La sécurité des données personnelles

• Thiébaut Devergranne

L’essentiel : les responsables de traitements sont pris entre deux forces antagonistes dans la mise en œuvre de leurs obligations de sécurité : le risque d’être gagné par un sentiment diffus d’absence de sanctions en cas de défaillance de sécurité et la réalité judiciaire qui produit une jurisprudence, certes peu fréquente, mais sévère et peu encline à excuser les responsables de leurs errements.

L’obligation de sécurité

1. – Il suffit d’observer l’actualité dans le domaine de la sécurité informatique pour se convaincre que le choix du législateur, en 1978, d’imposer une obligation de sécurité au responsable du traitement des données personnelles n’est pas un simple effet de coquetterie. La parfaite récurrence de ces atteintes, leur quotidienneté, devenue banale, contrastent cependant avec le rigorisme du droit, la ferveur avec laquelle la loi sanctionne la plus minuscule des dérives, la moindre défaillance de sécurité. D’un côté la vertu des hautes exigences que nous imposent la loi, et de l’autre, la déviance permanente, l’insuffisance.

S’il faut en témoigner, la recherche « vol données personnelles » sur Internet rappelle la multitude des défaillances passées : ici une faille de sécurité a permis à des pirates de s’introduire sur les réseaux informatiques d’une grande multinationale pour s’emparer de plus de 70 millions de comptes utilisateurs, semble-t-il, avec leurs numéros de cartes bancaires ; là le fisc perd les données personnelles de 25 millions de citoyens, Sega se serait fait dérober 1,3 millions de comptes, Deutsche Telekom admet en avoir perdu 17 millions, de même que WordPress qui se fait subtiliser 18 millions de profils ; mais la palme revient à Heartland dont les défaillances de sécurité lui ont fait perdre 130 millions de numéros de cartes bancaires. Outre atlantique on comptabilise rigoureusement ces pertes.

On ne s’en étonne même plus, tant ces failles font partie du paysage informatique. Et l’interrogation aujourd’hui en est pratiquement renversée : face à la récurrence de ces débâcles, finalement, à quoi bon sanctionner ? Ces atteintes sont bien la preuve que les obligations de sécurité n’ont pas porté les fruits que l’on était d’elles en droit d’espérer. En atteste en France, le faible nombre d’actions judiciaires sur le fondement de l’article 226-17 du Code pénal.

2. – Mais pour que le tableau soit vraiment complet, il faut prendre place dans le prétoire. Si mince est-elle, la jurisprudence nous révèle que lorsque l’affaire vient au rôle, le droit reprend toutes les exigences que l’habitude pouvait avoir fait un temps oublier. Les juges appliquent la loi, condamnent ; les responsables de traitements sont appréhendés sur leur lieux de travail par les services de police et placés en garde à vue ; ils sont jugés en correctionnelle ; et lorsqu’un délit est réalisé, l’organisation qui les emploie n’a généralement d’autre choix que de les évincer pour protéger sa propre responsabilité et éviter sa mise en cause.

La jurisprudence va jusqu’à exiger l’obligation de résultat

Comment d’ailleurs pourrait-il en être autrement ? La réitération permanente des errements de sécurité n’a pas ôté au droit son inflexibilité, pas plus qu’elle n’aurait altéré son application. La loi s’applique pleinement. Et la faute pénale quant à elle consiste précisément dans le fait de ne pas avoir prévu les conséquences dommageables de l’acte, ou de ne pas avoir cru que de telles conséquences pourraient se produire. Ici, les juges ont d’importantes exigences et vont jusqu’à récuser « l’obligation de moyen » pour imposer une véritable « obligation de résultat » (lire ci-après la décision du TGI de Versailles) !

L’obligation de sécurité imposée par la loi Informatique et Libertés est donc au cœur d’une actualité vivifiante, pétrie de contradictions et de contrastes, qui sont autant de raisons d’en étudier la substance.

3. – La loi a donc imposé au responsable du traitement des données personnelles, et plus largement à ses sous-traitants, une obligation de sécurité et de confidentialité, assorties de sanctions pénales. Détaillons d’abord le contenu de l’obligation de sécurité, avant d’observer la jurisprudence, ainsi que les prérogatives de la CNIL dans ce domaine.

Lire la suite : Le détail des obligations de sécurité

Le plan de l'article :
- La sécurité des données personnelles (introduction)
- Le détail des obligations de sécurité
- La jurisprudence et l'obligation de sécurité des données personnelles
- Le pouvoir de la CNIL d'édicter des règlements de sécurité
- Les obligations de sécurité des données personnelles et la sous-traitance


Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)