Notes
-
[1]
Décret n°2005-1309 du 20 octobre 2005.
-
[2]
Loi n° 2014-344 du 17 mars 2014 relative à la consommation.
-
[3]
T. Duvernoy et L. Minano, « Enquête : des données médicales confidentielles accessibles sur le web », Actusoins, 1er mars 2013.
-
[4]
Loi n°88-19 du 5 janvier 1988 relative à la fraude informatique.
-
[5]
Tribunal de grande instance de Paris 3ème section, 4ème chambre Jugement du 21 février 2013.
-
[6]
Cour de cassation, chambre criminelle, Audience publique du mardi 30 octobre 2001, N° de pourvoi : 99-82136, Le Syndicat National Professionnel des Médecins du Travail, partie civile
-
[7]
Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. C’est de la transposition de cette Directive qu’est principalement issue la loi Informatique et Libertés. C’est également cette directive qui devrait être remplacée par la proposition de règlement européen, actuellement en discussion.
-
[8]
ICO, Data Protection Act 1998, Monetary Penalty Notice, 28 February 2014, http://ico.org.uk/news/latest_news/2014/~/media/documents/library/Data_Protection/Notices/british-pregnancy-advice-service-monetary-penalty-notice.pdf, février 2014
-
[9]
Commission européenne, Proposition de Règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, publiée le 25 janvier 2012, disponibles sur http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_fr.pdf. Le Parlement européen a voté une version amendée du texte le 11 mars 2014. La phase de trilogue s’ouvrira dès que la Conseil de l’Europe aura fait de même.
-
[10]
B. Rasle, « Correspondant informatique et libertés (CIL) et régulation », Legicom, 2009/1 (N° 42), disponible sur http://www.cairn.info/resume.php?ID_ARTICLE=LEGI_042_0071
-
[11]
B. Rasle, op.cit., février 2009.
-
[12]
CNIL, Décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006052581&dateTexte=20090319, février 2014.
-
[13]
G. Desgens-Pasanau, Le correspondant Informatique et Libertés, LexisNexis, 2014.
-
[14]
P-L. Réfalo, La sécurité numérique de l’entreprise, l’effet papillon du hacker, Eyrolles, Paris, 2013.
-
[15]
Article 25 de la loi Informatique et Libertés, du 6 janvier 1978 modifiée.
-
[16]
Article 39 de la loi Informatique et Libertés, du 6 janvier 1978 modifiée.
-
[17]
S. Métille, Nouvelles technologies et droit, Privacy by design, ça veut dire quoi ?, janvier 2014
-
[18]
Dans l’un de ses considérants, la Directive 95/46 indique « que la protection des droits et libertés […] exige que des mesures techniques et d’organisation appropriées soient prises tant au moment de la conception qu’à celui de la mise en œuvre du traitement, en vue d’assurer en particulier la sécurité et d’empêcher ainsi tout traitement non autorisé ; … que ces mesures doivent assurer un niveau de sécurité approprié tenant compte de l’état de l’art et du coût de leur mise en œuvre au regard des risques présentés par les traitements et de la nature des données à protéger ».
-
[19]
Balise de géolocalisation.
-
[20]
Donnée servant à définir ou décrire une autre donnée (par exemple sa date de création). Les métadonnées sont à la base des techniques du Web sémantique.
-
[21]
CLUSIF, Retour sur investissement en sécurité des systèmes d’information : Quelques clés pour argumenter, https://www.clusif.asso.fr/fr/production/ouvrages/pdf/RoSI.pdf, octobre 2004.
-
[22]
Décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
-
[23]
P-L. Réfalo, op.cit., 2013.
-
[24]
P-L. Réfalo, op.cit., 2013.
-
[25]
Cf. article 44 du décret n°2005-1309 du 20 octobre 2005.
-
[26]
Le fait de recourir à un sous-traitant n’exonère en rien le responsable du traitement de ses responsabilités. L’article 35 de la loi Informatique et Libertés indique que « le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement ».
-
[27]
Délégué à la protection des données (équivalent du CIL français), dont la désignation est obligatoire pour tout organisme disposant de plus de neuf personnes qui procèdent à un traitement automatisé de données.
-
[28]
B. Foray, La Fonction RSSI, Dunod, Paris, 2e édition, 2011.
-
[29]
Politique de la Sécurité du Système d’Information.
-
[30]
Identity and Access Management : gestion des identités, des habilitations, des processus d’identification et d’authentification. Ce thème englobe celui de la traçabilité.
-
[31]
L’ICO ("CNIL" britannique) accorde une grande importance au traitement de ces near miss. Cf. "South London has four data near misses", disponible sur www.ehi.co.uk/news/EHI/7685/south-london-has-four-data-%27near-misses%27
-
[32]
Tierce Maintenance Applicative.
-
[33]
Au titre de la loi, le CIL doit tenir à jour la liste des traitements de données à caractère personnel.
-
[34]
A titre d’exemple, les CIL sont de plus en plus nombreux à se former à l’ISO 27000.
-
[35]
Fonction utilisée en cryptographie qui, à partir d’une donnée fournie en entrée, calcule une empreinte unique et à partir de laquelle il est - en théorie - impossible de remonter à la valeur d’origine.
-
[36]
Le salage consiste à ajouter une chaîne de caractères à l’information avant le hachage. Cela permet de renforcer la sécurité de cette fonction. En effet, en l’absence de salage, il est possible de cracker le système à l’aide de tables de hachage correspondant à des valeurs (telles que des mots de passe). Dans son document Opinion 03/2014 on Personal Data Breach Notification, adopté le 25 mars 2014, le Groupe Article 29 considère que l’utilisation d’un procédé de hash sans sel n’est pas suffisant pour assurer une « inintelligibilité » suffisante des données personnelles qui doivent être protégées.
-
[37]
E. Ercolani L’Informaticien, Orange victime d’une « intrusion informatique », 30 janvier 2014, disponible sur www.linformaticien.com/actualites/id/31886/orange-victime-d-une-intrusion-informatique.aspx
-
[38]
P-L. Réfalo, op.cit., 2013, p.118
-
[39]
Les expériences couronnées de succès s’expliquent le plus souvent par la présence de collaborateurs en soutien sur chaque sujet – sécurité du SI et conformité – et par un clair positionnement en maîtrise d’ouvrage concernant la sécurité, et surtout pas en maîtrise d’œuvre.
-
[40]
Cette question n’est valide que pour les RSSI trop "opérationnels" et pas pour les RSSI "politiques".
-
[41]
Advanced Persistent Threat : Intrusion dans un système d’information réalisée par un cybercriminel qui ne recherche que la discrétion, avec souvent pour but d’exfiltrer des actifs immatériels. Selon certaines études, la majorité des ATP ne seraient détectées que plusieurs mois après l’intrusion ciblée.
-
[42]
A. Bensoussan avocats, Le CIL génération 2 : nouvelles missions, nouvelles responsabilités, disponible sur www.afdit.fr
1Le métier de Correspondant Informatique et Libertés (CIL) est défini par décret [1]. La plupart des entreprises SBF120 ont opté pour cet instrument de co-régulation, bien qu’il ne soit pas obligatoire. Il le sera peut-être prochainement dans le cadre du règlement européen qui devrait être adopté à moyen terme. Le CIL agit pour que soient respectées, au sein de l’organisation qui l’a désigné auprès de la CNIL, la loi Informatique et Libertés ainsi que la vie privée des personnes concernées (collaborateurs, clients, prospects, patients, usagers, etc.) au travers de la protection de leurs données personnelles. Alors que le CIL joue avant tout un rôle de défenseur de l’individu – ce qui bénéficie également à son responsable de traitement – le RSSI (Responsable de la Sécurité du Système d’Information) protège surtout le patrimoine de son entreprise. Dans quelles mesures les deux fonctions sont-elles compatibles, complémentaires, voire solubles ?
La protection des données personnelles enfin prise au sérieux ?
2Un certain nombre d’initiatives légales ou de décisions de justice laisse suggérer une prise de conscience de l’importance de la protection des données personnelles. Au détour de la nouvelle Loi Consommation [2], la CNIL se voit désormais dotée d’un pouvoir de contrôle, à distance. Ses agents peuvent constater les non-conformités, depuis leurs bureaux, par la simple visite d’un site Web. Les cas de données personnelles indexées par les moteurs de recherche ne nécessiteront plus de mission de contrôle sur place (on pense ici, par exemple, aux données de patients qui étaient insuffisamment protégées par plusieurs établissements de soins [3], ce qui a donné lieu, courant 2013, à plusieurs contrôles de la CNIL). La CNIL pourra ainsi rapidement constater et agir en cas d’incident de sécurité sur Internet exposant des données personnelles. Elle pourra aussi vérifier la conformité des mentions d’information figurant sur les formulaires en ligne, ou des modalités de recueil de consentement des internautes en matière de prospection électronique. La CNIL précise toutefois qu’il n’est pas question qu’elle tente des intrusions aux systèmes d’information, dans le respect de la loi Godfrain [4].
3Une décision du Tribunal de grande instance de Paris [5] a également été remarquée : le juge estime que la société victime a participé à la réalisation de son propre préjudice. Certes, le pirate a été puni, mais la sanction financière qui devait être de 100 000 € à son encontre a été « allégée » par le juge à hauteur de 30 000 € car ce dernier a estimé que la société avait participé à la réalisation de son propre préjudice en sécurisant de façon insuffisante l’accès aux adresses électroniques de ses clients et prospects. Cette décision est sans doute à marquer d’une pierre blanche, comme l’avait été celle de la Cour de Cassation (Chambre criminelle) en octobre 2001 [6].
4Notons enfin la récente sanction prononcée par l’ICO (Information Commissioner’s Office), « CNIL » d’outre-Manche qui applique la version britannique de la Directive 46/95CE [7] : une association qui vient en aide aux femmes enceintes s’est vue infliger une sanction publique de 200 000 livres [8] pour avoir insuffisamment protégé les données personnelles de futures mères invitées à renseigner des formulaires sur un site Web. Une fois le règlement européen [9] adopté, le niveau des sanctions infligées par les autorités de contrôle nationales se rapprochera-t-il de cet exemple ?
5Enfin, la Data Breach subie par la société Target fin 2013 a également marqué les esprits. Le numéro trois de la grande distribution aux Etats-Unis a été victime d’un vol géant de données bancaires de ses clients, causant les démissions successives du Chief Information Officer, de la directrice scientifique et du président directeur général. Il est vrai que, à la suite de la dégradation de l’image de la marque, le bénéfice trimestriel avait plongé de 46% et le chiffre d’affaires de plus de 5%. Le futur règlement européen, appelé à remplacer notre loi Informatique et Libertés, généralisera à tous les secteurs l’obligation de notifier (systématiquement et très rapidement), auprès de l’autorité de contrôle et, dans certains cas, aux personnes concernées, les violations aux traitements de données à caractère personnel.
6Au-delà de la prise de conscience des autorités politiques et judiciaires, chacune de ces situations aurait pu tirer profit de l’apport combiné d’un CIL et d’un RSSI.
Qu’est ce qu’un CIL (Correspondant Informatique et Libertés) ?
7Le 6 août 2004, à l’occasion de la transposition de la directive européenne 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, la France s’est dotée d’un dispositif qui dispense de l’obligation de déclaration auprès de la CNIL les responsables de traitement qui ont procédé à la désignation d’un « détaché à la protection des données à caractère personnel ». Cette personne – plus connue sous le nom de CIL (pour Correspondant Informatique et Libertés) – est « chargée d’assurer, d’une manière indépendante, l’application interne des dispositions nationales » et « de tenir un registre des traitements […] garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées [10] ».
8Issue largement d’une pratique allemande, cette mesure a été introduite dans le projet de loi à l’initiative d’Alex Türk, sénateur du Nord (qui allait devenir Président de la CNIL quelques semaines plus tard). Le Correspondant Informatique et Libertés a vocation à être l’interlocuteur privilégié en matière de protection de données à caractère personnel, tant pour le responsable des traitements, que dans les rapports de ce dernier avec la CNIL. Il occupe ainsi une place centrale dans le développement maîtrisé des nouvelles technologies de l’information et de la communication.
9Au-delà du simple allègement de formalités, le correspondant a un rôle primordial à jouer pour s’assurer que l’informatique se développe sans danger pour les droits des usagers, des clients et des salariés. C’est aussi pour les responsables des traitements le moyen de se protéger contre de nombreux risques vis-à-vis de l’application du droit en vigueur.
10Toutes les entités procédant au traitement automatisé de données à caractère personnel sont concernées, quel que soit leur statut ou leur taille. Ainsi, dans le secteur public, les collectivités territoriales, les administrations de l’Etat, les établissements publics, les hôpitaux peuvent faire le choix de désigner un correspondant. Il en va de même pour les PME, les PMI, les entreprises multinationales et les associations du secteur privé. Cette universalité illustre le fait que la protection des données à caractère personnel n’est pas limitée à un secteur d’activité. Elle concerne de fait toutes les personnes qui sont amenées, dans le cadre de leurs activités, à collecter et travailler sur des informations se rapportant de près ou de loin à des personnes physiques. En revanche, la désignation d’un correspondant est un choix : elle est facultative et traduit l’engagement du responsable de traitement à respecter les dispositions légales [11].
11Le CIL exerce sa mission directement auprès du Responsable de traitement : la position hiérarchique du CIL lui permettant de communiquer directement avec la direction de l’organisme, l’interdiction pour le responsable de traitement d’interférer dans l’accomplissement des missions du CIL et l’absence de conflit d’intérêts avec les fonctions exercées en même temps sont de nature à apporter les garanties de l’indépendance du correspondant. Il dispose d’une liberté organisationnelle et décisionnelle et, bien que ne bénéficiant pas du statut de salarié protégé, un mécanisme géré par la CNIL fait en sorte que le CIL soit à l’abri des sanctions de l’employeur dans le cadre de sa fonction. Le Correspondant dispose enfin d’un droit d’alerte auprès de l’Autorité de contrôle, pouvoir qu’il n’utilise qu’en dernier recours, après escalade.
12Le décret n°2005-1309 du 20 octobre 2005 [12] liste les missions que doit assurer, a minima, le CIL : il veille au respect de la loi et conseille le responsable de traitement ; il tient la liste des traitements et assure son accessibilité ; il reçoit les réclamations et requêtes des personnes concernées ; il présente un bilan annuel au responsable de traitement.
13Les CIL sont actuellement plus de 5 000 (désignés par plus de 12 000 organismes) et sont de profils très variés : chefs de projets informatiques, RSSI, juristes d’entreprise, consultants, documentalistes-archivistes, qualiticiens, déontologues, auditeurs, risk manager, contrôleurs de gestion, avocats, etc. Le décret spécifie que le CIL est une personne qui bénéficie « des compétences et des qualifications requises pour exercer ses missions » : la plupart d’entre eux ont donc réalisé un effort conséquent de formation initiale. Environ 40% sont des femmes. Les plus actifs sont regroupés au sein d’une association, l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel). Comme l’indique Guillaume Desgens-Pasanau [13], « l’avènement de la fonction de CIL … est symptomatique des évolutions actuellement à l’œuvre … qu’il s’agisse du renforcement des fonctions de gestion de la conformité, de la promotion de la « responsabilité sociale » (RSE) ou de l’approche de « corégulation » ».
RSSI (Responsable de la Sécurité du Système d’Information)
14Définir ce qu’est un RSSI est une gageure : ce poste peut avoir de multiples dimensions et un périmètre variable d’une entreprise à une autre. Il semble cependant se dessiner deux grands types de RSSI, le « tactique » et le « stratégique » : d’homme de la sécurité informatique, le RSSI est désormais l’homme-orchestre de la sécurité du patrimoine informationnel de l’entreprise [14].
15Son rattachement, selon la maturité de l’entreprise en matière de sécurité de l’information, varie entre la Direction du Système d’Information, la Direction Générale, la Direction Financière, une Direction Métier, la Direction des risques, etc.
16Le RSSI développe une politique de sécurité de l’information en s’appuyant sur des normes et méthodes. Il met en chantier l’évaluation des actifs et des risques, le plan de continuité d’activité, diffuse une culture sécurité et mène des opérations de sensibilisation. Il veille à l’application opérationnelle des règles de sécurité, tout en assurant en complément un rôle de conseil, d’assistance, d’information, de formation et d’alerte. Il est l’interface reconnu des exploitants et des chefs de projets, mais aussi des experts et des intervenants extérieurs, pour les problématiques de sécurité de tout ou partie du système d’information.
17La majorité des grands comptes en France emploierait un RSSI, ce qui donnerait environ un millier de professionnels. En revanche, le poste de RSSI reste rare dans les PME et les organismes de taille moyenne.
18La population des RSSI est de profil très homogène : le RSSI « classique » est un homme ingénieur en informatique, avec une expérience professionnelle de 10 à 15 ans, qui dispose d’un savoir-faire d’architecte technique de la sécurité et d’une parfaite connaissance des processus et des systèmes d’information. Le RSSI ne pouvant plus être uniquement un technicien, il lui faut acquérir des compétences organisationnelles et d’architecte de système d’informations, de connaissance des métiers et de conduite du changement.
19Les RSSI se retrouvent au sein d’associations telles que le CLUSIF (Club de la Sécurité de l’Information Français) et ses entités régionales, le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) ou le CDSE (Club des Directeurs de la Sécurité des Entreprises).
De nombreux points communs … et les mêmes difficultés
20Les deux métiers présentent plusieurs similarités. Ils œuvrent en transversalité et aspirent à se rapprocher des métiers auxquels ils doivent apporter un soutien et des réponses pragmatiques (business enabler). RSSI et CIL doivent être des communicants pour réussir leurs démarches de sensibilisation et parvenir à convaincre sans contraindre. Ils doivent pouvoir gérer des situations de stress, voire de crise, en leur qualité de spécialistes chevronnés. Par ailleurs, RSSI et CIL sont passionnés par leur métier, chacun d’eux requérant un fort investissement personnel, notamment en formation initiale et continue.
21CIL et RSSI éprouvent aussi quelques difficultés communes, qui font le sel de leur quotidien. Ils peuvent parfois être perçus comme des « improductifs » ou des « empêcheurs de tourner en rond », alors qu’en incitant à des réflexions pertinentes, il leur faut être reconnus comme des « générateurs d’inconfort utile ». L’un de leurs défis communs est donc de faire reconnaître leur valeur ajoutée et de ne pas être considérés comme des « Doctor No ». A titre d’exemple, la présence d’un CIL efficace permet d’augmenter les chances d’obtenir un accord de la CNIL dans le cadre d’une demande d’autorisation préalable [15] et d’en réduire les délais d’étude par l’autorité de la rue de Varennes. De même, la bonne gestion par le CIL des demandes de droits d’accès aux données personnelles [16] permet d’éviter les saisines de la CNIL par les demandeurs, saisines qui peuvent se transformer en contrôle sur place. S’il arrive aux CIL d’indiquer fermement les limites à ne pas dépasser, ils essaient en priorité de suggérer aux chefs de projets des approches alternatives et légitimes qui permettent d’atteindre les objectifs tout en étant respectueuses du droit des personnes.
22Certains appliquent déjà les principes du Privacy by design [17] – qui englobe le Security by Design. Cette approche, qui figure dans la directive 95/46CE [18], s’imposera dans le cadre du projet de règlement européen. Dès le début d’un projet, il sera obligatoire d’intégrer les principes liés au respect des données à caractère personnel. Pouvons-nous justifier l’utilisation de la moindre donnée collectée (principe de data minimisation) ? Le traitement est-il protecteur « par défaut » de la vie privée – par exemple en n’insérant pas systématiquement un géotag [19] parmi les métadonnées [20] d’une photo ? Le sous-traitant sollicité présente-t-il toutes les garanties nécessaires en termes de sécurisation des données ? Pour tirer pleinement partie de l’approche Privacy by Design, les organisations ont intérêt à consulter CIL et RSI en amont des projets. Autre difficulté commune, les deux experts peinent à faire passer l’idée que « mieux vaut prévenir que guérir » et interviennent trop souvent après que la non-conformité ou le sinistre aient été constatés.
23Que dire de la sensibilisation des utilisateurs et des membres de la direction ? Par analogie avec le monde de la santé (tous les intervenants en bloc opératoire respectent strictement les règles d’asepsie), l’intégralité des salariés d’une entreprise doivent se sentir concernés par les règles qui visent au respect des lois et à la sécurité du système d’information.
24CIL et RSSI sont aussi intéressés à la bonne application des règles édictées dans les politiques et autres chartes et à la réelle correction des points « perfectibles » identifiés à l’occasion de missions d’audit.
25Les deux professionnels ont également quelques difficultés à s’engager auprès de leur direction sur une obligation de résultats : comment justifier leurs demandes de dépense, tant il est difficile d’apporter la preuve quantifiée des gains réalisés par l’entreprise ? Il leur est très difficile de raisonner en ROI [21] (Return On Investment ou Retour Sur Investissement), souvent par manque de base chiffrée de la sinistralité.
26Pour terminer, CIL et RSSI ne doivent pas oublier de valoriser leurs actions, sous peine de laisser émerger, dans l’esprit de certains dirigeants, des pensées telles que : « Nous n’avons souffert d’aucun incident ces derniers temps, ni en termes de conformité Informatique et Libertés, ni concernant la sécurité de notre système d’information : avions-nous réellement besoin de faire tant d’efforts ? ».
Différences notables entre RSSI et CIL
27Les nombreuses similitudes entre les deux métiers ne doivent pas masquer quelques différences importantes :
- Alors que le métier de CIL et son activité sont définis par décret [22], la RSSI voit sa profession ni décrite, ni officiellement encadrée. Les professionnels concernés se sont faits eux-mêmes et la profession évolue à son rythme. Le CIL est « un caméléon à profil variable d’une entreprise à l’autre [23] » ;
- Quelle que soit sa position dans l’organisme, le RSSI répond à une hiérarchie et ne dispose pas d’autonomie d’action là où, par la loi, le CIL dispose d’une réelle indépendance et ne reçoit d’instruction de personne, même pas du responsable de traitement qui l’a désigné ;
- Enfin, la fonction RSSI peut-elle être externalisée ? Peut-elle être mutualisée ? Ceci est délicat, pour ne pas dire impossible [24]. A l’inverse, la fonction de CIL peut l’être, dans certains cas [25] : les grandes entreprises allemandes, néerlandaises et suédoises font souvent appel à des prestataires et, demain, le projet de règlement européen laisserait les responsables de traitement en France totalement libres de leur choix.
28Concernant spécifiquement la sécurité des données, les deux métiers présentent également plusieurs différences :
- La mission du CIL est d’assurer la conformité Informatique et Libertés et la défense des personnes, dont certaines peuvent être tierces à l’organisme alors que la mission du RSSI est d’assurer la sécurité du système d’information et de défendre un patrimoine immatériel. Si ces deux missions présentent des zones de recouvrement, elles ne sont pas identiques. Ainsi, un CIL n’est pas concerné stricto sensu par la fuite d’un brevet, d’un secret de fabrication, d’un projet de fusion-acquisition. A l’inverse, un RSSI, s’il est bien concerné par la sécurisation de données personnelles, ne l’est en rien par l’information des personnes concernées, la gestion des droits des personnes, la problématique des flux transfrontaliers, etc ;
- Le RSSI évite principalement à son organisme des risques opérationnels (dénis de service) et touchant l’activité même (confrère trop curieux, collaborateurs imprudents, etc.). Le CIL évite principalement à son organisme des risques d’image et juridiques (sanctions financières et risques opérationnels sont actuellement secondaires – mais cela pourrait changer) ;
- Le CIL a une démarche « data centric » : il part du traitement et de sa finalité, il pense en priorité aux personnes concernées. Pour sa part, le RSSI – qui travaillait par le passé en défense périmétrique et aujourd’hui en défense en profondeur – pense en priorité aux intérêts de l’entreprise ;
- Par ailleurs, le RSSI peut très bien avoir connaissance d’un niveau de sécurité qu’il juge insuffisant, le faire connaître à la direction et voir ses conseils et demandes non suivis d’effets. Face à une même situation, si elle touche la conformité à la loi, le CIL ne peut pas rester inactif ;
- Concernant l’approche par les risques, RSSI et CIL l’utilisent fréquemment, mais en ont une définition très différente : le RSSI considère d’abord les risques pour l’entreprise alors que le CIL priorise les risques pour les personnes concernées.
Une obligation de moyens, pas de résultat
29La Directive 95/46/CE – dont est issue la loi Informatique et Libertés en France – indique dans son considérant 46 que « la protection des droits et libertés des personnes concernées à l’égard du traitement de données à caractère personnel exige que des mesures techniques et d’organisation appropriées soient prises tant au moment de la conception qu’à celui de la mise en œuvre du traitement, en vue d’assurer en particulier la sécurité et d’empêcher ainsi tout traitement non autorisé ; qu’il incombe aux États membres de veiller au respect de ces mesures par les responsables du traitement ; que ces mesures doivent assurer un niveau de sécurité approprié tenant compte de l’état de l’art et du coût de leur mise en œuvre au regard des risques présentés par les traitements et de la nature des données à protéger ». Plusieurs points spécifiques ne se retrouvent pas dans l’article 34 de la loi Informatique et Libertés qui dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
30Ainsi, l’article 34 de la loi Informatique et Libertés pouvant être interprété comme une obligation de moyens – et non de résultats –, des discussions intenses peuvent opposer RSSI et CIL sur la notion « d’état de l’art » et sur le « coût de mise en œuvre » des mesures de sécurité envisagées.
31Pour sa part, la CNIL recommande une évaluation des risques et une étude de la sécurité avant tout nouveau traitement (et le réexamen pour les traitements existants), une formalisation de la politique de sécurité, une définition des dispositions de sécurité et des responsabilités, une sensibilisation des personnes concernées. Il convient également de penser aux sous-traitants, qui doivent prendre leur part dans la sécurisation des données personnelles [26]. En Allemagne, les garanties présentées par un sous-traitant en termes de sécurité des données personnelles doivent être vérifiées, au préalable, par le Datenschutzbeauftragte [27]. Mais, en l’absence de référentiel, comment s’entendre sur le type et le niveau de sécurité à mettre en place ?
32Il peut ainsi arriver qu’un RSSI ait pour objectif la mise en œuvre de dispositifs de cybersurveillance pour, par exemple, lutter contre la fraude interne, et voit ses choix limités par l’intervention du CIL qui veille à la proportionnalité du projet et à l’information des personnes (entre autres).
Exemples de synergies productives
33Comme l’indique Bernard Foray, qui a été Directeur de la Sécurité du Système d’Information et CIL de Casino Technology, « le RSSI et le CIL sont appelés à travailler en étroite collaboration, voire en symbiose : du point de vue du RSSI, le non-respect des dispositions de la loi informatique et libertés constitue un risque pour le patrimoine informationnel de l’entreprise ; du point de vue du CIL, tout traitement de données personnelles doit garantir un niveau de sécurité adéquat pour respecter la loi [28] ».
34Tout naturellement, la synergie entre RSSI et CIL doit être recherchée dans le champ de la sécurisation des données. Parmi les sujets qui nécessitent une coopération optimale, on peut lister la sensibilisation à la sécurisation, la formalisation de la PSSI [29] et des différentes chartes (d’usage des moyens NTIC, de la sécurisation de l’infrastructure et des données), les projets d’IAM [30] ou la classification des données. Les sujets de l’anonymisation et de la pseudonymisation se prêtent également à une réflexion commune : il n’est pas normal que les développeurs travaillent sur des extractions de bases de données de production. Dans certains secteurs très concurrentiels, ceci est inimaginable pour tout acteur tenant compte des risques d’intelligence économique.
35Des duos particulièrement performants poussent les réflexions communes jusqu’à l’analyse des « near miss », ces fameux incidents de sécurité auxquels l’entreprise a échappés de peu – le plus souvent par simple chance : leur étude permet de revoir les moyens de sécurité et de chercher à les améliorer pour éviter le prochain incident qui, lui, pourrait s’avérer majeur [31].
36Nous avons eu connaissance de plusieurs exemples de bénéfices tangibles d’une telle coopération entre RSSI et CIL. Ainsi, dans le cas d’un grand opérateur portuaire, l’accord du RSSI est indispensable à tout prestataire qui souhaite intervenir à distance sur une application pour faire de la TMA [32]. Chaque demande est portée à la connaissance du CIL, qui peut ainsi vérifier la complétude de son registre des traitements de données personnelles [33]. On note aussi un effet de type « pack de rugby » : dans un CHU du sud de la France, RSSI et CIL se soutiennent mutuellement pour offrir un « refus motivé et constructif » aux demandes urgentes et pressantes de grands chirurgiens qui entendent disposer immédiatement de tablettes numériques ou de pouvoir échanger avec leurs confrères des informations concernant leurs patients via des plateformes d’échanges Internet non sécurisées. Les membres d’un autre duo s’épaulent pour qu’un dispositif mis en œuvre à des fins de sécurité ne voit pas son utilisation détournée à des fins de cybersurveillance non maîtrisée. Outre ce soutien croisé et la mutualisation de méthodes et d’outils [34], les échanges intellectuels enrichissent également les deux professionnels. Dans certaines structures, RSSI et CIL sont allés jusqu’à mutualiser leur réseau, en créant une fonction de COSIL (COrrespondants, Sécurité Informatique et Liberté), relais évangélisés répartis dans les différents pôles et sur lesquels ils peuvent s’appuyer. Attention toutefois à bien définir le périmètre de chacun. Ainsi, s’il appartient au CIL de vérifier que les mots de passe ne soient pas sauvegardés en clair dans les bases, il appartient au RSSI de sélectionner l’algorithme de hash [35] pertinent et de se préoccuper de la gestion du sel [36].
37Cette coopération entre RSSI et CIL peut naturellement être élargie aux Risk Managers, aux spécialistes de l’Intelligence économique et à ceux de la Conformité, de l’Audit et de la Déontologie.
Se préparer à notifier les violations aux traitements de données personnelles
38Un thème doit tout particulièrement retenir l’attention : celui de la notification des violations aux traitements de données personnelles. Cette obligation pèse sur les opérateurs depuis la publication de l’ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques. Un grand nom des télécoms a ainsi informé plusieurs centaines de milliers de ses clients en janvier dernier que des données personnelles les concernant ont été dérobées [37] : « cet incident a consisté en la récupération éventuelle d’un nombre limité de données personnelles vous concernant ou concernant votre foyer. Il peut s’agir de noms, prénoms, adresse postale, adresse mail de contact, numéro de téléphone (fixe ou mobile) ou des informations que vous auriez pu déclarer (composition du foyer, nombre d’abonnements Orange ou concurrents, informations concernant vos préférences de contact) ».
39Le projet de règlement européen généraliserait cette mesure. En cas de violation, le responsable de traitement devrait notifier la violation à la CNIL et, en cas de risques pour les personnes concernées, également ces mêmes personnes. L’association AFCDP a adressé une proposition d’amendement à Bruxelles pour faire en sorte, a minima, que ces notifications ne soient pas systématiques – par exemple à la moindre perte d’une clé USB – mais soumise à l’analyse du Correspondant Informatique et Libertés : seules les plus critiques seraient portées à la connaissance de l’autorité de contrôle. Les « CNIL » européennes, regroupées au sein du Groupe Article 29, ne seraient pas opposées à une telle mesure, par peur de devoir tripler leur effectif, de se mettre en position d’être ouvertes 7j/7 et 24h/24 et de se retrouver ensevelies sous un déluge de notifications. Au niveau d’une entreprise, la question n’est pas de savoir si cela va arriver, mais quand. Il serait étonnant, malgré toutes les précautions prises, qu’aucune donnée personnelle ne soit pas un jour volée ou tout simplement perdue… On peut donc parier que la notification va rapidement devenir une norme. Il convient donc de s’y préparer et de mettre sur pied une procédure de gestion de crise. Aux États-Unis, chaque entreprise a déjà dans ses tiroirs des lettres destinées à être diffusées aux clients, aux salariés, aux actionnaires et à la presse, en cas d’incident de sécurité ayant entraîné une violation. Qui va signer cette lettre ? Quel va être son contenu ? Quels sont ses objectifs ? Quelles en seront les conséquences ? Autant de points qu’il vaut mieux anticiper. C’est là un chantier qui doit être initié par le CIL, en y associant les différents acteurs concernés : RSSI, direction juridique, direction de la communication, relations avec les actionnaires, relations avec les représentants du personnel, DSI, etc.
Etre RSSI et CIL simultanément ?
40Est-ce aux RSSI d’endosser le rôle de CIL ? Pour Pierre-Luc Réfalo [38], « un RSSI-CIL semble bien hasardeux sans une analyse approfondie, au cas par cas. Ou alors, éventuellement, dans une phase transitoire. Mais les RSSI ne peuvent-il pas aussi opportunément devenir CIL en abandonnant leurs anciennes fonctions très « opérationnelles » ? ». Il faut noter que le tout premier CIL désigné auprès de la CNIL, en 2006, était un RSSI, celui du Grand Port Maritime de Marseille. Les enquêtes que mène régulièrement l’AFCDP auprès de ses membres montrent aussi qu’une majorité des CIL actuellement désignés auprès de la Commission Nationale Informatique et Libertés ont un profil d’informaticiens, dont ceux spécialisés dans la sécurité du système d’information, les juristes ne venant qu’en seconde position. Une certaine connaissance technique est indispensable pour tenir efficacement sa fonction. Mais, pour plusieurs raisons, il n’est pas sûr que cette situation perdure, les deux métiers étant complémentaires mais différents. Comment, par exemple, une même personne en sa qualité de CIL peut-elle ainsi sereinement et simultanément juger de la bonne protection des données personnelles… et définir les moyens de protection mis en œuvre en sa qualité de RSSI ? Cela n’est pas impossible – et de nombreux RSSI-CIL le prouvent au quotidien [39] –, mais cela peut s’avérer délicat.
41Bien gérée, cette simultanéité ne pose pas de problèmes particuliers à court terme, à deux réserves cependant :
42La première provient de l’article 46 du décret n°2005-1309 du 20 octobre 2005 qui précise que « le correspondant ne reçoit aucune instruction pour l’exercice de sa mission » et que « les fonctions ou activités exercées concurremment par le correspondant ne doivent pas être susceptibles de provoquer un conflit d’intérêts avec l’exercice de sa mission ». Concernant spécifiquement les mesures de protection des données personnelles, il faut donc s’assurer qu’il n’y a pas un tel conflit [40] : la même personne peut-elle bien, simultanément, être en charge de cette sécurisation et du contrôle de cette bonne sécurisation ? Comment être sûr de se montrer suffisamment critique envers soi-même ? Prenons un exemple : pour détecter les ATP [41], un RSSI va souhaiter mettre en place des solutions qui peuvent s’avérer intrusives. Saura-t-il garder son « indépendance de vue » sur ce projet, avec sa casquette de CIL, concernant notamment la proportionnalité ?
43La seconde réserve porte sur la délicate gestion des relations hiérarchiques. Le CIL exerce ses missions de manière indépendante, dispose d’une autonomie d’action reconnue par tous et est directement rattaché au responsable de traitement à qui il peut apporter conseils, recommandations et alertes si nécessaires. Ces particularités ne sont pas le fait de la plupart des RSSI qui, dans cette mission, rapportent à un supérieur hiérarchique qui n’est pas le responsable de traitement. Ainsi, totalement indépendant et n’ayant pas d’instruction à recevoir, le CIL peut décider de porter son effort sur un traitement qu’il juge sensible pour les personnes concernées, alors que la hiérarchie du RSSI peut exiger de lui qu’il se focalise en priorité sur un nouveau projet sécurité. Cependant, dix ans après la création du CIL, on commence à voir des RSSI qui avaient obtenu leur désignation auprès de la CNIL – pour obtenir une meilleure écoute de la part de leur direction, en utilisant le levier juridique – revenir à leurs premières amours. Ce mouvement devrait s’amplifier avec l’adoption du règlement européen qui va remplacer la loi Informatique et Libertés : le « CIL 2.0 » que décrit le projet devenant un véritable « Commissaire aux données personnelles [42] », avec des prérogatives étendues. Il jouera, par exemple, un rôle crucial dans la vérification des garanties présentées par les sous-traitants, l’intégration du Privacy by design, les études préalables d’impact ou la gestion des notifications des violations. On voit donc que la fonction de Correspondant Informatique et Libertés est tirée vers le haut. De toute façon, il faut avoir de l’ambition pour ce nouveau métier, passionnant, qui se fonde sur la primauté de la personne comme le dit l’article premier de la Loi Informatique et Libertés : « L’informatique doit être au service de chaque citoyen […] Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».
Notes
-
[1]
Décret n°2005-1309 du 20 octobre 2005.
-
[2]
Loi n° 2014-344 du 17 mars 2014 relative à la consommation.
-
[3]
T. Duvernoy et L. Minano, « Enquête : des données médicales confidentielles accessibles sur le web », Actusoins, 1er mars 2013.
-
[4]
Loi n°88-19 du 5 janvier 1988 relative à la fraude informatique.
-
[5]
Tribunal de grande instance de Paris 3ème section, 4ème chambre Jugement du 21 février 2013.
-
[6]
Cour de cassation, chambre criminelle, Audience publique du mardi 30 octobre 2001, N° de pourvoi : 99-82136, Le Syndicat National Professionnel des Médecins du Travail, partie civile
-
[7]
Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. C’est de la transposition de cette Directive qu’est principalement issue la loi Informatique et Libertés. C’est également cette directive qui devrait être remplacée par la proposition de règlement européen, actuellement en discussion.
-
[8]
ICO, Data Protection Act 1998, Monetary Penalty Notice, 28 February 2014, http://ico.org.uk/news/latest_news/2014/~/media/documents/library/Data_Protection/Notices/british-pregnancy-advice-service-monetary-penalty-notice.pdf, février 2014
-
[9]
Commission européenne, Proposition de Règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, publiée le 25 janvier 2012, disponibles sur http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_fr.pdf. Le Parlement européen a voté une version amendée du texte le 11 mars 2014. La phase de trilogue s’ouvrira dès que la Conseil de l’Europe aura fait de même.
-
[10]
B. Rasle, « Correspondant informatique et libertés (CIL) et régulation », Legicom, 2009/1 (N° 42), disponible sur http://www.cairn.info/resume.php?ID_ARTICLE=LEGI_042_0071
-
[11]
B. Rasle, op.cit., février 2009.
-
[12]
CNIL, Décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006052581&dateTexte=20090319, février 2014.
-
[13]
G. Desgens-Pasanau, Le correspondant Informatique et Libertés, LexisNexis, 2014.
-
[14]
P-L. Réfalo, La sécurité numérique de l’entreprise, l’effet papillon du hacker, Eyrolles, Paris, 2013.
-
[15]
Article 25 de la loi Informatique et Libertés, du 6 janvier 1978 modifiée.
-
[16]
Article 39 de la loi Informatique et Libertés, du 6 janvier 1978 modifiée.
-
[17]
S. Métille, Nouvelles technologies et droit, Privacy by design, ça veut dire quoi ?, janvier 2014
-
[18]
Dans l’un de ses considérants, la Directive 95/46 indique « que la protection des droits et libertés […] exige que des mesures techniques et d’organisation appropriées soient prises tant au moment de la conception qu’à celui de la mise en œuvre du traitement, en vue d’assurer en particulier la sécurité et d’empêcher ainsi tout traitement non autorisé ; … que ces mesures doivent assurer un niveau de sécurité approprié tenant compte de l’état de l’art et du coût de leur mise en œuvre au regard des risques présentés par les traitements et de la nature des données à protéger ».
-
[19]
Balise de géolocalisation.
-
[20]
Donnée servant à définir ou décrire une autre donnée (par exemple sa date de création). Les métadonnées sont à la base des techniques du Web sémantique.
-
[21]
CLUSIF, Retour sur investissement en sécurité des systèmes d’information : Quelques clés pour argumenter, https://www.clusif.asso.fr/fr/production/ouvrages/pdf/RoSI.pdf, octobre 2004.
-
[22]
Décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
-
[23]
P-L. Réfalo, op.cit., 2013.
-
[24]
P-L. Réfalo, op.cit., 2013.
-
[25]
Cf. article 44 du décret n°2005-1309 du 20 octobre 2005.
-
[26]
Le fait de recourir à un sous-traitant n’exonère en rien le responsable du traitement de ses responsabilités. L’article 35 de la loi Informatique et Libertés indique que « le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement ».
-
[27]
Délégué à la protection des données (équivalent du CIL français), dont la désignation est obligatoire pour tout organisme disposant de plus de neuf personnes qui procèdent à un traitement automatisé de données.
-
[28]
B. Foray, La Fonction RSSI, Dunod, Paris, 2e édition, 2011.
-
[29]
Politique de la Sécurité du Système d’Information.
-
[30]
Identity and Access Management : gestion des identités, des habilitations, des processus d’identification et d’authentification. Ce thème englobe celui de la traçabilité.
-
[31]
L’ICO ("CNIL" britannique) accorde une grande importance au traitement de ces near miss. Cf. "South London has four data near misses", disponible sur www.ehi.co.uk/news/EHI/7685/south-london-has-four-data-%27near-misses%27
-
[32]
Tierce Maintenance Applicative.
-
[33]
Au titre de la loi, le CIL doit tenir à jour la liste des traitements de données à caractère personnel.
-
[34]
A titre d’exemple, les CIL sont de plus en plus nombreux à se former à l’ISO 27000.
-
[35]
Fonction utilisée en cryptographie qui, à partir d’une donnée fournie en entrée, calcule une empreinte unique et à partir de laquelle il est - en théorie - impossible de remonter à la valeur d’origine.
-
[36]
Le salage consiste à ajouter une chaîne de caractères à l’information avant le hachage. Cela permet de renforcer la sécurité de cette fonction. En effet, en l’absence de salage, il est possible de cracker le système à l’aide de tables de hachage correspondant à des valeurs (telles que des mots de passe). Dans son document Opinion 03/2014 on Personal Data Breach Notification, adopté le 25 mars 2014, le Groupe Article 29 considère que l’utilisation d’un procédé de hash sans sel n’est pas suffisant pour assurer une « inintelligibilité » suffisante des données personnelles qui doivent être protégées.
-
[37]
E. Ercolani L’Informaticien, Orange victime d’une « intrusion informatique », 30 janvier 2014, disponible sur www.linformaticien.com/actualites/id/31886/orange-victime-d-une-intrusion-informatique.aspx
-
[38]
P-L. Réfalo, op.cit., 2013, p.118
-
[39]
Les expériences couronnées de succès s’expliquent le plus souvent par la présence de collaborateurs en soutien sur chaque sujet – sécurité du SI et conformité – et par un clair positionnement en maîtrise d’ouvrage concernant la sécurité, et surtout pas en maîtrise d’œuvre.
-
[40]
Cette question n’est valide que pour les RSSI trop "opérationnels" et pas pour les RSSI "politiques".
-
[41]
Advanced Persistent Threat : Intrusion dans un système d’information réalisée par un cybercriminel qui ne recherche que la discrétion, avec souvent pour but d’exfiltrer des actifs immatériels. Selon certaines études, la majorité des ATP ne seraient détectées que plusieurs mois après l’intrusion ciblée.
-
[42]
A. Bensoussan avocats, Le CIL génération 2 : nouvelles missions, nouvelles responsabilités, disponible sur www.afdit.fr