Quel est le régime juridique des failles de sécurité ? Chloé Torres répond aux questions de la rédaction de La Semaine juridique. Mais que recouvre exactement l’expression « faille de sécurité » ?
Quelles sont les obligations légales et en quoi consiste votre intervention ? Quelles sont les tendances ?
L’expression « failles de sécurité » est régulièrement utilisée par les médias qui se font l’écho de comptes clients dérobés lors d’attaques informatiques ou dévoilées sur Internet en raison d’une mauvaise configuration d’un site web. Cette expression recouvre tous les éléments qui portent atteinte à un système de traitement automatisé de données : les erreurs, les bugs mais aussi les fraudes internes et externes. Elle traduit le fait qu’à un instant des données à caractère personnel se trouvent avoir été corrompues.
L’article 34 bis de la loi Informatique et libertés utilise la terminologie de « violation de données personnelles » définit de manière extrêmement large comme toute destruction, perte, altération, divulgation ou accès non autorisé à des données.
L’entreprise victime d’une faille de sécurité doit mettre en place une cellule de crise habituellement composée de la Direction des systèmes d’information (DSI), du responsable de la sécurité des systèmes d’information (RSSI), de la direction juridique et d’un avocat spécialisé. Cette cellule de crise est chargée de piloter les principales actons (audit de sécurité, dossier de preuve technique, stratégie de communication vis-à-vis de la Cnil et des médias, assurance, etc.).
La proposition de règlement européen sur la protection des données qui devrait être adopté fin 2015 début 2016 va étendre à l’ensemble des entreprises l’obligation de notifier auprès de la Cnil toute violation de données à caractère personnel. Un texte qui aura un impact sur de nombreuses activités économiques…
Chloé Torres, « 3 questions : Failles de sécurité : quel régime juridique ?« , La Semaine Juridique – Entreprise et Affaires, n° 4, 22 janvier 2015.