Violation des données personnelles: un nouvel enjeu pour l'e-commerce
Le piratage et les failles de sécurité concernant des acteurs de premier plan ont entraîné la violation de comptes utilisateurs. La protection des données à caractère personnel étant en jeu, l'Europe et la France ont décidé de renforcer les obligations des entreprises.
Je m'abonneL'obligation de sécurité des traitements de données personnelles n'est pas nouvelle en droit français. Instaurée par la loi informatique et libertés du 6 janvier 1978, elle impose aux sites d'e-commerce, qui traitent les données de leurs clients (identifiants, adresses de courrier électronique, coordonnées bancaires, etc.), de prendre toutes les précautions utiles pour empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Compte tenu des enjeux, la violation de cette obligation est punie de cinq ans d'emprisonnement et 300 000 euros d'amende. Son respect est d'ailleurs de plus en plus régulièrement contrôlé par la Cnil.
La nouveauté provient de la volonté du législateur de renforcer la sécurité, donc la protection des personnes, en introduisant notamment une obligation légale de notification à la Cnil, ainsi qu'aux utilisateurs, des failles de sécurité entraînant une violation des données, qui s'inspire de la procédure de «data breach notification» déjà en vigueur dans certains pays. Au niveau européen, les directives du «paquet télécom» (2009/136/ CE et 2009/140/CE du 25 novembre 2009) modifient la directive européenne 2002/58/CE concernant la vie privée dans le secteur des communications électroniques, et prévoient d'ores et déjà la mise en place de cette procédure de notification.
En France, dans le cadre de la transposition du «paquet télécom», un projet d'ordonnance prévoit de créer une telle procédure, étant précisé que le délai dont dispose le Gouvernement français pour adopter cette ordonnance expire le 21 septembre 2011. Ce texte, qui concerne tous les fournisseurs de services de communications électroniques, impose de notifier sans délai à la Cnil toute «violation des données à caractère personnel», en indiquant les mesures proposées ou prises pour y remédier. La violation devra également être notifiée à l'abonné ou au particulier lorsqu'elle porte atteinte à ses données, à moins que la Cnil n'ait validé les mesures de protection mises en oeuvre pour remédier à cette violation.
L'extension de la procédure de notification à l'ensemble des acteurs ne saurait tarder: le législateur européen avait déjà exprimé sa volonté «d'introduire de façon prioritaire, au niveau communautaire, des exigences de notification explicites et obligatoires, applicables à tous les secteurs» dans la directive 2009/136/CE (considérant 59), et le 18 mai 2011, le commissaire européen Viviane Reding a rappelé cet objectif.
La proposition de loi n°2387 visant à mieux garantir la vie privée à l'heure du numérique, adoptée par le Sénat le 23 mars 2010, avait ouvert la voie de la procédure de notification à la Cnil des violations des données à caractère personnel. Ce projet a été déposé à l'Assemblée nationale et doit faire l'objet d'un prochain examen par la Commission des lois. Les acteurs de l'e-commerce doivent donc anticiper ces nouvelles obligations et renforcer les moyens mis en oeuvre pour, d'une part, prévenir et, d'autre part, gérer les éventuelles failles de sécurité et violations de données, en instaurant une réelle politique de sécurité du SI. Ils doivent prendre toutes les précautions, qui leur permettront, en cas de faille, d'écarter leur responsabilité en démontrant qu'ils ont agi conformément aux règles de l'art, selon les plus hauts niveaux de sécurité, et en anticipant les risques. Cette preuve étant difficile à rapporter, l'entreprise n'a d'autre choix que de mettre en place des mesures de prévention, qui peuvent comprendre:
- un engagement de la direction générale (livret de contrôle du SI adressé aux directions métier) ;
- un code de la sécurité comprenant l'ensemble des obligations au regard de l'état de l'art (normes ISO 27001 et 27002, standards méthodologiques, référentiel des meilleures pratiques, etc.) ;
- une politique de sensibilisation du personnel;
- une politique d'audit de la sécurité.
La politique traitera également de la recherche et de la gestion d'incident, des analyses d'impact, des plans d'actions pour remédier à de telles situations et des procédures de notification, l'ensemble devant être conforme au référentiel légal applicable. Du fait de la forte augmentation des cas d'accès frauduleux aux systèmes d'information des plateformes d'e-commerce et surtout de la généralisation annoncée d'une procédure de «data breach notification», il est devenu indispensable pour la plupart des acteurs du secteur de revoir leur politique de sécurité et de la faire évoluer pour tenir compte de ces enjeux.
Maître Mathieu Prud'homme, avocat et directeur du département Internet contentieux au cabinet Alain Bensoussan et Maître Katharina Berbett, avocat