Veille Juridique – novembre 2019.

Sécurité des données : l’erreur est (souvent) humaine. C’est le constat des autorités publiques en charge de la protection des données à caractère personnel, réunies à Tirana du 21 au 24 octobre dernier.

Plusieurs résolutions ont été adoptées dans le cadre de la conférence internationale qui réunit chaque année les autorités de supervision, le secteur privé et la société civile.

On relève notamment deux résolutions visant à améliorer la coopération des autorités publiques au-delà des frontières et pour une meilleure mise en œuvre du RGPD, une résolution concernant les réseaux sociaux et les contenus extrémistes violents, et celle qui nous occupe ici, sur l’erreur humaine dans le cadre des violations de sécurité.

Pour mémoire, en vertu du RGPD, une violation de sécurité concerne toute situation lors de laquelle des données personnelles sont de manière accidentelle ou illicite :

• Détruites
• Perdues
• Altérées
• Divulguées
• Ou lorsqu’un accès non autorisé à des données est constaté.

Il s’agit donc d’un champ d’application particulièrement large, avec des conséquences pour le responsable du traitement qui devra, en fonction de l’impact de la violation de sécurité, notifier la CNIL et les personnes concernées par l’incident.

Plus d’un an après l’entrée en vigueur du RGPD, on constate qu’une grande partie des amendes infligées pour non-respect du Règlement le sont à cause d’un défaut de sécurité des traitements de données. 

Les différentes autorités en Europe ont en outre reçu un grand nombre de notifications et commencent à avoir une vision plus claire des origines des problèmes de sécurité, ce qui devrait permettre d’améliorer la prévention dans ce domaine.

Le constat est le suivant : une grande partie des atteintes à la sécurité provient d’employés divulguant de manière non intentionnelle des informations à des destinataires non autorisés, ou de personnes induites en erreur et amenées à transmettre des identifiants et codes d’accès aux informations.

Outre la mise en œuvre de techniques robustes de protection des données dans la conception même des systèmes (« privacy by design »), la résolution appelle à développer une culture de protection des données au sein de l’entreprise. On souligne l’importance des mesures suivantes :

• Programmes de formation, éducation et sensibilisation régulière des employés aux aspects « vie privée » et sécurité des données ;
• Formation à la détection et à la notification des violations de sécurité ;
• Monitoring et audits réguliers des pratiques et des systèmes mis en place pour protéger les données.

Un rappel utile : le chiffrement reste un moyen très pertinent de protéger les données, associé à d’autres mesures techniques et organisationnelles. La CNIL et l’ANSSI ont mis en ligne en octobre de nombreuses informations pratiques à l’occasion du mois de la cybersécurité.

Et aussi :

• En France :

L’autorité de supervision française a publié mi-octobre sa feuille de route 2019-2021 afin de communiquer sur ses priorités en matière de protection des données à caractère personnel. On dénombre cinq axes de travail :

• Les enjeux numériques de la vie quotidienne des citoyens ;
• Une régulation équilibrée (accompagnement et action répressive) ;
• Un investissement important dans la coopération européenne ;
• Une expertise de pointe sur le numérique et la cybersécurité ;
• Une mission de service public innovante et basée sur des valeurs humanistes.

La CNIL a également pris position le 17 octobre sur deux systèmes de reconnaissance faciale mis en œuvre dans des écoles.

Elle a considéré ces projets, appliqués à des élèves pour la plupart mineurs et dans le seul but de fluidifier et de sécuriser les accès comme n’étant « ni nécessaires, ni proportionnés pour atteindre ces finalités ».

Ces décisions peuvent être comparées à celle prise par l’autorité de supervision suédoise fin août dans un contexte de reconnaissance faciale en milieu scolaire, dans un objectif cette fois de contrôle des présences.

• En Europe :

Dédommagement en cas de violation de la loi : les conditions auxquelles un individu peut prétendre à un dédommagement en cas de violation de ses droits sont clarifiées par la jurisprudence.

La dernière décision en date, prise par la Cour d’Appel de Londres le 2 octobre dernier, octroie ainsi un dédommagement pour collecte frauduleuse de données par Google sur les IPhones de plus de quatre millions d’utilisateurs, en l’absence de preuve de dommage : la Cour précise que le contrôle d’une personne sur ses données a une valeur, de sorte que la perte de ce contrôle doit également avoir une valeur.

Par conséquent, une personne peut recouvrer une indemnisation en vertu de la loi, sans prouver une perte financière ou une détresse.

On note le lien de cette décision avec l’article 82 du RGPD qui consacre l’existence de dommages matériels et immatériels et qui laisse au responsable de traitement la charge de prouver qu’il n’est pas responsable du dommage.

• Aux Etats-Unis :

Transferts internationaux de données : la Commission européenne a publié le 23 octobre les conclusions du troisième examen annuel du « Privacy Shield », qui encadre le transfert de données vers les Etats-Unis pour les entreprises y ayant adhéré.

Le rapport confirme que le système continue de présenter un niveau de protection adéquat.

Il souligne les améliorations apportées à la mise en œuvre du « Shield » et mentionne les faiblesses encore existantes, dont la durée nécessaire pour obtenir une (re)certification et la vérification des fausses allégations de certification revendiquées par certaines entreprises.