Deux directives européennes publiées fin décembre 2009 concernent les fournisseurs de réseaux et d’accès aux réseaux (dont les FAI) qui auront l’obligation de notifier tout incident lié à une perte de confidentialité des informations qu’ils traitent (données clients principalement). Les transpositions en droit Français et donc leurs applications ne sont pas attendues avant mi-2011.
La première directive oblige l’opérateur à notifier, aux autorités nationales compétentes, toute perte de confidentialité (vol, perte, divulgation d’informations), et sauf cas exceptionnel jugé d’utilité publique, les personnes physiques concernées ne seront pas informés.
NB: en France, une proposition de Loi élaborée au Sénat au mois de novembre 2009 propose que la CNIL puisse être l’autorité recueillant ces notifications.
La seconde directive impose, au delà de l’information de l’autorité nationale, une communication éclairée des personnes physiques (les véritables victimes donc). Les données concernées doivent être “sensibles” (à caractère personnel) et la perte de confidentialité doit avoir un impact sur la vie privée des personnes.
Ce nouveau cadre juridique a été initialement présenté comme le moyen d’élaborer des recommandations en matière de sécurité à l’échelle Européenne (en consolidant les statistiques des différentes autorités nationales), il permet aussi de se mettre en phase avec le reste du monde, et notamment les USA qui appliquent depuis 2002 une obligation de notification de ce type d’incident de sécurité (les organisations des secteurs financier et santé sont particulièrement visés).
Aux USA, il existe une exception : les organisations ne notifient pas les pertes de confidentialité si les données avaient été chiffrées. Le cadre juridique européen reprend cette exception en précisant qu’un opérateur n’a pas obligation de notifier ses failles de sécurité, s’il a mis en place des moyens de rendre incompréhensibles ses données, et que ces moyens ont été validés par une autorité nationale compétente. En France, l’ANSSI serait probablement l’entité la mieux placée pour cette validation, puisqu’elle délivre depuis longtemps des labels de sécurité aux produits informatiques, et tout particulièrement pour des matériels et logiciels de chiffrement.
Toujours aux USA et dès ce mois de Février 2010, de nouvelles règles du Health Insurance Portability and Accountability Act (HIPAA) sont applicables en cas de perte de confidentialité des données de santé (PHI Protected Health Informations) :
- obligation d’informer directement chaque personne concernée dans les 60 jours suivant l’incident (en cas de difficulté à joindre les personnes concernées : obligation de diffuser l’information sur un site Web ou par voie de presse dans les 90 jours)
- si l’incident concerne plus de 500 personnes, le HHS (département de la santé de l’administration américaine) doit également être notifié (il publiera aussi l’information sur son site Web)
A noter que toutes les organisations devront maintenir un journal détaillé de leurs incidents et le fournir annuellement au HHS.
En France, le secteur de la santé ne semble donc pas pour l’instant concerné par ces nouvelles directives européennes (uniquement les opérateurs de télécommunications), pourtant l’obligation de notification des incidents de sécurité pourrait être étendue d’ici quelques années à toutes les organisations (a fortiori de santé) manipulant nos données personnelles.
Les impacts liés à l’information publique sur des failles de confidentialité : perte d’image, perte financière (souvent plus importants aux USA : les class actions deviennent monnaie courante) obligeront sans doute de nombreuses organisations publiques et privées à se préoccuper vraiment de la sécurité de nos informations personnelles.
Le principe consistant à tenter de cacher les incidents de sécurité de son SI (ou de masquer les failles d’un logiciel, fusse-t-il en licence commerciale) est à mon sens, et sera toujours une mauvaise idée. Pour autant, l’obligation de notification d’un incident de sécurité reste une mesure prise a posteriori.
Il faut revenir aux fondamentaux : implémenter quelques mesures techniques permettent de limiter l’impact des menaces qui pèsent sur les informations à caractère personnel :
- des informations chiffrées n’ont pas le même intérêt (voire plus du tout) à être volées ou divulguées que si elles sont conservées “en clair”
- une tentative d’usurpation d’identité avec des informations volées ou divulguées n’a pas la même probabilité de réalisation si ces dernières sont vérifiées de façon pertinente par le système à qui on les présente
J’aurai l’occasion de revenir sur l’intérêt et les modalités du chiffrement des données de santé ainsi que sur les mécanismes d’identification et d’authentification (des PS et des patients).
PS : le site datalossdb.org, opéré par l’Open Security Foundation, référence quelques pertes, vols ou divulgations potentielles d’informations à caractère personnel (en tous cas celles ayant été portées à la connaissance du public…)
Mise à jour/complément du 25/01/2011 :
http://www.enisa.europa.eu/media/les-notifications-de-violation-de-donnees-en-europe-un-nouveau-rapport-de-l2019agence-europeenne