Juridique : La notification d'une faille de sécurité du système d'information rendue obligatoire

En plein été, le pouvoir exécutif a transposé en droit français le second Paquet Telecom européen composé pour l'essentiel d'un règlement communautaire et de deux directives. Cette ordonnance du 24 Août 2011 relative aux communications électroniques, poursuit le travail de libéralisation du secteur des télécoms débuté il y a plus de 20 ans. Mais l'Ordonnance crée aussi pour la première fois en Europe et en France, une obligation de notification des failles de sécurité

La “Data Breach notification” est bien connue du monde anglo-saxon, et en particulier américain. Cette notification est apparue pour la première fois dans la Loi Californienne en 2002. En Europe et en France, c’est une première qui constitue une petite révolution alors que nous entrons de plain-pied dans l’ère du Cloud Computing. L’idée maîtresse est que les systèmes d’information renferment souvent des données à caractère personnel qui nous concernent. Si d’aventure un tiers non autorisé en prenait connaissance, les détruisait, les altérait ou les captait, alors le responsable du système a l’obligation d’alerter les autorités, voire les personnes concernées. En clair, il faut rendre publique la faille. Si la notification n’est pas respectée, des sanctions devraient être appliquées à son encontre.Telle est la règle qui pourrait constituer un changement de comportement important de la part des entreprises, tant on sait que leur réflexe habituel est d’étouffer toute défaillance de leur part. L’ordonnance prévoit ainsi qu’ “en cas de violation de données à caractère personnel, le fournisseur (…) avertit sans délai la CNIL”. Le texte précise encore que lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée “d’un abonné ou d’une autre personne physique”, le fournisseur avertit également, sans délai, la personne concernée.