A la suite de piratages ou tout simplement à la suite de la perte d’un ordinateur portable ou d’un disque dur par un employé, des pertes massives de données personnelles ont été révélées ces dernières années. Selon les sites internet spécialisés, le record de la perte de données a pour origine la société Heartland Payment Systems, qui a déclaré en janvier 2009 la perte des données des pistes magnétiques de 130 millions de cartes bancaires, permettant ainsi la réalisation de cartes contrefaisantes parfaitement utilisables. En avril 2011, Sony a annoncé le piratage de son playstation network (PSN). A la suite de cette attaque, 77 millions de comptes de joueurs en ligne ont été compromis. Les auteurs de ces intrusions on pu prendre connaissance des noms, adresse postale, adresse de courrier électronique, mots de passe et login, identifiant de joueur et question secrète des utilisateurs du PSN. Mais ce sont également les données bancaires qui ont été compromises : les numéros de carte et date d’expiration, conservés en clair, ont pu être dérobés. Si le cryptogramme visuel n’était pas conservé, il peut être retrouvé automatiquement par les pirates puisqu’il n’y a que 1000 combinaisons possibles et que les systèmes de paiement en ligne permettent la ressaisie du cryptogramme autant de fois que nécessaire.
Précédents législatifs américains.
Les Etats-Unis ne se sont pas dotés d’une législation fédérale spécifique relative à la protection des données personnelles. Cependant, les états fédérés furent les pionniers dans l’adoption de lois au contenu original : l’obligation de divulguer les atteintes à la confidentialité des données personnelles.
La Californie fut le premier Etat à légiférer en ce sens par une loi du 12 février 2002 modificative du code civil californien[1]. Toute entité qui possède des données personnelles doit rendre public toute violation de la sécurité de ces données, entendue comme l’obtention non-autorisée de données personnelles informatisées de nature à compromettre leur sécurité, leur confidentialité ou leur intégrité. La divulgation doit être opérée le plus rapidement possible à compter de la découverte de l’atteinte aux données. Elle prend normalement la forme d’une notification écrite à l’intéressé mais, sous certaines conditions, lorsque la notification écrite individuelle entraînerait des frais supérieurs à 250 000 dollars ou concernerait plus de 500 000 personnes, elle peut s’opérer sous forme d’annonces publiques sur internet ou dans les médias. La personne victime de la divulgation de ses données personnelles est en droit d’en demander l’indemnisation.
A la suite de la loi californienne, la quasi-totalité des Etats américains ont adopté une législation similaire.
Une nouvelle obligation récemment adoptée en droit français
A l’occasion de la révision du cadre réglementaire européen en matière de communications électroniques (l’ensemble étant appelé le « Paquet Télécom »), la directive du 25 novembre 2009[2] a introduit dans la directive 2002/58/CE « vie privée et communications électroniques »[3]des dispositions instituant une obligation de divulgation des atteintes à la sécurité des données personnelles.
La transposition du dernier paquet télécom est intervenue récemment par une ordonnance du 24 août 2011[4]. Cette ordonnance, par son article 38, introduit un article 34 bis dans la loi du 6 janvier 1978 « Informatique et Libertés » instituant ce régime, inédit en droit français, de divulgation obligatoire des atteintes à la sécurité des données personnelles.
Le champ d’application de ce texte, à la différence des législations américaines, est limité aux violations dont le responsable est un fournisseur de « services de communications électroniques accessibles au public ».
Cette notion est définie dans le code des postes et communications électroniques. L’article L32-6° de ce code définit les « services de communications électroniques » comme « les prestations consistant entièrement ou principalement en la fourniture de communications électroniques ». L’article précise que « ne sont pas visés les services consistant à éditer ou à distribuer des services de communication au public par voie électronique ». La définition est purement tautologique et n’est en rien éclairante sur ce qu’est ledit service. La notion est tellement floue que l’Arcep a publié en juin 2011 une étude « le périmètre de la notion d’opérateur de communications électroniques ». A côté de l’opérateur de télécommunications « classiques », fournisseur du service de téléphonie fixe ou mobile, l’internet a fait apparaître de nouveaux acteurs, dont l’inclusion dans le périmètre de la notion prête à discussion. Si les FAI sont incontestablement des fournisseurs de service de communications électroniques, les acteurs tels que les fournisseurs d’hébergement, les fournisseurs de services de voix sur IP par logiciels, les fournisseurs de services de mailing sont à la marge de la définition. Les conclusions de l’étude précitée écartent de la notion de fournisseur de services de communications électroniques : les hébergeurs, les services de téléphonies IP par utilisation de logiciels, les services de fournitures de contenus (éditeurs de sites web notamment).
Le nouvel article 34 bis I de la loi du 6 janvier 1978 définit la « violation de données à caractère personnel » comme « la violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel ». Selon l’article 34 bis II de la loi du 6 janvier 1978, en cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques doit avertir, sans délai, la Cnil. Lorsque la violation peut porter atteinte aux données à caractère personnel ou à la vie privée d’une personne, le fournisseur doit également avertir, sans délai, l’intéressé. On s’interroge sur la nécessité de cette distinction. L’atteinte à la sécurité des données mérite-t-elle d’être divulguée lorsqu’elle n’a aucune conséquence sur les données personnelles ou la vie privée d’un individu ?
La notification d’une violation des données à caractère personnel à l’intéressé n’est pas nécessaire si la Cnil peut constater que les données, objet de l’atteinte, étaient cryptées, ce que la loi décrit de manière alambiquée comme « des mesures de protection appropriées […] mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès […] été appliquées aux données concernées par ladite violation ».
Le III de l’article 34 bis impose à chaque fournisseur de services de communications électroniques de tenir à jour un inventaire des violations de données. L’inventaire doit préciser les « modalités » de ces violations, leur effet et les mesures prises pour y remédier. L’inventaire est conservé à la disposition de la Cnil.
La comparaison avec la législation californienne est intéressante. Sur la forme, la rédaction américaine est moins emprunte de périphrases et plus directe, notamment sur le cryptage des données. Sur le fond, la distinction, qui nous semble peu opérante, entre les atteintes soumises à divulgation à la seule autorité de régulation (la Cnil) et les atteintes soumises à divulgation aux intéressés n’existe pas. Certes, le droit californien ne connaît pas d’autorité administrative dédiée à la protection des données personnelles. Cependant, la divulgation aux autorités publiques n’a pas été perçue par le législateur de l’Etat fédéré comme une nécessité. La divulgation aux seuls intéressés ou dans les médias de l’atteinte à la sécurité permet de déclencher, le cas échéant, les mécanismes de la « class action » pour que les préjudices liés à cette atteinte à la sécurité des données. Le droit californien fait également preuve de pragmatisme dans les méthodes d’information des intéressés. Là où le droit français est muet, la loi californienne prend en compte les difficultés pratiques qu’il y aurait à informer individuellement chaque personne de l’atteinte à ses données. Au-dessus de certains seuils, le processus d’information des personnes s’opère non plus individuellement, mais par la voie de média de masse, notamment internet. Enfin, la non-divulgation de l’atteinte n’est pas pénalisée, comme en France.
Les sanctions
L’ordonnance du 24 août 2011 insère dans le code pénal un article 226-17-1 qui incrimine le fait pour un fournisseur de services de communications électroniques de ne pas procéder à la notification d’une violation de données à caractère personnel à la Cnil ou à l’intéressé. Les peines maximales prévues sont cinq ans d’emprisonnement et 300 000 € d’amende.
Avec cette nouvelle infraction, la mise en œuvre de mesures de cryptage des données personnelles sensibles apparaît plus que nécessaire.
Rappelons que l’article 226-17 du code pénal sanctionne des mêmes peines le fait de traiter de données à caractère personnel sans mettre en œuvre les mesures nécessaires pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Les sanctions pénales présentées ci-dessus sont évidemment sans préjudice des dommages et intérêts qui pourraient être dus aux personnes victimes de ces atteintes à la confidentialité de leurs données.
Un champ d’application promis à l’élargissement
L’obligation de divulgation des atteintes à la sécurité des données personnelles aura donc son champ d’application cantonné aux fournisseurs de services de communications électroniques. Il faut néanmoins s’attendre à un élargissement du champ d’application de cette obligation. Les considérants de la directive du 25 novembre 2009 précisent que l’intérêt des utilisateurs à être informés d’une atteinte à leurs données ne se limite pas au secteur des communications électroniques et qu’il convient, dès lors, d’introduire des exigences de notification applicables à tous les secteurs.
[1] Section 1798.29.
[2] Directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009.
[3] Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.
[4] Ordonnance n°2011-1012 du 24 août 2011 relative aux communications électroniques.
