Contributions

Paroles d'experts

La nouvelle obligation de divulguer les atteintes à la sécurité des données

Etienne Papin - Avocat associé du cabinet Féral-Schuhl / Sainte-Marie

(26/09/2011)

L'ordonnance n°2011-1012 du 24 août 2011 donne de nouvelles obligations aux entreprises, notamment révéler les failles ayant entrainer la perte ou la compromission de données personnelles.

A la suite de piratages ou tout simplement à la suite de la perte d'un ordinateur portable ou d'un disque dur par un employé, des pertes massives de données personnelles ont été révélées ces dernières années. Selon les sites internet spécialisés, le record de la perte de données à pour origine la société Heartland Payment Systems, qui a déclaré en janvier 2009 la perte des données des pistes magnétiques de 130 millions de cartes bancaires, permettant ainsi la réalisation de cartes contrefaisantes parfaitement utilisables. En avril 2011, Sony a annoncé le piratage de son playstation network (PSN). A la suite de cette attaque, 77 millions de comptes de joueurs en ligne ont été compromis. Les auteurs de ces intrusions on pu prendre connaissance des noms, adresse postale, adresse de courrier électronique, mots de passe et login, identifiant de joueur et question secrète des utilisateurs du PSN. Mais ce sont également les données bancaires qui ont été compromises : les numéros de carte et date d'expiration, conservés en clair, ont pu être dérobés. Si le cryptogramme visuel n'était pas conservé, il peut être retrouvé automatiquement par les pirates puisqu'il n'y a que 1000 combinaisons possibles et que les systèmes de paiement en ligne permettent la ressaisie du cryptogramme autant de fois que nécessaire.

Précédents législatifs américains

Les Etats-Unis ne se sont pas dotés d'une législation fédérale spécifique relative à la protection des données personnelles. Cependant, les états fédérés furent les pionniers dans l'adoption de lois au contenu original : l'obligation de divulguer les atteintes à la confidentialité des données personnelles.

La Californie fut le premier Etat à légiférer en ce sens par une loi du 12 février 2002 modificative du code civil californien [Section 1798.29]. Toute entité qui possède des données personnelles doit rendre public toute violation de la sécurité de ces données, entendue comme l'obtention non-autorisée de données personnelles informatisées de nature à compromettre leur sécurité, leur confidentialité ou leur intégrité. La divulgation doit être opérée le plus rapidement possible à compter de la découverte de l'atteinte aux données. Elle prend normalement la forme d'une notification écrite à l'intéressé mais, sous certaines conditions, lorsque la notification écrite individuelle entraînerait des frais supérieurs à 250 000 dollars ou concernerait plus de 500 000 personnes, elle peut s'opérer sous forme d'annonces publiques sur internet ou dans les médias. La personne victime de la divulgation de ses données personnelles est en droit d'en demander l'indemnisation.

A la suite de la loi californienne, la quasi-totalité des Etats américains ont adopté une législation similaire.

Une nouvelle obligation récemment adoptée en droit français

A l'occasion de la révision du cadre réglementaire européen en matière de communications électroniques (l'ensemble étant appelé le « Paquet Télécom »), la directive du 25 novembre 2009 [Directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009] a introduit dans la directive 2002/58/CE « vie privée et communications électroniques » [Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques] des dispositions instituant une obligation de divulgation des atteintes à la sécurité des données personnelles.

La transposition du dernier paquet télécom est intervenue récemment par une ordonnance du 24 août 2011 [Ordonnance n°2011-1012 du 24 août 2011 relative aux communications électroniques]. Cette ordonnance, par son article 38, introduit un article 34 bis dans la loi du 6 janvier 1978 « Informatique et Libertés » instituant ce régime, inédit en droit français, de divulgation obligatoire des atteintes à la sécurité des données personnelles.

Le champ d'application de ce texte, à la différence des législations américaines, est limité aux violations dont le responsable est un fournisseur de « services de communications électroniques accessibles au public ».

Cette notion est définie dans le code des (...)

Page suivante (2/3) >

ACTUELLEMENT SUR LE FIL

La continuité d'activité objet d'une nouvelle norme ISO

23/05/2 - La nouvelle norme internationale de management de la continuité de l'activité a été (...)

Le Bring Your Own Device efface la frontière entre vie privée et professionnelle

23/05/2 - L'entreprise de sécurité Good Technology a commandé une étude auprès de l'IFOP sur (...)

Savoir baptiser ses projets

23/05/2 - (...)

L'architecture d'entreprise expliquée

22/05/2 - The Open Group Architecture Framework (TOGAF) est un modèle normalisé d'architecture (...)

PAROLES DE DSI

Gouvernance

Justifier le budget de la DSI par la valeur du système d'information

Georges Epinette
DG de la Stime - Groupement des Mousquetaires (...)

Gouvernance

Optimiser son sourcing

Philippe Vilandrau
Directeur des opérations de VSC Technologies (...)

Gouvernance

Dépenser mieux pour financer les grands projets

Dominique Poussin
Secrétaire général de la DSI-RC Agirc-Arrco (...)

Gouvernance

La DGAC construit une DSI dédiée à son informatique de gestion

Francis Massé
Secrétaire général de la DGAC (...)

Toutes les paroles de DSI

CONTRIBUTIONS

Ne laissez pas les dépenses d'exploitation amputer le financement des investissements

Jim McGittigan - Parole d'expert

Directeur de recherche au sein du cabinet Gartner

Les directeurs des systèmes d'information (DSI) sont chargés de maximiser la valeur des maigres ressources (...)

Appels d'offres : accroître le partenariat entre les entreprises et les collectivités

Patrick Duchateau - Parole d'expert

Responsable du service informatique et statistique de la Fédération Française du Bâtiment

Optimiser les procédures aux appels d'offres peut se faire grâce à la dématérialisation. Celle-ci trouverait (...)

Toutes les expertises

LIVRES BLANCS - TELECHARGEMENTS

		> 24 mai 2012 - Une success story dans les services financiers Une grande banque mondiale comptait plus de 100 développeurs de logiciel dans 3 centres sur différents continents. Ce cloisonnement provoquait doublons, lenteur et coût. Une étude de marché a retenu la Black Duck Suite qui tire le meilleur de l'open source : uniformisation, contrôle et réutilisation du code, respect des procédures, économie, souplesse, sécurité et rapidité. Sans oublier la protection par le chiffrement, vitale pour une activité financière.

		> 24 mai 2012 - Les services financiers innovent grâce à l'open source Le secteur de la finance est lui aussi séduit par l'open source. Pour empêcher que chaque développeur ne choisisse le sien, une bonne gouvernance IT est indispensable pour éviter de multiples écueils : technique, opérationnel, réglementaire, juridique, réputation. Forte de son expérience dans les domaines de la banque et de l'assurance, Black Duck assure la maîtrise globale de l'open source pour en tirer le meilleur en économie, souplesse et rapidité.

		> 24 mai 2012 - La gouvernance de l'open source dans des entreprises très réglementées Economie, souplesse, innovation et rapidité contribuent au succès croissant du logiciel open source. Mais son déploiement incontrôlé et sa prolifération dans l'entreprise font courir des risques sur divers plans : technique, opérationnel, réglementaire, juridique, image de marque. Black Duck évite tous ces pièges par une maîtrise complète de son cycle de vie, en commençant par le choix initial.

Tous les livres blancs

PARTENAIRES

. Web-profils.com, la place de marché du conseil et de l'ingénierie

Paroles d'experts

La nouvelle obligation de divulguer les atteintes à la sécurité des données

Etienne Papin - Avocat associé du cabinet Féral-Schuhl / Sainte-Marie

L'ordonnance n°2011-1012 du 24 août 2011 donne de nouvelles obligations aux entreprises, notamment révéler les failles ayant entrainer la perte ou la compromission de données personnelles.

Directeur de recherche au sein du cabinet Gartner

Responsable du service informatique et statistique de la Fédération Française du Bâtiment

Table Ronde - Poste de travail : les apports et les limites de la virtualisation / CONFERENCE POSTE DE TRAVAIL & DATACENTER

Intervention de Xavier Duflos, Strategic Alliance manager, Juniper Networks / CONFERENCE POSTE DE TRAVAIL & DATACENTER

Table Ronde - Vers une virtualisation complète du Datacenter : Cloud privé et portail de services / CONFERENCE POSTE DE TRAVAIL & DATACENTER

Email
Mot de passe

Email
Mot de passe