Données à caractère personnel : une obligation de sécurité renforcée

Publié le 01/01/2010 - donnees-a-caractere-personnel-une-obligation-de-securite-renforcee

Dès 1981[i], la Cnil précisait que des mesures générales de sécurité nécessaires devaient être prises « préalablement à toute mise en œuvre d’une application informatique » et en tenant compte « de la finalité du traitement, du volume des informations traitées et de leur degré de sensibilité au regard des risques d’atteinte à la personne humaine ». À ce titre, elle incitait les responsables des traitements au « contrôle de la fiabilité des matériels et des logiciels qui doivent faire l’objet d’une étude attentive afin que des erreurs, lacunes et cas particuliers ne puissent conduire à des résultats préjudiciables aux personnes ; la capacité de résistance aux atteintes accidentelles ou volontaires extérieures ou intérieures en étudiant particulièrement l’implantation géographique, les conditions d’environnement, les aménagements des locaux et de leurs annexes ».

Depuis, cette préconisation s’est convertie en obligation légale. La directive européenne du 24 octobre 1995[ii] prévoit, en article 17, que les États membres doivent prendre des mesures pour assurer « compte tenu de l’état de l’art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger ». Cette disposition, transposée en droit français, enjoint au responsable du traitement de mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données contre la destruction illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite. Il doit décrire les dispositions prises dans le formulaire de déclaration du traitement auprès de la Cnil (L. 6 janv. 1978, art. 34).  Cette obligation s’applique également en présence d’un sous-traitant, c’est-à-dire de « toute personne traitant des données à caractère personnel pour le compte du responsable du traitement » (L. 6 janv. 1978, art. 36, al. 1). En effet, la loi exige du sous-traitant des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité. Comme cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures, le contrat liant le sous-traitant au responsable du traitement (contrat de sous-traitance ou d’externalisation) doit préciser que « le sous-traitant ne peut agir que sur instruction du responsable du traitement » (L. 6 janv. 1978, art. 35). Il doit également décrire précisément les engagements de sécurité et de confidentialité souscrits.

Le non-respect de cette obligation de sécurité expose à des sanctions.  En effet, le fait de « procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 » expose à des peines de cinq ans d’emprisonnement et de 300 000 euros d’amende (C. pén., art. 226-17). On rappellera que l’amende peut être multipliée par cinq lorsqu’une personne morale est reconnue coupable de l’infraction.

La Cnil, vigilante sur le sujet, n’hésite pas à mettre en demeure certaines sociétés de « prendre toute mesure de nature à garantir la sécurité et la confidentialité des informations collectées dans l’ensemble des traitements mis en œuvre afin que seules les personnes habilitées de par leurs fonctions y aient accès » (accès au logiciel de supervision, aux serveurs informatiques) (Cnil, dél. 29 mai 2008[iii]). Dans cette affaire, la Cnil avait constaté que l’accès au logiciel de supervision et aux serveurs informatiques n’était pas sécurisé. Suite à cette mise en demeure, la société avait isolé son serveur d’enregistrement dans un local muni d’un système de verrouillage dont l’accès est réservé aux responsables habilités, et avait limité (par mot de passe) l’accès au visionnage des images issues de la vidéosurveillance au représentant légal de la société.

Plus généralement, on rappellera que la responsabilité civile du responsable du traitement pourrait être engagée sur le fondement de l’article 1382 du Code civil, dès lors qu’un préjudice personnel et direct serait occasionné à la personne victime de ces négligences. En effet, le défaut de mesures préventives (locaux sécurisés, gestion des codes d’accès) ouvre la voie à des actions en responsabilité. Il en est de même en cas de défaillance du système informatique. La jurisprudence a sanctionné à plusieurs reprises la violation de l’obligation de sécurité et de confidentialité de données nominatives. Un arrêt de la chambre criminelle de la Cour de cassation en date du 30 octobre 2001 a ainsi confirmé la condamnation de responsables d’un organisme, considérant que l’insuffisance de sensibilisation des employés par ceux-ci avait favorisé des accès non autorisés aux données nominatives[iv].

Dans ce contexte, les diverses recommandations et conseils de la Cnil apparaissent comme un référentiel de bonnes pratiques utile pour mieux cerner les contours de l’obligation de sécurité.

S’agissant des archives, la Cnil préconise ainsi la mise en œuvre des dispositifs sécurisés lors des changements de support de stockage des données archivées, afin d’en garantir l’intégrité, et des dispositifs de traçabilité des consultations des données archivées (dél. no 2005-213, 11 oct. 2005[v]).

Plus récemment, le 12 octobre 2009[vi], la Cnil a publié une série de conseils à l’attention du directeur des systèmes d’information, l’invitant à mettre en place une véritable politique de gestion des accès et de sécurité. Elle préconise ainsi :

(i) d’adopter une politique de mot de passe rigoureuse : celui-ci doit ainsi comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et  être renouvelé fréquemment (tous les 3 mois par exemple), le système contraignant l’utilisateur à choisir un mot de passe différent des trois qu’il a utilisés précédemment ;

(ii) de concevoir une procédure de création et de suppression des comptes utilisateur : à noter que la gestion des droits doit se faire à travers des comptes utilisateur nominatifs et non « génériques » pour permettre la traçabilité des actions, et par là même, de responsabiliser les intervenants ;

(iii) de sécuriser les postes de travail : il faut ainsi prévoir leur verrouillage automatique après un délai d’inactivité (10 minutes maximum) et inciter les utilisateurs à les verrouiller lorsqu’ils s’absentent de leur bureau ; il est également recommandé de mettre en place un contrôle de l’usage des ports USB sur les postes « sensibles » (par exemple en interdisant la copie des données) ;

(iv) d’identifier précisément qui peut avoir accès aux fichiers (établissement du « profil d’habilitation » de l’agent ou du salarié), à chaque mouvement ou nouvelle affectation d’un salarié à un poste, et procéder périodiquement à une vérification ;

(v) de veiller à la confidentialité des données vis-à-vis des prestataires : ces derniers doivent non seulement donner des garanties suffisantes en termes de sécurité et de confidentialité mais également signer une clause de confidentialité, leurs interventions sur les bases de données doivent se dérouler en présence d’un salarié du service informatique et être  consignées dans un registre ; les données « sensibles » doivent faire l’objet d’un chiffrement ;

(vi) de sécuriser le réseau local : des dispositifs de sécurité logique (routeurs filtrants, pare-feu, sonde anti intrusions, etc.) doivent assurer un premier niveau de protection, une veille constante doit permettre leur mise à jour, les connexions entre sites distants doivent s’effectuer par l’intermédiaire de liaisons privées ou de canaux sécurisés, les réseaux sans fil doivent également être sécurisés (par exemple par l’utilisation de clés de chiffrement) et les accès à distance doivent faire préalablement l’objet d’une authentification de l’utilisateur et du poste ;

(vii) de sécuriser l’accès physique aux locaux : vérification des habilitations, gardiennage, contrôles d’accès, etc ;

(viii) d’anticiper le risque de perte ou de divulgation des données : stocker les données sur des espaces serveurs prévus à cet effet faisant l’objet de sauvegardes régulières et placer les supports de sauvegarde dans un local distinct (coffre ignifugé), sécuriser tout particulièrement et par chiffrement les supports nomades (notamment les clés USB), détruire physiquement les matériels informatiques en fin de vie ou les expurger de leur disque dur, veiller à l’effacement des données stockées sur les disques durs ou autres périphériques de stockage amovibles en réparation, réaffectés ou réutilisés ;

(ix) d’anticiper et formaliser une politique de sécurité du système d’information : inventorier les éventuelles menaces et vulnérabilités qui pèsent sur le système, élaborer et mettre à jour régulièrement les règles de sécurité ;

(x) de sensibiliser les utilisateurs aux risques informatiques et à la loi informatique et libertés : formations, sensibilisation via des notes de service ou des fiches pratiques, charte informatique, engagement de responsabilité écrit et signé par chaque utilisateur…

Cependant, la sécurité induit une approche plus globale. Aussi, la Cnil encourage-t-elle les actions concertées entre les pouvoirs publics, les groupements professionnels d’utilisateurs, les constructeurs, les ingénieries et les fournisseurs de matériels et de logiciels concourant à préciser les sécurités offertes, à les garantir contractuellement, et à œuvrer dans le sens d’une amélioration générale de la sécurité qui doit être prise en considération dès la conception des produits matériels ou logiciels.


[i] Cnil, délib. n° 81-094, 21 juill. 1981, portant adoption d’une recommandation relative aux mesures générales de sécurité des systèmes informatiques, JO 24-25 août

[ii] Dir. 95/46/CE, 24 oct. 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOCE L 281, 23 nov. 1995, 31-50.

[iii] Cnil, délib n° 2008-155 du 29 mai 2008.

[iv] Crim. 30 oct. 2001, no 99-82.136

[v] Cnil, délib. no 2005-213, 11 oct. 2005, portant adoption d’une recommandation concernant les modalités d’archivage électronique, dans le secteur privé, de données à caractère personnel

[vi] Conseils de la Cnil, 12 oct. 2009

Autres publications