Décret n° 2012-436 du 30 mars 2012 (modifiant le Décret n°2005-1309 du 20 octobre 2005)
Afin de renforcer la protection des données personnelles des internautes, l’obligation de notification de failles de sécurités informatiques a été introduit en 2011 dans notre législation.
Lorsque le fournisseur de services de communications électroniques accessibles au public constate une violation de données à caractère personnel, il doit avertir immédiatement la CNIL. Cela concerne les FAI mais pourrait également s’étendre à tous les acteurs du web qui détiennent des données à caractère personnel hébergées sur les réseaux sociaux …
(Article 34 bis de la loi Informatique et Libertés Créé par Ordonnance n°2011-1012 du 24 août 2011 - art. 38)
Cette violation de données à caractère personnel vise toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la fourniture au public de services de communications électroniques.
De plus, le fournisseur doit également en informer l’internaute lorsque cette violation peut porter atteinte à ses données à caractère personnel ou à sa vie privée ou d'une autre personne physique.
Mais si le fournisseur d’accès a pris des mesures de protection appropriées afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès, il n’est alors plus tenu d’en informer l’intéressé.
La CNIL a en charge de vérifier que ces précautions ont bien été prises par le fournisseur d’accès.
Le Décret n° 2012-436 du 30 mars 2012 vient préciser les conditions dans lesquelles le fournisseur de services de communications électroniques accessibles au public doit informer la CNIL.
« Constitue une mesure de protection appropriée, au sens de l'article 34 bis de la loi du 6 janvier 1978, toute mesure technique efficace destinée à rendre les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès. »
Ces dispositions constituent des avancées dans la protection des données personnelles sur Internet, mais le constat reste toutefois en demi-teinte car seuls sont visés les « fournisseurs de services de communications électroniques accessibles au public ».
La révélation sur la place publique par des internautes de faille de sécurité suite à l’obligation de notification à la CNIL s’avèrerait plus dissuasive que les amendes…Une manière de responsabiliser fortement les différents acteurs, quand on sait la rapidité à laquelle les informations sont diffusées sur Internet.
Le projet règlement européen va beaucoup plus loin car il prévoit d’étendre ces mesures à tous les secteurs d’activité.
Les sanctions :
Si le fournisseur omet de notifier les violations à la CNIL, celle-ci pourra le sanctionner, mais son pouvoir de sanction reste limité à une sanction pécuniaire de 150 000 euros ou 300 000 en cas de récidive.
Ces dispositions sont renforcées par une sanction pénale :
Depuis l'ordonnance du 24 août 2011, le code pénal prévoit que le non respect de la notification d’une violation de données à caractère personnel est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.
(Article 226-17-1 du Code Pénal)
