Contributions

Paroles d'experts

La nouvelle obligation de divulguer les atteintes à la sécurité des données

Etienne Papin - Avocat associé du cabinet Féral-Schuhl / Sainte-Marie

(26/09/2011)

L'ordonnance n°2011-1012 du 24 août 2011 donne de nouvelles obligations aux entreprises, notamment révéler les failles ayant entrainer la perte ou la compromission de données personnelles.

A la suite de piratages ou tout simplement à la suite de la perte d'un ordinateur portable ou d'un disque dur par un employé, des pertes massives de données personnelles ont été révélées ces dernières années. Selon les sites internet spécialisés, le record de la perte de données à pour origine la société Heartland Payment Systems, qui a déclaré en janvier 2009 la perte des données des pistes magnétiques de 130 millions de cartes bancaires, permettant ainsi la réalisation de cartes contrefaisantes parfaitement utilisables. En avril 2011, Sony a annoncé le piratage de son playstation network (PSN). A la suite de cette attaque, 77 millions de comptes de joueurs en ligne ont été compromis. Les auteurs de ces intrusions on pu prendre connaissance des noms, adresse postale, adresse de courrier électronique, mots de passe et login, identifiant de joueur et question secrète des utilisateurs du PSN. Mais ce sont également les données bancaires qui ont été compromises : les numéros de carte et date d'expiration, conservés en clair, ont pu être dérobés. Si le cryptogramme visuel n'était pas conservé, il peut être retrouvé automatiquement par les pirates puisqu'il n'y a que 1000 combinaisons possibles et que les systèmes de paiement en ligne permettent la ressaisie du cryptogramme autant de fois que nécessaire.

Précédents législatifs américains

Les Etats-Unis ne se sont pas dotés d'une législation fédérale spécifique relative à la protection des données personnelles. Cependant, les états fédérés furent les pionniers dans l'adoption de lois au contenu original : l'obligation de divulguer les atteintes à la confidentialité des données personnelles.

La Californie fut le premier Etat à légiférer en ce sens par une loi du 12 février 2002 modificative du code civil californien [Section 1798.29]. Toute entité qui possède des données personnelles doit rendre public toute violation de la sécurité de ces données, entendue comme l'obtention non-autorisée de données personnelles informatisées de nature à compromettre leur sécurité, leur confidentialité ou leur intégrité. La divulgation doit être opérée le plus rapidement possible à compter de la découverte de l'atteinte aux données. Elle prend normalement la forme d'une notification écrite à l'intéressé mais, sous certaines conditions, lorsque la notification écrite individuelle entraînerait des frais supérieurs à 250 000 dollars ou concernerait plus de 500 000 personnes, elle peut s'opérer sous forme d'annonces publiques sur internet ou dans les médias. La personne victime de la divulgation de ses données personnelles est en droit d'en demander l'indemnisation.

A la suite de la loi californienne, la quasi-totalité des Etats américains ont adopté une législation similaire.

Une nouvelle obligation récemment adoptée en droit français

A l'occasion de la révision du cadre réglementaire européen en matière de communications électroniques (l'ensemble étant appelé le « Paquet Télécom »), la directive du 25 novembre 2009 [Directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009] a introduit dans la directive 2002/58/CE « vie privée et communications électroniques » [Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques] des dispositions instituant une obligation de divulgation des atteintes à la sécurité des données personnelles.

La transposition du dernier paquet télécom est intervenue récemment par une ordonnance du 24 août 2011 [Ordonnance n°2011-1012 du 24 août 2011 relative aux communications électroniques]. Cette ordonnance, par son article 38, introduit un article 34 bis dans la loi du 6 janvier 1978 « Informatique et Libertés » instituant ce régime, inédit en droit français, de divulgation obligatoire des atteintes à la sécurité des données personnelles.

Le champ d'application de ce texte, à la différence des législations américaines, est limité aux violations dont le responsable est un fournisseur de « services de communications électroniques accessibles au public ».

Cette notion est définie dans le code des (...)

Page suivante (2/3) >

ACTUELLEMENT SUR LE FIL

Des smartphones à la SNCF pour mieux renseigner les voyageurs

16/05/2 - CIO : Les agents commerciaux train (ACT), les ex-contrôleurs, sont dotés depuis septembre (...)

Savoir solliciter des données pour les indicateurs de performance

16/05/2 - (...)

Le brouillard du licensing s'accroît avec le Cloud chez Oracle

15/05/2 - Le Cloud Computing devrait peut-être se nommer plutôt Smog Computing (informatique (...)

Amener la relation client de la périphérie au coeur du système d'information

14/05/2 - CIO : Vous avez mené une consolidation massive des systèmes d'information du groupe (...)

PAROLES DE DSI

Gouvernance

Justifier le budget de la DSI par la valeur du système d'information

Georges Epinette
DG de la Stime - Groupement des Mousquetaires (...)

Gouvernance

Optimiser son sourcing

Philippe Vilandrau
Directeur des opérations de VSC Technologies (...)

Gouvernance

Dépenser mieux pour financer les grands projets

Dominique Poussin
Secrétaire général de la DSI-RC Agirc-Arrco (...)

Gouvernance

La DGAC construit une DSI dédiée à son informatique de gestion

Francis Massé
Secrétaire général de la DGAC (...)

Toutes les paroles de DSI

CONTRIBUTIONS

Modèles de coûts et de facturation pour une DSI

Joachim Treyer - Parole d'expert

Associé du cabinet Cost House

Dans le contexte de forte pression économique que connaissent la majorité des DSI, le pilotage et la (...)

L'industrialisation, une conséquence des nouveaux enjeux « métiers » pour le DSI

Frédéric Thomas - Parole d'expert

Associé et co-fondateur de Sterwen Consulting

Industrialiser, c'est progresser étape par étape vers plus de maîtrise et de performance globale et apporter (...)

Toutes les expertises

LIVRES BLANCS - TELECHARGEMENTS

		> 16 mai 2012 - Rénover pour innover - L'heure est venue pour les banques de détail européennes Pour IDC Financial Insights, les banques de détail européennes doivent repenser radicalement leurs business models et infrastructures IT. Il leur faut séduire et fidéliser une clientèle exigeante par l'innovation, l'interaction, et un service personnalisé. Le simple traitement des comptes et des opérations cède la place à la gestion intelligente de l'information. Smartphones, tablettes et réseaux sociaux y ont toute leur place.

		> 16 mai 2012 - Le Management des processus métier (BPM) pour les nuls Le management des processus métier (BPM) pour les nuls,édition limitée IBM, vous explique en quoi consiste le BPM et comment il peut servir votre organisation. Vous verrez comment les solutions BPM d'IBM vous procurent de nombreux avantages, d'une plus grande satisfaction du client à plus d'agilité pour s'adapter aux conditions évolutives du marché.

		> 15 mai 2012 - INSCRIPTION au salon VMware Forum - 22 mai au Cnit Inscrivez-vous* dès maintenant au salon sur le Cloud Computing VMware Forum 2012 - le 22 mai 2012 au CNIT Paris La défense - Dans un contexte de prolifération des périphériques sur le lieu de travail, les attentes des utilisateurs vont croissant dans l'ère post-PC. Les infrastructures informatiques deviennent de plus en plus complexes, fragiles et rigides. Les entreprises se penchent sur la question d'une plus grande virtualisation de leurs applications stratégiques. Pour tout cela, le salon VMware Forum 2012 s'engage à vous aider à transformer votre entreprise et impulser sa croissance dans l'ère du Cloud. Qu'est ce que le salon VMwareForum 2012 : Découvrir comment VMware le leader mondial de la virtualisation et des infrastructures de Cloud Computing aide les entreprises à relever des défis majeurs : - Simplifier leur informatique - Renforcer la sécurité, accélérer la conception, le déploiement et l'exécution de vos applications Ce rendez-vous incontournable du 22 mai prochain vous offre l'occasion d'échanger avec des experts de la virtualisation VMware, des précurseurs du Cloud Computing, des analystes et d'autres informaticiens. Nous vous rappelons que le salon VMware Forum est un événement destiné uniquement aux utilisateurs professionnels. Le nombre de places étant limité, nous ne pouvons malheureusement pas accueillir les partenaires de VMware.

Tous les livres blancs

PARTENAIRES

. Web-profils.com, la place de marché du conseil et de l'ingénierie

Paroles d'experts

La nouvelle obligation de divulguer les atteintes à la sécurité des données

Etienne Papin - Avocat associé du cabinet Féral-Schuhl / Sainte-Marie

L'ordonnance n°2011-1012 du 24 août 2011 donne de nouvelles obligations aux entreprises, notamment révéler les failles ayant entrainer la perte ou la compromission de données personnelles.

Associé du cabinet Cost House

Associé et co-fondateur de Sterwen Consulting

Table Ronde - Poste de travail : les apports et les limites de la virtualisation / CONFERENCE POSTE DE TRAVAIL & DATACENTER

Intervention de Xavier Duflos, Strategic Alliance manager, Juniper Networks / CONFERENCE POSTE DE TRAVAIL & DATACENTER

Table Ronde - Vers une virtualisation complète du Datacenter : Cloud privé et portail de services / CONFERENCE POSTE DE TRAVAIL & DATACENTER

Email
Mot de passe

Email
Mot de passe