Données à caractère personnel : une obligation de sécurité renforcée
Mag Securs Janvier 2010
Dès 1981[i], la Cnil
précisait que des mesures générales de sécurité nécessaires devaient être
prises « préalablement à toute mise en œuvre d'une application
informatique » et en tenant compte « de la finalité du traitement, du
volume des informations traitées et de leur degré de sensibilité au regard des
risques d'atteinte à la personne humaine ». À ce titre, elle incitait les
responsables des traitements au « contrôle de la fiabilité des matériels
et des logiciels qui doivent faire l'objet d'une étude attentive afin que des
erreurs, lacunes et cas particuliers ne puissent conduire à des résultats
préjudiciables aux personnes ; la capacité de résistance aux atteintes
accidentelles ou volontaires extérieures ou intérieures en étudiant
particulièrement l'implantation géographique, les conditions d'environnement,
les aménagements des locaux et de leurs annexes ».
Depuis, cette préconisation s'est convertie en obligation
légale. La directive européenne du 24 octobre 1995[ii]
prévoit, en article 17, que les États membres doivent prendre des mesures pour
assurer « compte tenu de l'état de l'art et des coûts liés à leur mise en
œuvre, un niveau de sécurité approprié au regard des risques présentés par le
traitement et de la nature des données à protéger ». Cette disposition, transposée
en droit français, enjoint au responsable du traitement de mettre en œuvre les
mesures techniques et d'organisation appropriées pour protéger les données
contre la destruction illicite, la perte accidentelle, l'altération, la
diffusion ou l'accès non autorisés, notamment lorsque le
traitement comporte des transmissions de données dans un réseau, ainsi que
contre toute autre forme de traitement illicite. Il doit décrire les
dispositions prises dans le formulaire de déclaration du traitement auprès de la Cnil
(L. 6 janv. 1978, art. 34). Cette obligation s'applique
également en présence d'un sous-traitant, c'est-à-dire de « toute
personne traitant des données à caractère personnel pour le compte du
responsable du traitement » (L. 6 janv. 1978, art. 36,
al. 1). En effet, la loi exige du sous-traitant des garanties suffisantes
pour assurer la mise en œuvre des mesures de sécurité et de confidentialité.
Comme cette exigence ne décharge pas le responsable du traitement de son
obligation de veiller au respect de ces mesures, le contrat liant le
sous-traitant au responsable du traitement (contrat de sous-traitance ou
d'externalisation) doit préciser que « le sous-traitant ne peut agir que
sur instruction du responsable du traitement » (L. 6 janv. 1978, art. 35).
Il doit également décrire précisément les engagements de sécurité et de
confidentialité souscrits.
Le non-respect de cette obligation
de sécurité expose à des sanctions. En
effet, le fait de « procéder ou de faire procéder à un traitement de données
à caractère personnel sans mettre en œuvre les mesures prescrites à
l'article 34 » expose à des peines de cinq ans d'emprisonnement et de
300 000 euros d'amende (C. pén., art. 226-17). On
rappellera que l'amende peut être multipliée par cinq lorsqu'une personne
morale est reconnue coupable de l'infraction.
La Cnil,
vigilante sur le sujet, n'hésite pas à mettre en demeure certaines sociétés de
« prendre toute mesure de nature à garantir la sécurité et la
confidentialité des informations collectées dans l'ensemble des traitements mis
en œuvre afin que seules les personnes habilitées de par leurs fonctions y
aient accès » (accès au logiciel de supervision, aux serveurs
informatiques) (Cnil, dél. 29 mai 2008[iii]).
Dans cette affaire, la Cnil
avait constaté que l'accès au logiciel de supervision et aux serveurs
informatiques n'était pas sécurisé. Suite à cette mise en demeure, la société
avait isolé son serveur d'enregistrement dans un local muni d'un système de
verrouillage dont l'accès est réservé aux responsables habilités, et avait
limité (par mot de passe) l'accès au visionnage des images issues de la
vidéosurveillance au représentant légal de la société.
Plus généralement, on rappellera
que la responsabilité civile du responsable du traitement pourrait être engagée
sur le fondement de l'article 1382 du Code civil, dès lors qu'un préjudice
personnel et direct serait occasionné à la personne victime de ces négligences.
En effet, le défaut de mesures préventives (locaux sécurisés, gestion des codes
d'accès) ouvre la voie à des actions en responsabilité. Il en est de même en
cas de défaillance du système informatique. La jurisprudence a sanctionné à
plusieurs reprises la violation de l'obligation de sécurité et de
confidentialité de données nominatives. Un arrêt de la chambre criminelle de la Cour de cassation en date du
30 octobre 2001 a
ainsi confirmé la condamnation de responsables d'un organisme, considérant que
l'insuffisance de sensibilisation des employés par ceux-ci avait favorisé des
accès non autorisés aux données nominatives[iv].
Dans ce contexte, les diverses recommandations et conseils
de la Cnil apparaissent comme un référentiel de bonnes pratiques
utile pour mieux cerner les contours de l'obligation de sécurité.
S'agissant des archives, la Cnil préconise ainsi la mise en
œuvre des dispositifs sécurisés lors des changements de support de stockage des
données archivées, afin d'en garantir l'intégrité, et des dispositifs de
traçabilité des consultations des données archivées (dél. no 2005-213,
11 oct. 2005[v]).
Plus récemment, le 12
octobre 2009[vi], la Cnil a publié une
série de conseils à l'attention du directeur des systèmes d'information,
l'invitant à mettre en place une véritable politique de gestion des accès et de
sécurité. Elle préconise ainsi :
(i) d'adopter une politique de
mot de passe rigoureuse : celui-ci doit ainsi comporter au minimum 8
caractères incluant chiffres, lettres et caractères spéciaux et être renouvelé fréquemment (tous les 3
mois par exemple), le système contraignant l'utilisateur à choisir un mot de
passe différent des trois qu'il a utilisés précédemment ;
(ii) de concevoir une procédure
de création et de suppression des comptes utilisateur : à noter que la
gestion des droits doit se faire à travers des comptes utilisateur nominatifs
et non « génériques » pour permettre la traçabilité des actions, et par là
même, de responsabiliser les intervenants ;
(iii) de sécuriser les postes de
travail : il faut ainsi prévoir leur verrouillage automatique après un
délai d'inactivité (10 minutes maximum) et inciter les utilisateurs à les
verrouiller lorsqu'ils s'absentent de leur bureau ; il est également recommandé
de mettre en place un contrôle de l'usage des ports USB sur les postes «
sensibles » (par exemple en interdisant la copie des données) ;
(iv) d'identifier précisément qui
peut avoir accès aux fichiers (établissement du « profil
d'habilitation » de l'agent ou du salarié), à chaque mouvement ou nouvelle
affectation d'un salarié à un poste, et procéder périodiquement à une vérification
;
(v) de veiller à la
confidentialité des données vis-à-vis des prestataires : ces derniers
doivent non seulement donner des garanties suffisantes en termes de sécurité et
de confidentialité mais également signer une clause de confidentialité, leurs
interventions sur les bases de données doivent se dérouler en présence d'un
salarié du service informatique et être
consignées dans un registre ; les données « sensibles » doivent
faire l'objet d'un chiffrement ;
(vi) de sécuriser le réseau
local : des dispositifs de sécurité logique (routeurs filtrants, pare-feu,
sonde anti intrusions, etc.) doivent assurer un premier niveau de protection,
une veille constante doit permettre leur mise à jour, les connexions entre
sites distants doivent s'effectuer par l'intermédiaire de liaisons privées ou
de canaux sécurisés, les réseaux sans fil doivent également être sécurisés (par
exemple par l'utilisation de clés de chiffrement) et les accès à distance
doivent faire préalablement l'objet d'une authentification de l'utilisateur et
du poste ;
(vii) de sécuriser l'accès
physique aux locaux : vérification des habilitations, gardiennage, contrôles
d'accès, etc ;
(viii) d'anticiper le risque de
perte ou de divulgation des données : stocker les données sur des espaces
serveurs prévus à cet effet faisant l'objet de sauvegardes régulières et placer
les supports de sauvegarde dans un local distinct (coffre ignifugé), sécuriser
tout particulièrement et par chiffrement les supports nomades (notamment les
clés USB), détruire physiquement les matériels informatiques en fin de vie ou
les expurger de leur disque dur, veiller à l'effacement des données stockées
sur les disques durs ou autres périphériques de stockage amovibles en
réparation, réaffectés ou réutilisés ;
(ix) d'anticiper et formaliser
une politique de sécurité du système d'information : inventorier les
éventuelles menaces et vulnérabilités qui pèsent sur le système, élaborer et
mettre à jour régulièrement les règles de sécurité ;
(x) de sensibiliser les utilisateurs
aux risques informatiques et à la loi informatique et libertés :
formations, sensibilisation via des notes de service ou des fiches pratiques,
charte informatique, engagement de responsabilité écrit et signé par chaque
utilisateur...
Cependant, la sécurité induit une
approche plus globale. Aussi, la Cnil encourage-t-elle les actions concertées
entre les pouvoirs publics, les groupements professionnels d'utilisateurs, les
constructeurs, les ingénieries et les fournisseurs de matériels et de logiciels
concourant à préciser les sécurités offertes, à les garantir contractuellement,
et à œuvrer dans le sens d'une amélioration générale de la sécurité qui doit
être prise en considération dès la conception des produits matériels ou
logiciels.
[i] Cnil, délib. n° 81-094,
21 juill. 1981, portant adoption d'une recommandation relative aux mesures
générales de sécurité des systèmes informatiques, JO 24-25 août
[ii] Dir.
95/46/CE, 24 oct. 1995, relative à la protection des personnes physiques à
l'égard du traitement des données à caractère personnel et à la libre
circulation de ces données, JOCE
L 281, 23 nov. 1995, 31-50.
[iii] Cnil, délib n° 2008-155
du 29 mai 2008.
[iv] Crim.
30 oct. 2001, no 99-82.136
[v] Cnil, délib. no 2005-213, 11 oct. 2005,
portant adoption d'une recommandation concernant les modalités d'archivage
électronique, dans le secteur privé, de données à caractère personnel
[vi] Conseils de la Cnil, 12 oct. 2009
|
