Les méthodologies de sécurité, outil de limitation des risques juridiques

• Thiébaut Devergranne

S’assurer de respecter l’ensemble des obligations légales liées à la mise en oeuvre d’un traitement de données personnelles n’est jamais simple, en particulier dès lors que l’on touche aux aspects de sécurité informatique.

Fort heureusement, un énorme travail de rationalisation a été effectué en ce sens afin de tenter de s’assurer, de la manière la plus scientifique possible, que toutes les précautions utiles de sécurité ont bien été prises. De nombreuses méthodologies de sécurité ont ainsi émergé, les deux les plus citées étant sans doute Ebios (initiée par un ancien collègue) et Méhari.

Toutes deux ont avant tout pour finalité d’analyser un certain nombre de risques techniques, humains et organisationnels, afin d’assurer une sécurité optimale à un système d’information (dont on parle abondamment dans les formations CIL, au passage). Toutes deux permettent au responsable du traitement d’avoir, autant que possible, une pleine conscience des risques auxquels le système est exposé.

D’un point de vue juridique, ces méthodologies ont donc un intérêt majeur.

Tout d’abord, parce que la loi impose au responsable du traitement de réaliser une analyse de risques préalablement à la mise en oeuvre d’un traitement de données personnelles. En effet, d’un point de vue juridique, l’article 34 de la loi informatique et libertés impose au responsable du traitement : « de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

D’un point de vue juridique, ces méthodologies ont donc un intérêt majeur.

Avant de prendre des précautions utiles de sécurité, encore faut-il mesurer les risques auxquels on est exposé. Aussi, la loi impose cette étape fondamentale, et le fait de télescoper cette étape est sanctionné pénalement (5 ans d’emprisonnement et 300.000 euros d’amende, article 226-17 du Code pénal).

Ces méthodologies permettent donc de répondre en cela à l’obligation imposée par la loi.

Mais leur apport ne s’arrête pas là.

Un second bénéfice tient au fait que suivre ces méthodes permet également de formaliser l’analyse de sécurité qui est faite. Or, cette formalisation joue un rôle très important en droit. En effet, en cas de contentieux, les résultats formalisés pourront alors servir comme élément de preuve des efforts effectués pour assurer un niveau adéquat de sécurité. Et a contrario, ne pas avoir formalisé cette analyse de risque place le responsable du traitement dans une position  délicate, car il risque de n’avoir que de belles paroles à produire en cas de conflit. Il sera alors difficile de démontrer qu’une réelle réflexion a été menée en amont, ce qui, en d’autres termes, est le meilleur moyen d’engager sa responsabilité…

Cette étape est d’autant plus importante que la CNIL elle-même recommande « que l’évaluation des risques et l’étude générale de la sécurité soient entreprises systématiquement pour tout nouveau traitement informatique, et réexaminées pour les traitements existants« . Dès lors, comment respecter réellement cette recommandation sans formalisation ? De même, il faut noter que la Commission demande à ce « qu’un soin tout particulier soit apporté à définir les dispositions destinées à assurer la sécurité et la confidentialité des traitements et des informations, à les consigner dans un document de référence, à les tenir à jour et à veiller de manière permanente à leur respect« . Autant de raisons de recourir à ces outils méthodologiques et pratiques.

Voilà du moins pour le présent.

Si l’on regarde du côté de l’avenir avec le projet de nouveau règlement européen sur la protection des données personnelles, on constate que l’article 30.2 renforce cette évaluation systématique des risques du traitement des données personnelles : « À la suite d’une évaluation des risques, le responsable du traitement et le sous-traitant prennent les mesures prévues au paragraphe 1 pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite et la perte  accidentelle et pour empêcher toute forme illicite de traitement, notamment la divulgation, la diffusion ou l’accès non autorisés, ou l’altération de données à caractère personnel« .

Autant de raisons de se familiariser dès maintenant, si ce n’est déjà fait, avec ces outils pratiques !


Commentaires...

Fabrice

Article tout à fait intéressant ... il n'en reste pas moins que l'exécution suffisamment exhaustive d'une méthodologie de type Ebios ou Mehari est réservée, du fait de la charge qu'elle représente, à un petit cercle d'organisations richement dotées en ressources humaines qualifiées. J'appelle quant à moi de mes voeux, depuis dix ans, la diffusion gratuite par l'ANSSI ou autre d'une méthodologie light et des outils associés, au profit des organisations de taille intermédiaire ou petite, la sensibilité des données n'étant pas proportionnelle à l'effectif de l'organisation qui les collectent et les traitent. Saluons néanmoins les récentes publications de l'ANSSI (guide d'hygiène informatique) qui vont enfin dans le sens de la démocratisation ...

Thiébaut Devergranne

100% d'accord avec vous. Il manque vraiment une approche simple, dédiée aux non experts et qui permette de se faire une idée des risques rencontrés. Merci de votre commentaire !

Bouchet

Bonjour,

j'abonde totalement dans le sens de l'article et de la remarque de Fabrice.

Il me semble qu'au-delà de l'aspect juridique de la question, il faut aussi mettre en avant le côté utile d'une telle démarche : disposer d'une analyse de risques pour se mettre en conformité avec la loi, c'est bien, mais si c'est la seule motivation, c'est insuffisant, car ça n'entraînera pas l'adhésion des acteurs, qui iront à reculons, interpétant ces obligations comme autant de contraintes.

On peut également "vendre" ces méthodes (complètes ou light) comme un apport en matière d'efficacité opérationnelle, donc de qualité, donc potentiellement de chiffre d'affaire (à condition que les services commerciaux s'appuient sur le sérieux professionnel que leur utilisation sous-entend).

Thiébaut Devergranne

Je pense que la conformité à la loi est un aspect, disons, un bénéfice de ces méthodologies, et c'est ce que je souhaitai souligner, car c'est un point qui n'est pas assez mis en avant aujourd'hui.

patricia

bonjour,

Je découvre avec plaisir vos différents billets et analyses pertinentes sur les données sensibles !

une question me vient et je profite de ce sujet qui j'espère est resté ouvert !

j'ai découvert suite à une demande de prêt que "j'avais un fichage FICP sur ma personne"

la Banque de france me remet mon document ou est porté le N° de prêt, la date de référence, la nature du crédit, sa date de création et la date de radiation.

Je vérifie chez moi le n° de référence crédit qui ne correspond à aucune offre de prêt ou de contrat à mon nom;

Je demande par RAR à ma banque l'envoi de " ces offres de prêts" et j'indique ces nouvelles références de prêts.

La banque n'a pas souhaité me répondre à ce sujet.

Devant un certain problème que je rencontre avec cette même banque, "j'ai reçu un courrier de l'avocat de la banque, et en retour je lui demande la copie des contrats portant qui ont été déclaré en impayés auprès de la banque de france et pour lequel je suis FICP ;

L'avocat ne me répond et n'a pas transmis ma demande à sa cliente (la banque).

Un délai de plus de 3 mois étant passé, j'ai décidé de porter cette affaire auprès de la CNIL.

Bizarrement les choses ont bougé de la part de la banque.

1) je reçois un appel téléphonique, m'indiquant que la banque était désolée de cette erreur, qu'à présent le FICP est retiré, ect...

2) je demande à la banque réparation financière pour cette "erreur" et n'ayant pas eu de courrier de la part de ma banque, je décide de demander un rendez-vous avec leur services.

Leur réponse : " comme nous vous l'avons indiqué Mme xxxxx , cette erreur de déclaration FICP provient d'une migration informatique, nous sommes à nouveau désolés mais que voulez-vous, cela arrive...., nous avons eu d'autres clients qui ont eu cette même mésaventure, ils nous ont contacté et nous avons procédé à ce défichage."

3) ces réponses n'ont pas été à me rassurée. J'ai appris que ma banque (et ce n'est pas une obligation) n'a pas de correspondant CIL

comment une aussi grande banque ne mets pas en place des outils de veille sur les données personnelles ! !

comment m'a banque a t'elle pu changer mes numérotations de prêts sans m'avertir.

J'ai malgré tout eu un fichage illicite durant 2 ans et demi ! !

(préjudice financier : aucune possibilité de faire un 3 X sans frais, rachat de crédit, crédit auto ect........)

Je n'accepte pas que cette banque se retranche derrière SA MIGRATION INFORMATIQUE. Cette MIGRATION INFORMATIQUE en mon sens devait servir

à protéger l'ensemble informatique de la banque et non à "pourrir financièrement ses

clients ! ! ".

Au regard de vos analyses, que pensez-vous de l'attitude de cette banque.Pour information, la banque a durant une conversation téléphonique (elle ignorait que c'était moi) m'a clairement indiqué : que pour "plomber un client, il leur arrivait fréquemment de changer la numérotation des prêts afin de faire une déclaration FICP"

si le client le voyait et les informer, il suffisait dans ce cas à la banque de demander la radiation du FICP .

ces méthodes me dérange ! !

qu'en pensez-vous ?

Suis je dans mon bon droit de demander réparation?

Merci à vous

bien cordialement

Thiébaut Devergranne

Bonjour,

Histoire très intéressante merci de nous l'avoir soumise ! Alors, d'abord, oui a mon sens vous êtes à bon droit de demander réparation.

D'un point de vue pratique vous n'êtes pas en position de force par rapport à une grosse entreprise, donc ils vont vous ignorer entièrement, jusqu'à ce que vous puissiez renverser le rapport de force (l'appel à la CNIL est à ce titre très bien visé ;)

Par contre, ensuite, le soucis que vous avez avoir est que pour faire valoir vos droits vous risquez de devoir débourser des sous pour vous faire assister ! Il est peu probable que la CNIL fasse quelque chose de son côté pour investiguer plus l'affaire mais vous pouvez toujours leur relater votre aventure.

Idéalement ce qu'il faudrait faire est d'écrire au Procureur de la République et soulever qu'il y a une collecte déloyale de données personnelles ; l'avantage est que c'est une infraction pénale (art. 226-18: "Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende."), donc si l'affaire est traitée, il devrait y avoir une enquête de police.

Vous pouvez relater votre affaire avec la précaution de déposer plainte contre X - et SURTOUT PAS - contre une personne nommément désignée (ex : la banque en question), sinon vous risquez un dépôt de plainte à votre encontre pour dénonciation calomnieuse. Typiquement, vous relatez les faits, et citez le texte de l'art 226-18 du Code pénal, cela devrait suffire.

La CNIL a des modèles de dépôt de plainte, jetez un oeil sur son site web.

Côté indemnisation à mon avis - sauf à prendre un conseil - vous n'aurez pas grand chose car il faut démontrer le préjudice réel subi. En outre pour le coup les frais de conseils vont diminuer en pratique considérablement l'intérêt de la chose. A mon sens, la voie pénale est la plus fertile dans votre cas.

Bon courage !


Les commentaires sont fermés
Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)