TWITTER FOLLOW US Facebook
Flux RSS


Un cookie va stocker. Date expiration :ce soir minuit. Petit Moyen Grand Aide  
PERTES DE DONNÉES : A QUAND UNE POLITIQUE D'ENTREPRISE RESPONSABILISANTE ?
fl Article publié le 06/03/2006
fl Auteur : M. Cédric Crépin  Juriste, Cabinet CILEX .
fl Domaines : Informatique et libertés, Droit pénal, Criminalité informatique.
fl Ordre juridique : ordre juridique
3.
print| Cet article a été lu 5720 fois |

News Un scandale de plus émaille la gestion des données au sein d'une grande entreprise

fl Un scandale de plus émaille la gestion des données au sein d'une grande entreprise. Le 23 février 2006, l'auditeur externe Deloitte & Touche révèle que l'un de ses employés a égaré un CD-Rom. Malheureusement, disparaissent avec ce support les données personnelles de 9000 employés de McAfee, société spécialisée dans la sécurité des systèmes d'information. Cette affaire n'est pourtant que la dernière à s'inscrire dans la chronologie des pertes de données reconnues publiquement. Chaque jour ou presque apporte un nouvel exemple d'une absence totale de gestion organisée et de qualité relative à la protection des données personnelles au sein des entreprises. Selon la Privacy Rights Clearinghouse, association de défense des consommateurs américains, les données de 53 millions d'américains auraient été perdues depuis un an (1) . Peut être s'y rajouteront les données perdues par la société Ernst & Young dont un des employés s'est vu dérober son PC portable contenant les numéros de sécurité sociale des employés de ses clients.

L'affaire Deloitte est éclairante sur plusieurs points. La perte de fichiers est attentatoire à la vie privée et doit devenir l'un des principaux enjeux pour les entreprises. En effet, si elle peut résulter d'actes frauduleux, elle est surtout le fruit d'erreurs internes qui auraient pu être évitées de manière simple et efficace. Il faut donc mobiliser les entreprises afin qu'elles mettent en place une politique pragmatique de protection des données et de sécurité informatique. Au delà de la perte de crédibilité des entreprises en cause, il y a en trame de fond une gestion des risques à revoir pour nombre d'entre elles pour que soit assurée la protection de la vie privée.


Une succession d'erreurs humaines

L'affaire Deloitte ne restera pas dans les annales comme une référence de piratage des systèmes mais plutôt comme une grossière erreur d'un employé. C'est au retour d'un voyage en avion que l'un deux « égare » un CD contenant les données des 9000 employés de McAfee. Pourtant, si cette étourderie emporte de graves conséquences, difficile d'en vouloir à cet individu à ce stade car le risque zéro en terme d'erreur humaine n'existe pas. Plus grave est le temps de réaction de cet employé qui attendra plus de 3 semaines pour avertir la direction de son groupe. Deloitte attend à son tour 3 jours pour prendre contact avec McAfee. Au final, la peur d'être sanctionné ou de perdre un client concrétisée par une temporisation dans les différents actes n'a amené qu'à perdre du temps pour retrouver le CD et avertir les individus de la disparition de leurs données, afin qu'ils puissent surveiller leurs comptes bancaires par exemple.

Plus graves sont les réactions des entreprises Deloitte et McAfee, l'une spécialisée dans les audits et les processus stricts, l'autre dans la sécurité des systèmes d'information. Il aura fallu 20 jours, une fois McAfee au courant, pour connaître le contenu du CD et le type d'informations contenues. Pire encore, les données ne faisaient l'objet d'aucun codage ou encryptage, autrement dit elles sont lisibles par tous. Il est stupéfiant de constater que des leaders tels que ces deux sociétés puissent commettre de tels manquements.


A quand une attitude responsable des entreprises ?

A l'heure du stockage sur des suppors de plus en plus miniaturisés, il est navrant de constater que peu de moyens sont mis en oeuvre pour assurer une sécurité des données et mettre en place une gestion de risque lorsque ce genre de situation arrive. L'attentisme des individus et des sociétés dans pareille situation, « justifié » par des craintes commerciales et judiciaires, se révèle coupable pour les individus dont les données se volatilisent. A force d'attente en pensant régler soi- même les problèmes, c'est la responsabilité des protagonistes qui ne cesse d'augmenter.

Si des histoires de « désastre numérique » sont moins connues en France, nul doute qu'elles n'en sont pas moins courantes. C'est par exemple le cas de Sesam Vitale, puisqu'on a récemment découvert que les cartes étaient lisibles et falsifiables (2) . Contrairement aux Etats Unis, la France dispose d'un corpus légal encadrant la protection des données dont la figure de proue est la célèbre mais bien souvent « oubliée » loi Informatique et Libertés du 6 janvier 1978. L'art. 1 de la loi pose un principe «L'informatique doit être au service de chaque citoyen ». Autrement dit, la donnée concernant une personne n'est pas qu'une source de revenus. Si la théorie reçoit souvent l'agrément de tous, la mise en application reste sujette au bon vouloir de chacun.

Néanmoins, si le cas Deloitte se produisait en France, plusieurs principes directeurs de la loi Informatique et Libertés se trouveraient violés. La sécurité des données tout d'abord. L'art. 34 de la loi dispose que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Dans le cas Deloitte, le CD ne fait pas l'objet de cryptage des données alors que certaines informations sensibles y sont stockées. Cette faute grave est renforcée par le fait qu'elle provienne d'un professionnel de l'audit et un spécialiste en sécurité informatique. La sous-traitance opérée par McAfee exigeait que ce dernier livre des directives précises à Deloitte sur la manière de protéger les données. Outre le bon sens, cet encadrement des mesures techniques dans les relations contractuelles est imposé par la loi Informatique et Libertés à l'art. 35 al. 3 (3) . Si cette disposition fait l'objet d'une application rare en pratique, on ne peut que constater que c'est un point important qui doit être pris en compte par les parties au contrat.

L'information des personnes est aussi mise à mal. Si la loi Informatique et Libertés impose une obligation d'information du responsable de traitement auprès des individus, notamment sur la manière dont sont traitées les données et leur devenir (vente, archivage...) ne peut-on pas aller plus loin dans la lecture des textes et y voir une obligation d'informer les individus de la perte de leurs données, susceptible de leur causer un préjudice grave ? A lire strictement le texte, cela n'apparaît pas possible. La loi offre à l'individu un droit de s'opposer au traitement, un rôle passif, ou d'accéder à ses données, rôle plus actif. En somme, si problème il devait y avoir avec les données d'un individu, ce serait à ce dernier d'effectuer une demande auprès de l'organisme traitant pour savoir ce qu'il en est. On assiste là à une lacune juridique qui pourrait prendre de l'importance à l'avenir. Si le droit d'agir et de s'informer du citoyen est reconnu, force est d'admettre que tous ces moyens d'action prennent un sens lorsque tout se passe bien. Or, si une catastrophe comme l'affaire Deloitte se produit, rien n'est envisagé par le texte de 1978, modifié en 2004.

A l'évidence, si le cas Deloitte et McAfee venait à se présenter devant les tribunaux, le profil des protagonistes ne laisserait que peu de place à une peine douce. En France, le code pénal prévoit une peine de 5 ans d'emprisonnement et de 300 000 € d'amende pour violation de l'article 34. Soit une peine supérieure à l'homicide involontaire. Aux Etats-Unis, les juridictions préfèrent frapper sur le plan financier. La société ChoicePoint en a fait l'amère expérience. Le courtier en information américain a par inadvertance vendu les renseignements personnels d'au moins 145 000 Américains à 50 voleurs d'identité (4) , et a attendu plusieurs mois pour révéler l'affaire. Bilan, une condamnation à payer une amende record de 10 millions de dollars, auxquels s'ajoutent 5 millions de dommages et intérêts et sur le plan commercial un discrédit pour plusieurs années (5) .


Un manque d'impulsion de chacun des acteurs responsables

Il appartient donc aux entreprises d'aboutir à une véritable obligation de moyens pour infléchir la tendance grandissante de perte de données, pouvant conduire à une usurpation d'identité. Si les moyens techniques mis aujourd'hui à la disposition des organismes sont de plus en plus puissants et performants, les dangers entourant les données personnelles sont quant à eux importants et quasi irréversibles. L'identité d'un individu étant de plus en plus numérisée (carte bancaire, carte de santé, accès aux locaux...) et la confiance en la technologie sans faille, les victimes de vol ou de perte d'identité ne connaissent aujourd'hui que peu de recours. Quant aux pouvoirs publics, il est urgent qu'ils prennent une conscience effective de l'existant et du chantier à mettre en place. Le renforcement des pouvoirs de la CNIL n'est toujours pas accompagné des moyens financiers et matériels adéquats. Contrairement aux Etats-Unis, les entreprises n'ont pas l'obligation de révéler les vols et les pertes de données les affectant. Enfin, des organismes policiers spécialisés comme l'O.C.L.C.T.I.C ou la B.A.F.T.I demeurent dans l'ombre, inconnus du grand public et de la plupart des professionnels.

Finissons cet article sur une note heureuse. McAfee offre à ses 9000 employés malheureux une surveillance gratuite de leurs comptes bancaires. Et à ce jour, aucun mouvement suspect n'a été détecté.

Auteur : M. Cédric Crépin  Juriste, Cabinet CILEX . | Source : DROIT-TIC |
NOTES
1 A chronology of data breaches since the Choice Point incident, http://www.privacyrights.org/ar/ChronDataBreaches.htm

2 Voir par exemple Y'aura t'il un scandale Sésam Vitale ?, J.-M. Manach, 9 septembre 2005 http://www.internetactu.net/?p=6114

3 « Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. »

4 ChoicePoint data theft widens to 145,000 people, M. Hines, 28 février 2005,

5 Négligence dans la protection de données : ChoicePoint condamné à verser 10 millions de dollars
LIENS
 

top
© 2000-2015 Julien Le Clainche