Par Bruno Rasle
Dans son article 34 (1), la loi Informatique & Libertés affirme que tout responsable de traitement concernant des données à caractère personnel est « est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Il appartient donc au responsable de traitement d’évaluer les risques (cela suppose une analyse de valeur préalable, doublée d’une analyse de risques), de prendre les mesures de sécurité qu’il juge nécessaire au regard de la criticité des informations qu’il héberge et de vérifier leur efficacité.
Ainsi, dans le cas de manipulation de données dites « sensibles », la Commission nationale de l’informatique et des libertés (CNIL) attire l’attention sur cette impératif : « Les données médicales doivent faire l’objet de mesures de sécurité renforcées afin d’assurer leur intégrité et d’en restreindre l’accès aux seules personnes autorisées. »
Dans sa page « Un impératif : la sécurité » (2), la Commission liste des mesures de sécurité génériques (physiques et logiques) qui doivent être adoptées. Outre un rappel sur les précautions élémentaires (pare-feu, anti-virus, mot de passe, déconnexion automatique sur inactivité, etc.) on y trouve une sensibilisation sur le fait que l’appel à la sous-traitance n’exonère en rien le responsable du traitement sur ce point : tout contrat d’assistance et de maintenance doit comporter une clause de confidentialité rappelant au fournisseur ses obligations.
Par ses contrôles (sur pièces ou sur place), la CNIL peut s’assurer de l’adoption effective de ces mesures. Ainsi, en 2007, la Commission a adressé au ministère de l’Education Nationale une lettre exigeant des explications sur la sécurité des fichiers baptisés « Base Élèves » (3), qui recensaient les écoliers. Elle demandait à être immédiatement informée des mesures prises pour assurer la confidentialité des données. La presse avait révélé que les fichiers de centaines d’écoles étaient facilement consultables sur Internet : il suffisait de donner comme nom d’utilisateur le numéro de l’établissement – information publique – et comme mot de passe… le même numéro!
En 2001 déjà, la Cour de Cassation avait condamné le président et le directeur d’un Syndicat interprofessionnel des médecins du travail respectivement à 50 000 francs (7622 euros) et 30 000 francs (4573 euros) d’amende pour défaut de déclaration CNIL mais aussi pour des manquements aux obligations de sécurité (4) : « Le système de traitement automatisé d’informations nominatives avait été mis en œuvre (…) sans qu’aient été prises toutes les précautions utiles en vue d’empêcher la communication des informations médicales aux membres du personnel administratif, tiers non autorisés. »
La grande difficulté, pour chaque responsable de traitement de données à caractère personnel, est donc d’apprécier, en son âme et conscience, l’article 34 : les mesures de sécurité prises par son RSSI sont-elles suffisantes ? Pourrait-il se voir reprocher un manque de précautions à l’occasion d’un contrôle inopiné des agents habilités de la CNIL ? Il n’est donc pas étonnant de voir ces responsables de traitement souhaiter un référentiel sur lequel s’appuyer.
Ainsi, concernant la sécurisation des transactions en ligne, un consortium initié en novembre 2004 par Visa et Mastercard impose à ses contractants un cadre très détaillé, le Payment Card Industry Data Security Standard (5), qui va jusqu’à préciser dans ses exigences l’application des correctifs de sécurité sous trente jours, la protection de tout frontal web par un firewall applicatif (ou une sévère revue du code), la rotation des mots de passe au maximum tous les trois mois et la durée (fixée au maximum à 15 minutes) de déconnexion d’un poste sur inactivité !
Entre cette extrême précision et le flou de l’article 34 de la loi Informatique & Libertés, la Suisse a retenu une voie médiane : celle de s’inspirer de la certification ISO 27001. Depuis le 1er janvier 2008 (nouvel article 11 LPD), les entités hébergeant des données personnelles répondant à une version « simplifiée » de cette norme se voient exemptées de déclaration auprès du Préposé Fédéral à la Protection des Données et à la Transparence (ce que nos voisins appellent la « Libération du devoir d‘annonce »).
Selon l’art. 4 al. 3 OCPD (Certification de l’organisation et de la procédure), « le préposé émet des directives sur les exigences minimales qu’un système de gestion de la protection des données doit remplir. Il tient compte des normes internationales relatives à l’installation, l’exploitation, la surveillance et l’amélioration de systèmes de gestion, dont en particulier les normes ISO 9001 et ISO 27001».
La Suisse s’est inspiré de l’ISO 27001, mais en l’adaptant à l’objectif. Comme l’indique le site du PFPDT (6), « la difficulté majeure a consisté à mettre l’accent sur la protection des données, plutôt que sur la seule sécurité de l’information ».
En France, le législateur a préféré faire bénéficier de cet avantage toute entité ayant désigné un Correspondant Informatique & Libertés (ou CIL). Il appartient à ce dernier de se rapprocher du RSSI pour s’assurer de la conformité en matière de protection des données traitées.
A l’occasion de l’Université AFCDP des Correspondant Informatique & Libertés (7), qui se tiendra à Paris le 21 janvier prochain, le coordinateur informatique au Préposé Fédéral à la Protection des Données et à la Transparence, Monsieur Pierre-Yves Baumann, reviendra sur la genèse de cette nouvelle disposition et sur les étapes qu’il reste à franchir, dont la reconnaissance des procédures de certification et l‘introduction d‘un label de qualité de protection des données. Une voie à suivre ?
Bruno Rasle est administrateur de l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel).
(1) www.cnil.fr/index.php?id=301#Article34
(2) www.cnil.fr/index.php?id=1059
(3) www.cnil.fr/index.php?id=2417
(4) www.afcdp.net/Jurisprudences-lies-a-la-Securite,97
(5) www.cortina.fr/PCI-payment-card-industry.php?PHPSESSID=8a1a3c6dd5af09dec30ed3c82f91bcc3
(6) www.edoeb.admin.ch/dokumentation/00445/00509/01255/01259/index.html?lang=fr
(7) www.afcdp.net/Universite-AFCDP-21-janvier-2009. Comment mettre en place le traitement des demandes de droit d’accès ? Comment assurer la sécurité des données et respecter l’article 34 ? Comment mener une opération d’emailing respectueuse du droit et de l’internaute ? Ces thèmes, et bien d’autres, seront abordés le 21 janvier 2009 à l’occasion de la 3e Université de l’AFCDP qui se t
iendra à l’ISEP, (Institut Supérieur d’Electronique de Paris).