La Commission Européenne a communiqué lundi de nouvelles règles concernant la procédure que doivent suivre les services de télécommunications et les fournisseurs d'accès à internet, en cas de perte, de vol ou de violation des données personnelles de leurs clients. Elles visent à harmoniser au niveau européen le formalisme que doivent suivre les FAI pour alerter les autorités compétentes lorsqu'une faille de sécurité a pu aboutir à la violation de données privées, et pour décider ou non d'en informer les abonnés.
Car cette communication au public n'est pas systématique, quand bien même seraient-ils les premiers concernés. "En collaboration avec l'ENISA (Agence européenne chargée de la sécurité des réseaux et de l'information), la Commission publiera une liste indicative de mesures techniques de protection, telles que les techniques de cryptage, qui rendent les données incompréhensibles pour toute personne non habilitée à en prendre connaissance", indique la Commission Européenne.
Elle ajoute que "si une entreprise utilisant une telle technique devait subir une violation de données en sa possession, elle serait dispensée de l’obligation d’en informer l’abonné concerné, car une telle violation ne révélerait pas véritablement les données à caractère personnel de celui-ci".
Les hébergeurs et éditeurs de sites web, toujours exonérés de toute communication
Une étrange blague qui s'ajoute au fait que contrairement à ce qui existe par exemple en Californie, l'obligation européenne de divulgation des violations de données personnelles ne s'applique qu'aux fournisseurs d'accès à internet et autres opérateurs téléphoniques, et non aux innombrables fournisseurs de services en ligne. Les hébergeurs, éditeurs de sites internet, fournisseurs de services de VoIP ou autres organisateurs de votes électroniques n'ont toujours aucune obligation similaire, alors que ce sont d'eux que viennent la quasi totalité des risques de fuites.
En France, la recommandation de la Commission n'aura rien de nouveau. L'article 34 bis de la loi informatique et libertés, créé par une ordonnance de 2011, prévoit déjà l'obligation pour les FAI de prévenir la CNIL de toute "violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la fourniture au public de services de communications électroniques".
Et l'article prévoit que "la notification d'une violation des données à caractère personnel à l'intéressé n'est toutefois pas nécessaire si la Commission nationale de l'informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès". Et rappelons, en plein scandale PRISM, que les services de l'Etat peuvent faire partie des "personnes autorisées", lorsque la faille est exploitée par les Renseignements.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
