Depuis l’ordonnance du 24 août, les opérateurs télécoms et les fournisseurs de services électroniques sont obligés de révéler publiquement les fuites de données personnelles qu’ils peuvent subir. Révolution ou écran de fumée ?
En France, une ordonnance est une délégation de la compétence parlementaire au bénéfice du gouvernement. Elle a donc une valeur législative. Celle du 24 août dernier (n° 2011-1012 relative aux communications électroniques) n’échappe pas à la règle et transpose des directives européennes au territoire français. Son objectif est d’imposer aux opérateurs et fournisseurs de services électroniques des règles de sécurité en matière de gestion des données personnelles collectées. Dorénavant, en cas de fuite de ces données (accident technique, mauvaise politique de confidentialité et surtout piratage informatique), l’entreprise responsable devra en informer immédiatement la CNIL et/ou les intéressés eux-mêmes (nous !).
Les premiers articles de l’ordonnance visent d’abord à imposer une gestion stricte et sécurisée des systèmes d’information utilisant des données personnelles : accès aux infrastructures extérieures, cessions d’infrastructures, etc. Rien de très nouveau en somme, excepté que le Ministère de tutelle peut désormais commander des audits de sécurité chez les opérateurs, pour vérification (article 6, modifiant les articles L 33-9 et L 33-10 du Code des Postes et Communications Electroniques, le CPCE). Parallèlement, l’article 16 permet à l’ARCEP (Autorité de Régulation des Communications Electroniques et des Postes) d’imposer des niveaux de service minimum aux opérateurs.
Le second chapitre vise une meilleure protection (à tout le moins une meilleure information) des consommateurs, c’est à dire ceux qui justement doivent confier aux opérateurs certaines de leurs données personnelles : noms, coordonnées, identifiants bancaires, etc. Sans remettre en cause le système actuel, les fournisseurs de services électroniques devront dorénavant avertir leurs utilisateurs (ou la CNIL) en cas de « violation de données à caractère personnel« . Le non-respect de cette règle peut être puni de 300 000 euros d’amende et 5 ans de prison.
Le dispositif est complété par les deux derniers chapitres de l’ordonnance :
- Chapitre 3 : renforcement des sanctions sur la commercialisation d’appareils de piratage
- Chapitre 4 : facilitation du travail des autorités policières et judiciaires face aux opérateurs
En définitive, si l’ordonnance 2011-1012 n’a rien de révolutionnaire, elle clarifie certains points de gestion des données personnelles, tant convoitées par certains cybercriminels. Elle oblige les responsables de services électroniques et télécoms à plus de sécurité et de transparence, pour une meilleure protection des utilisateurs. Suite aux nombreux piratages survenus en 2011 (la plus emblématique restant celui de Sony), et en prévision des inévitables prochaines cyberattaques, cette ordonnance semble de bon aloi !
Source : lemondeinformatique.fr
Aucun commentaire