La Loi française exige plus que la suspicion

Le texte appelle trois observations. En premier lieu, dans la plupart des lois existant dans le monde anglo-saxon, la suspicion d’une faille de sécurité suffit à créer l’obligation de notification. La Loi française exige plus que la suspicion. Il faut une violation des données à caractère personnel. En outre, une faille peut exister sans porter atteinte à des données à caractère personnel, la notification dans ce cas n’est donc pas obligatoire. En second lieu, le texte vise aussi bien les failles ou vulnérabilités qui vont être exploitées par un attaquant, que le simple accident. Les termes “d’attaque” “d’accès frauduleux”, “d’entraves” sont totalement absents de l’ordonnance. Le texte luimême précise que cette violation peut aussi résulter d’un accident. Enfin, la terminologie couramment employée d’une “notification d’une faille de sécurité” n’est en réalité pas pertinente. Une clé USB oubliée dans des transports en commun, voire un ordinateur volé, sans qu’il s’agisse à proprement parler d’une faille ou vulnérabilité, peuvent faire l’affaire pour l’application de cette disposition obligatoire. Une fois la condition remplie, la Loi impose alors au fournisseur d’avertir sans délai la CNIL et éventuellement “la personne concernée” par les données à caractère personnel violées. Tout d’abord, le terme “sans délai” est dénué de toute ambigüité. Il s’agit bien de rendre public l’évènement immédiatement. On peut se demander si dans certains cas, l’enquête policière n’aurait pas intérêt à ce que l’information reste quelque temps secrète. Par ailleurs, rien n’est dit sur le contenu de ce qui est rendu public. Doit-on décrire, comme certaines lois étrangères l’exigent, le mode opératoire ayant abouti à la faille ? Ce serait donner quelques idées à certaines personnes qui n’en ont pas besoin. Enfin, qui est en charge de l’obligation de notification ? L’ordonnance précise qu’il s’agit du “fournisseur de services de communications électroniques accessibles au public”.