ». Ce qui contreviendrait à certaines dispositions de l’article L. 311-6 du CRPA.
Ne pas porter préjudice aux organisations affectées
Et cela ne s’arrête pas là : « un tel formulaire est susceptible de comporter des mentions, dont la communication pourrait porter atteinte à la sécurité des systèmes d’information de la CNIL et du responsable de traitement déclarant, ou encore à la recherche et à la prévention d’infractions, lesquelles ne sont pas communicables, en application de l’article L. 311-5 du CRPA ».
Mais c’est bien le premier point, qui semble avoir le plus interpellé la CNIL et motivé sa saisine de la Commission d’accès aux documents administratifs (CADA), fin avril dernier, afin d’en recueillir l’avis sur notre demande. Celui-ci a été rendu lors du conseil du 4 juin.
Et la CADA y rappelle que l’article L. 311-6 « prévoit pour sa part, que ne sont communicables qu’à la personne intéressée, c’est-à-dire la personne à laquelle se rapportent les informations contenues dans le document, ou son ayant droit direct, titulaire d’un droit dont il peut se prévaloir à raison du document dont il demande la communication, les documents […] “3° Faisant apparaître le comportement d’une personne, dès lors que la divulgation de ce comportement pourrait lui porter préjudice” ».
Et pour la CADA, pas de doute, cela vaut bien pour un formulaire de notification de violation de données à caractère personnel : « ce document, qui notifie à l’autorité de contrôle un manquement, fait ainsi apparaître le comportement du déclarant dans des conditions telles que sa divulgation serait de nature à porter préjudice à ce dernier ».
La CADA s’aligne sur la CNIL
La CADA suit donc là la CNIL sans réserve, et « estime que la communication d’une déclaration de violation des données à caractère personnel d’un responsable de traitement précisément identifié n’est pas possible sur le fondement du code des relations entre le public et l’Administration ».
Pour le simple établissement de statistiques, selon la CADA, pas question non plus de chercher à obtenir « l’ensemble de ces déclarations anonymisées reçues pendant une durée déterminée ». Parce que cela « ferait peser sur la CNIL, eu égard à l’ampleur des mentions devant faire l’objet d’une occultation en application des dispositions des articles L311-5, L311-6 et L311-7 du même code, une charge disproportionnée au regard des moyens dont elle dispose et à l’intérêt que présenterait, pour le demandeur, le fait de bénéficier, non de la seule connaissance des éléments communicables, mais de la communication des déclarations occultées elles-mêmes ».
Qui garde donc les clés de l’information
Au final, tant que la CNIL ne prononce pas de sanction à l’encontre d’une organisation victime d’une violation de données personnelles, il n’est donc pas question pour elle de divulguer la déclaration correspondante. Ce qui tend à en faire le juge du sérieux de l’organisation considérée, en matière de cybersécurité. Mais tant son analyse que celle de la CADA laissent entrevoir la possibilité de demander communication du formulaire de déclaration une fois qu’il y a eu condamnation. Plus loin, la CADA donne le soin à la CNIL d’établir des statistiques sur les violations de données à caractère personnel, et lui laisse toute latitude de refuser un regard extérieur sur celles-ci.
Pour un avocat fin connaisseur de ces questions, « on est ici à un carrefour de plusieurs intérêts qui peuvent entrer en conflit » : liberté de la presse, secret des affaires, et devoir de réserve et de discrétion du service public. Pour cet avocat, « la communication à des tiers d’informations pouvant être qualifiées de sensibles peut porter préjudice à l’acteur économique qui effectue la notification. Car être victime d’une vulnérabilité SSI n’est nullement un délit, et un acteur économique a pleinement le droit d’exiger une discrétion sur ce sujet tant qu’on n’est pas dans une procédure contentieuse ». Et de souligner au surplus « qu’être impliqué dans une procédure contentieuse ne signifie pas que l’on puisse s’affranchir du principe de respect de la présomption d’innocence ».
Au croisement de plusieurs intérêts
En outre, il estime important de « se mettre à la place des autorités publiques qui poursuivent un objectif d’intérêt général sur la montée en compétence sécurité des systèmes d’information (SSI) ». Et cela « commande de “responsabiliser” au maximum les acteurs économiques pour les inciter à notifier afin de disposer du retour d’expérience le plus complet possible dans la durée ». Et là, « comme en judiciaire ou en droit de la concurrence on encourage les “repentis” en échange d’une certaine clémence et/ou discrétion ».
Dès lors, « cela peut être le même dilemme pour la SSI : comment obtenir un maximum de notifications complètes et fiables, si on ne garantit pas aux notifiants qui jouent le jeu qu’on ne les enfoncera pas encore plus ? »
Mais pas question pour autant de laisser la CNIL cacher des incidents graves, ni d’exonérer les organisations de toute responsabilité vis-à-vis de la sécurité des données traitées. La première « continue de s’exposer à des recours si jamais elle se montre trop conciliante ». Et pour les secondes, « si la violation de données personnelles résulte plus d’un défaut d’organisation ou d’une absence de prise en compte des standards de l’art – plus que de l’exploitation d’une vulnérabilité –, ça ne protège nullement l’organisation ». Et de rappeler au passage « l’épée de Damoclès de l’article 40 du code de procédure pénale ».
Lequel dispose que « toute autorité constituée, tout officier public ou fonctionnaire qui, dans l’exercice de ses fonctions, acquiert la connaissance d’un crime ou d’un délit est tenu d’en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les renseignements, procès-verbaux et actes qui y sont relatifs ».