nos magazines

Actualités gestion et logiciel informatique professionnel

Offre et recherche Emploi informatique internet

Salon conférences inofrmatique IT ebusiness 01

Vidéos reportage entreprise acteur informatique

Retrouvez tous les services 01Net dédiés aux professionnels !

Livres blancs e-commerce informatique et nouvelles technologies

Retrouvez l'ensemble des dossiers de la rédaction 01net Entreprise

Les synthèses des bonnes pratiques sur les sujets IT du moment

Agenda

Applications web et logiciels

Système d'exploitation

01net Entreprises > Actualités > Sécurité

Le Sénat adopte la notification obligatoire des failles de sécurité en entreprise

La proposition de loi visant à mieux garantir le droit à la vie privée a été adoptée hier. Son article 7 renforce l'obligation de déclaration des failles de sécurité par les entreprises.

Stéphane Bellec

01net.

le 24/03/10 à 14h30

2 réactions

Dernière minute

La séance d'hier a adopté au Palais du Luxembourg, sans vote contraire, la proposition de loi N° 93 (2009-2010). « Visant à mieux garantir le droit à la vie privée à l'heure du numérique », la proposition tend notamment, au travers de son article 7, à renforcer l'article 34 de la loi informatique et libertés en rendant obligatoire la notification des failles de sécurité.

« En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant informatique et libertés, ou, en l'absence de celui-ci, la Commission nationale de l'informatique et des libertés (Cnil). Le responsable du traitement, avec le concours du correspondant informatique et libertés (CIL), prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l'intégrité et de la confidentialité des données. Le CIL en informe la Cnil. Si la violation a affecté les données à caractère personnel d'une ou de plusieurs personnes physiques, le responsable du traitement en informe également ces personnes, sauf si ce traitement a été autorisé en application de l'article 26. Le contenu, la forme et les modalités de cette information sont déterminés par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés. Un inventaire des atteintes aux traitements de données à caractère personnel est tenu à jour par le correspondant informatique et libertés. »

Première publication le 23 mars 2010

Vers une notification obligatoire des failles de sécurité en entreprise

Aujourd'hui, au Sénat, la question de la déclaration légale des pertes ou des vols de données a été discutée. Ce concept de Data Breach Notification venu des Etats-unis intéresse autant qu'il inquiète.

Voilà qui va donner du grain à moudre aux RSSI dans les entreprises. Aujourd'hui, le Sénat a débattu de la proposition de loi des sénateurs Anne-Marie Escoffier et Yves Détraigne, dont l'article 7 énonce « l'obligation de sécurisation des données incombant au responsable du traitement, et crée une obligation de notification à la Cnil des failles de sécurité, transposant par anticipation la directive 2002/58/CE concernant la vie privée dans le secteur des communications électroniques ».
En clair : dès que le système d'information d'une entreprise présente une faille ou est victime d'une attaque, il faudra en référer à la Cnil.

Si cette loi est adoptée, restent à définir ses modalités d'application. C'est pourquoi l'AFCDP (Association française des correspondants aux données personnelles) a organisé aujourd'hui un colloque pour annoncer la naissance officielle d'un groupe de travail dédié à cette question. Constitué de juristes et d'experts en sécurité, ce groupe devra évacuer les zones d'ombre et anticiper les dérives comme on peut en voir dans certains pays.

Gare aux exagérations

Ainsi, Pascale Gelly, avocate, raconte qu'en Allemagne, où la notification est obligatoire depuis septembre 2009, on a pu constater quelques notifications exagérées : « Une personne a fait une déclaration de faille parce que son voisin avait pu regarder son écran, sur lequel il visionnait un fichier de ressources humaines. » Eric Doyen, RSSI au Crédit Immobilier de France et membre du groupe de travail, ajoute que « le risque 0 n'existe pas, il y aura toujours des failles, il faudra vraiment se mettre d'accord sur ce qui doit être déclaré et comment ».

« Notifier ou ne pas notifier, telle est la question », explique Bojana Bellamy de Accenture. Pour cette responsable de la confidentialité des données, la directive a le mérite d'obliger les entreprises à mettre en place les moyens de protection réclamés, mais doit impérativement être bien pensée. Déjà chargée d'appliquer les réglementations américaines (Data Breach Notification Laws), Bojana Bellamy confirme qu'il ne faut pas hésiter à considérer chaque cas : « Par exemple concernant les conditions de notification. La réglementation américaine dit que si les données volées étaient chiffrées, il n'est pas cécessaire de faire de notification », illustre-t-elle. Notifier donc, mais pas n'importe comment.

envoyer
par mail

imprimer
l'article

Actu précédente

Google propose un outil gratuit pour tester la sécurité des sites web

Actu Suivante

OpenSSL passe en version 1.0

2 AVIS SUR CET ARTICLE

Avis sur «Le Sénat adopte la notification obligatoire des failles de sécurité en entreprise»

M

de Lokks , posté le 13 avril 2010 à 13h32

C'est très beau sur le papier (quoique ça risque de donner énormément de boulot à la CNIL et aux CIL) mais concrètement, je pense que ça va être difficile de le mettre en place... A voir si c'est ratifié ou non.

alerter le modérateur

Et puis

de Belzébuthàquionapiquélepseudo , posté le 16 avril 2010 à 10h06

ils vont crypter (légèrement) les données, qui seront crackables rapidement, mais les dispenseront de déclarer quoi que ce soit.......

alerter le modérateur