Les sénateurs demandent aux entreprises de divulguer leurs failles de sécurité

25 mars 2010

Les sénateurs ont voté un projet de loi relatif à la protection de la vie privée. Outre la reconnaissance de l’adresse IP comme donnée personnelle, le sénat impose aux entreprises d’informer la CNIL et les personnes concernées en cas de violation d’un système gérant des données personnelles.

Les sénateurs français ont adopté le 24 mars un projet de loi « visant à mieux  garantir le droit à la vie privée à l’heure du numérique. » Ce texte, voté contre l’avis du gouvernement (ses amendements n’ont pas été retenus), comporte plusieurs dispositions majeures.

Si le projet de loi est approuvé par les députés, toutes les entreprises et administrations recourant à un traitement de données à caractère personnel (ou auquel accèdent plus de 100 salariés) seront tenues de désigner un CIL, un correspondants Informatique et libertés.

Violation de données : la CNIL devra en être informée

Autre avancée permise par le projet défendu par les sénateurs Yves Détraigne (Alliance centriste) et Anne-Marie Escoffier (Parti radical de gauche) : la reconnaissance de l’adresse IP comme donnée personnelle.

La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est donc complétée afin de prendre désormais en compte « tout numéro identifiant le titulaire d’un accès à des services de communication au public en ligne ». La collecte de telles données suppose donc l’obtention d’une autorisation auprès de la CNIL.

L’article 34 de la loi de 1978 est lui enrichi afin d’introduire des obligations nouvelles. Jusqu’à présent, le responsable d’un traitement de données devait assurer la mise en oeuvre des mesures permettant de garantir « la sécurité des données et en particulier protéger les données à caractère personnel. »

L’article 7 du projet de loi stipule qu’en cas de violation d’un traitement de données à caractère personnel, le responsable sera tenu d’informer le CIL ou directement la CNIL si cette fonction n’existe pas dans l’entreprise. Le correspondant informatique devra prendre les mesures nécessaires à la protection des données (intégrité et confidentialité) et informer la CNIL.

Enfin le texte précise également qu’en cas de violation des données personnelles d’une ou plusieurs personnes physiques, ces dernières devront en être informées (sauf si ce traitement a été autorisé en application de l’article 26). Le projet de loi définit donc une obligation pour les entreprises de notifier toute faille de sécurité affectant les données personnelles.