Le Sénat a publié, le 27 mai 2009, un Rapport d’information intitulé « La vie privée à l’heure des mémoires numériques ». Trois recommandations intéressent particulièrement les entreprises.
- Les rapporteurs proposent de créer une redevance d’un montant modéré payable par les organismes traitant des données personnelles, afin de financer le renforcement des pouvoirs de sanction de la CNIL.
- La désignation d’un Correspondant Informatique et Libertés (CIL) pourrait être rendue obligatoire. Créé en 2004, le CIL a vocation à assurer, au sein de l’organisme l’ayant désigné, le respect des principes issus de la loi Informatique et Libertés.
Certaines entités sont réticentes à nommer ce CIL, interlocuteur privilégié et protégé de la CNIL, qui le considère comme un vecteur essentiel de la diffusion d’une « culture Informatique et Libertés ». Ainsi le rapport préconise-t-il qu’à l’instar de l’Allemagne, cette désignation soit rendue obligatoire dans les entreprises d’une certaine taille. L’idée rejoint certaines propositions de modification de la Directive n° 95/46 suggérant d’imposer la désignation d’un « data protection officer » dans l’ensemble des Etats européens. Si cette proposition devait aboutir, chaque entreprise devrait s’interroger sur le CIL qu’elle désignera ainsi que sur les éventuelles délégations de pouvoir à mettre en place. - Enfin, le rapport préconise de rendre obligatoire la notification des failles de sécurité des systèmes d’information (intrusions, pertes de données, vols, altérations…). Les entreprises seraient donc dans l’obligation de publier ces incidents, générant la méfiance des consommateurs et ternissant l’image de l’entreprise.
A ce jour, une telle obligation n’existe pas en droit français, l’article 34 de la loi Informatique et Libertés imposant simplement de « prendre toutes précautions utiles, […], pour préserver la sécurité des données… ». Aux Etats-Unis, au contraire, l’obligation de divulgation des « data breach » pèse sur les services publics et le secteur bancaire.
Le rapport s’inscrit dans la ligne des travaux de la Commission européenne visant à réviser la Directive n° 2002/58 « Vie privée et Communications Electroniques » et proposant d’introduire une obligation d’information des failles de sécurité.
Le Groupe de travail dit « de l’article 29 », qui regroupe les Autorités européennes de protection des données personnelles, s’est prononcé à ce sujet, dans un avis publié le 15 mai 2008, en faveur d’une généralisation de l’obligation de notification aux fournisseurs de services de communication électronique ainsi qu’aux fournisseurs de services de la société de l’information (banques et, plus généralement, toutes entreprises ayant des activités en ligne). « Toute personne concernée » par la faille devrait en être informée et l’Autorité de protection des données personnelles pourrait décider d’une information générale dans l’intérêt du public. Cette obligation inciterait les entreprises à renforcer leurs mesures de sécurité interne afin d’éviter des notifications coûteuses et préjudiciables à leur image. Mais la publication, susceptible d’inciter certains « hacker » à tester l’inviolabilité des systèmes, doit néanmoins être maniée avec précaution.
Aux niveaux national et européen, les propositions visant à renforcer les dispositifs de protection des données personnelles se multiplient. Il est temps de réfléchir à la mise en avant d’une image « data friendly » de l’entreprise et de se prévaloir de ces riches réflexions pour modifier en conséquence les dispositifs juridiques.
Anne-Laure Villedieu, Avocat
Article paru dans la revue Option Finance du 29 juin 2009
