Le « Paquet Télécom » publié au Journal Officiel de l’Union Européenne le 18 décembre dernier a opéré une mise à jour important du cadre juridique communautaire des communications électroniques adopté en 2002. Parmi ses nombreux apports, plusieurs ont été ardemment discutés. C’est bien sûr le cas de la possibilité de mettre en place un mécanisme de « riposte gradué », mais c’est également le cas de l’obligation de notification des failles de sécurité, discuté aussi bien dans son principe que dans son étendue.
Ce principe de notification des failles de sécurité, né aux Etats-Unis en 2002 et que l’on retrouve depuis dans un nombre toujours croissant de pays, consiste à obliger les acteurs économiques détenant des données sensibles à notifier une autorité et / ou les personnes dont elle traite les données lorsqu’une atteinte à la confidentialité de celles-ci a été perpétrée. Arme très utile contre le vol d’identité et les nombreuses fraudes qu’il entraîne, ce principe de notification commence à pénétrer nos contrées européennes : l’Allemagne a amendé sa loi de protection fédérale des données à caractère personnel en ce sens en juillet 2009 et, en novembre 2009, des sénateurs français l’ont intégré dans une proposition de loi « visant à mieux garantir le droit à la vie privée à l’heure du numérique ».
Au niveau Européen, dans le Paquet Télécom précité, cette obligation, qui ne s’applique qu’aux fournisseurs de réseaux et d’accès aux réseaux, est donc non seulement présente mais se retrouve surtout dans deux directives différentes : la directive « cadre » modifiée et la directive « vie privée et communications électroniques » modifiée.
Toutefois, l’obligation de la directive « cadre », de par les éléments qui la composent (notification aux seules autorités nationales compétentes sauf exception, etc.) a été plutôt conçue dans un souci de visibilité et d’établissement de statistiques fiables afin de permettre une action concertée et efficace au niveau européen des règles de sécurité qu’il convient d’appliquer et qui serviront d’étalon de mesure.
L’obligation de la directive « vie privée » est quant à elle plus conforme aux « canons » de l’obligation de notification des failles de par le monde (obligation d’en avertir l’autorité nationale compétente, information des victimes en cas de risque d’impact négatif, etc.) en s’appliquant à toute hypothèse de violation de données personnelles qui n’ont pas été rendues techniquement indéchiffrables de façon fiable, indépendamment du nombre de victimes de cette violation.
Reste que plusieurs questions restent posées quant à la transposition de ces dispositions et à leur application pratique en France, l’une d’entre elles étant notamment la question du choix des ou de l’ « autorité(s) nationale(s) compétente(s) », entre ARCEP, CNIL et ANSSI.