En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    IT & IT Security Meetings 2018

    IT Meetings devient IT & IT Security Meetings et ouvrira ses portes en mars pour…

    en détail En détail...
  • 20/03/2018
    Mobility Meetings

    Lancement d’un nouveau salon Mobility Meetings, qui aura lieu à Cannes les 20, 21 et…

    en détail En détail...
Schneider_SMARTBUNKER_leaderboard

La Loi française exige plus que la suspicion

NTT secu_Threat Intelligence report_pave

Le texte appelle trois observations. En premier lieu, dans la plupart des lois existant dans le monde anglo-saxon, la suspicion d’une faille de sécurité suffit à créer l’obligation de notification. La Loi française exige plus que la suspicion. Il faut une violation des données à caractère personnel. En outre, une faille peut exister sans porter atteinte à des données à caractère personnel, la notification dans ce cas n’est donc pas obligatoire. En second lieu, le texte vise aussi bien les failles ou vulnérabilités qui vont être exploitées par un attaquant, que le simple accident. Les termes “d’attaque” “d’accès frauduleux”, “d’entraves” sont totalement absents de l’ordonnance. Le texte luimême précise que cette violation peut aussi résulter d’un accident. Enfin, la terminologie couramment employée d’une “notification d’une faille de sécurité” n’est en réalité pas pertinente. Une clé USB oubliée dans des transports en commun, voire un ordinateur volé, sans qu’il s’agisse à proprement parler d’une faille ou vulnérabilité, peuvent faire l’affaire pour l’application de cette disposition obligatoire. Une fois la condition remplie, la Loi impose alors au fournisseur d’avertir sans délai la CNIL et éventuellement “la personne concernée” par les données à caractère personnel violées. Tout d’abord, le terme “sans délai” est dénué de toute ambigüité. Il s’agit bien de rendre public l’évènement immédiatement. On peut se demander si dans certains cas, l’enquête policière n’aurait pas intérêt à ce que l’information reste quelque temps secrète. Par ailleurs, rien n’est dit sur le contenu de ce qui est rendu public. Doit-on décrire, comme certaines lois étrangères l’exigent, le mode opératoire ayant abouti à la faille ? Ce serait donner quelques idées à certaines personnes qui n’en ont pas besoin. Enfin, qui est en charge de l’obligation de notification ? L’ordonnance précise qu’il s’agit du “fournisseur de services de communications électroniques accessibles au public”.

La Loi française exige plus que la suspicion
Notez cet article

Laisser un commentaire

Threat Intelligence Report

À travers sa plateforme de cyberveille mondiale, NTT Security analyse 40 % du trafic Internet dans le monde. Découvrez le dernier rapport du centre mondial de cyberveille (Global Threat Intelligence Center) sur l’état des menaces au troisième trimestre 2017

Lire le rapport

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Les imprimantes sont-elles frappées d’obsolescence programmée ?

    Le 18 septembre dernier, l'association HOP (Halte à l'Obsolescence Programmée) a déposé une plainte contre…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Cybermenace : "L’hameçonnage franchit un cap avec le détournement d'email", Alexandre Delcayre, Palo Alto

    Alexandre Delcayre, directeur Systems Engineering Europe du Sud, Russie, Israël, et l'Unit42, l'unité de recherches…

    > En savoir plus...
Etudes/Enquêtes
  • Un outil en ligne pour calculer le coût des incidents informatiques dans l'entreprise

    Avec l'outil mis au point par Splunk, l'entreprise peut calculer le coût réel d'un incident…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Global K_Data scientist_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Cloud hybride : réussir l’externalisation de votre SI en 4 étapes

    > Voir le livre
  • Adopter un Plan de Continuité d’Activité (PCA)

    > Voir le livre
BlueMind_Nouvelle version_skycraper