ou INSCRIVEZ-VOUS Mot de passe oublié ?
Publicité

La CNIL et les victimes bientôt alertées des failles de sécurité ?

Le silence est tort

Une proposition de loi pour protéger la vie privée en ligne a été validée en commission des lois au Sénat, hier. Différentes mesures sont concoctées, la plupart modifiant la loi de 1978 (CNIL). Signalons spécialement celle qui voudrait obliger les sociétés victimes d’avarie ou de piratage informatique, à alerter les personnes dont les données ont été malmenées. Résumé des principales dispositions.

cable données informatiques datas CNIL

Éducation : pour éduquer les plus jeunes aux risques des TIC, les élèves seront « formés afin de développer une attitude critique et réfléchie vis-à-vis de l'information disponible et d'acquérir un comportement responsable dans l'utilisation des outils interactifs, lors de leur usage des services de communication au public en ligne. Ils sont informés des moyens de maîtriser leur image publique, des dangers de l'exposition de soi et d'autrui, des droits d'opposition, de suppression, d'accès et de rectification prévus par la loi [de 78] » (art.1)

L’IP devient une donnée caractère personnel. La loi mettrait fin aux errements jurisprudentiels. Le traitement automatisé de l’IP entrerait alors dans les compétences de la CNIL. Le texte vise globalement « tout numéro identifiant le titulaire d'un accès à des services de communication au public en ligne ». (art.2)

Plus de pouvoirs pour le correspondant informatique et liberté,  rendu obligatoire dès que plus de 50 personnes ont accès aux données personnelles faisant l’objet d’un traitement automatisé. Différentes modalités sont prévues pour faciliter cette procédure notamment la possibilité de mutualiser la désignation de cette personne.Nommé après aval de la CNIL,  le CIL est chargée d'assurer, d'une manière indépendante, le respect des obligations prévues dans cette loi, mais aussi d'informer et de conseiller l'ensemble des acteurs.

Encadrement des manipulations de données personnelles (CIL) par l’État les traitements de données mis en oeuvre pour le compte de l'État et touchant à la sûreté, la défense, la sécurité publique sont (vaguement) encadrés. L’article vise aussi les traitements qui ont pour objet « la prévention, la recherche, la constatation ou la poursuite des infractions pénales ». En l’état, le texte aurait pu frapper HADOPI, mais les règles d’encadrement sont tellement floues qu’on a plus l’impression que les vannes sont ouvertes...

Encadrer le défaut de sécurisation : la proposition de loi impose au responsable d’un traitement automatisé une série d’obligations nettement plus précises que le texte en vigueur actuellement :

« Le responsable du traitement met en œuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel traitées contre toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation, la diffusion, le stockage, le traitement ou l'accès non autorisés ou illicites ».

En cas de violation de données, il est enfin précisé des obligations nouvelles : le responsable du traitement « avertit sans délai » le correspondant « informatique et libertés », ou à défaut, a la CNIL. Le correspondant prend alors sans attendre toutes « les mesures nécessaires pour permettre le rétablissement de la protection de l'intégrité et de la confidentialité des données et informe la Commission nationale de l'informatique et des libertés ». Si la violation est grave et a affecté des données à caractère personnel d'une ou de plusieurs personnes physiques, celles-ci sont alertées. Précisons cependant que ces obligations ne s’appliquent pas pour les tests ou pour les données sensibles (droit pénal, sûreté de l’État, etc.).

Précisons enfin, parmi les différentes mesures, que la proposition veut aussi faciliter le droit d'opposition (qui devient droit de "suppression") à la demande des personnes dont les données font l'objet d'un traitement automatisé.

le 25 février 2010 à 09:56 (14 538 lectures)