Cookies et failles de sécurité : La loi « Informatique et libertés » est modifiée

Dans la sphère de la protection des données personnelles

Obtenir un accord préalable des internautes pour l’usage de cookies et les informer sans délai des violations de leurs données personnelles résultant des failles de sécurité, telles sont les obligations imposées désormais par la loi relative à l’informatique, aux fichiers et aux libertés.

Ces nouvelles contraintes découlent d’une directive européenne du 25 novembre 2009[1] transposée dans le droit français par une ordonnance du 24 août 2011[2].

  • Opt-in pour les cookies

Avant l’ordonnance de 2011, les opérateurs n’étaient pas sanctionnés s’ils se bornaient à donner la possibilité de désactiver les cookies a posteriori (opt-out). C’est un accord préalable qu’impose à présent l’article 32 modifié de la loi Informatique et libertés.

Il incombe donc à l’opérateur de modifier les conditions d’utilisation de son service pour donner des informations « claires et complètes » sur la finalité des cookies et de fournir à l’internaute les moyens de donner son accord avant d’utiliser ses services.

Mais l’accord, dit la loi, « peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ». On aurait pu imaginer un accord soit donné de manière plus explicite, mais « difficile à mettre en œuvre  (…) il « serait (..) devenu une contrainte pour l’utilisateur comme pour les services »[3].

On note aussi que ne sont pas concernés les cookies de navigation qui ont « pour finalité exclusive de permettre ou faciliter la communication par voie électronique » ni ceux qui sont « strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ».

La CNIL devrait fournir prochainement des recommandations techniques, des conseils et des mentions d’informations types.

  • Une obligation de notification

Comme je l’avais souligné, dans un autre billet [4], notifier les problèmes rencontrés dans la gestion des données personnelles de ses clients est, depuis une dizaine d’années, une obligation légale aux États-Unis, et la notification sera imposée en Europe après la transposition des directives du Paquet Télécom.

C’est chose faite avec ce nouvel article 34 bis de la loi Informatique et libertés.

Des dispositions qui ne concerneraient que les fournisseurs d’accès à internet (FAI) et certains fournisseurs de téléphonie

On pouvait s’interroger sur la notion « floue » de fournisseur de « services de communications électroniques accessibles au public», mentionnée dans l’ordonnance. Etienne Papin nous apprend que l’ARCEP l’a circonscrite, grâce à une étude récente (pdf), aux fournisseurs de services de téléphonie mobile et fixe et aux fournisseurs d’accès à l’internet. Les hébergeurs, les services de téléphonie IP par utilisation de logiciels et les services de fournitures de contenus (comme les éditeurs de sites web) ne seraient donc pas visés.

La notification doit être faite « sans délai » [5] à la CNIL, dès lors que la violation de la sécurité du système d’information « entraîne, de façon accidentelle ou illicite la destruction, perte, altération, divulgation », voire le simple « accès non autorisé » et, ce qui est effectivement un peu curieux, uniquement aux intéressés lorsque que la violation « porte atteinte aux données à caractère personnel ou à leur vie privée ». Pourquoi, en effet, la CNIL devrait être-elle avisée s’il n’y pas atteinte à des données personnelles ?

La notification n’est toutefois pas nécessaire lorsque données ont été cryptées [6] par le fournisseur, car rendues ainsi inutilisables (est-ce si sûr ?).

Puisque le texte ne donne pas de précision sur les modalités de la notification,  le cabinet Lebel, s’appuyant sur la directive du 12 juillet 2002, ajoute que « la notification faite à l’abonné ou à la personne physique doit indiquer (…)  la nature de la violation de données personnelles , les points de contact auprès desquels des informations supplémentaires peuvent être obtenues et une recommandation des mesures à adopter afin d’atténuer les conséquences négatives éventuelles de la violation de données personnelles ».

A la CNIL, le fournisseur « doit décrire les conséquences de la violation de données personnelles, et les mesures proposées ou prises pour y remédier ». Il doit aussi tenir à la disposition de la CNIL un inventaire des violations constatées qui détaille « les modalités des violations constatées, les effets provoqués par cette violation, les mesures entreprises pour y remédier ».

Pour donner du poids à cette obligation, l’absence de notification sera sanctionnée par une peine pouvant aller jusqu’à 5 ans de prison et 300.000 euros d’amende, à laquelle pourraient s’ajouter des dommages et intérêts, soit de quoi « susciter un boom des audits de sécurité ».

Illustr. Matrix_2. Marcus Papapopolus. Flickr. CC by-nc-nd

Références

–      L’Europe durcit la loi Informatique et libertés, Antoine Robin, Indexel, 28 septembre 2011

–      La nouvelle obligation de divulguer les atteintes à la sécurité des données, Etienne Papin (cabinet Féral-Schuhl/Sainte-Marie), CIO online, 26 septembre 2011

–      La loi Informatique et libertés après l’ordonnance du 24 août 2011, Hervé Gadabou (Cabinet Courtois Lebel), Espace Data presse, 21 septembre 2011

–      Modification de la loi informatique et libertés, Protégez vos données, 21 septembre 2011

Notes


[1] Directive 2009/136/CE du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) no 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs.

[2] Ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques. Ce texte contient d’autres dispositions, non présentées dans ce billet.

[3] Modification de la loi informatique et libertés, Protégez vos données, 21 septembre 2011.

[4] S’assurer pour couvrir les risques du Cloud, Michèle Battisti,  Paralipomènes, 5 mai 2011

[5] Dans la loi sur la confiance dans l’économie numérique, on imposait un retrait des informations illicite dans les «  meilleurs délais ». L’expression « sans délai » a le mérite d’être plus claire.

[6] La loi utilise une formule plus « alambiquée ».

One comment

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *