Avec l’avènement d’Internet, la multiplication des réseaux et des terminaux mobiles, les échanges de données augmentent de façon exponentielle. Parmi ces informations, celles concernant la vie privée présentent un caractère particulier qui nécessite une réglementation adaptée.
Les bars, les hôtels, les campings… tous les commercants et les PME proposant un accès wifi doivent respecter la Loi pour la confiance dans l’économie numérique (LCEN).
Depuis 1978, la France dispose d’un cadre juridique et législatif dédié à la protection des données personnelles avec les Lois de 1978 et de 2004 et la Directive européenne de 1995. La transposition du dernier « paquet télécom » est intervenue par une ordonnance du 24 août 2011 (n° 2011-1012) . Par son article 38, elle introduit un article 34 bis dans la loi « Informatique et Libertés » instituant un régime de divulgation obligatoire des atteintes à la sécurité des données personnelles. Ainsi, en « cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l’informatique et des libertés ». Le champ d’application de ce texte est limité aux fournisseurs de « services de communications électroniques accessibles au public ». Mais à terme, ces obligations devraient concerner toutes les organisations.
Cette réglementation oblige le responsable du traitement à mettre en œuvre « toutes mesures adéquates ». Maître Alain Bensoussan signale toutefois qu’il n’y a « pas une obligation de résultat, mais une obligation de moyens renforcés ; les entreprises doivent démontrer qu’elles ont pris toutes les mesures utiles et qu’au regard de la pertinence de ces moyens toutes les entreprises placées dans les mêmes conditions auraient subi les mêmes conséquences ».
Les Directions des systèmes d’information (DSI) doivent donc renforcer la protection des données personnelles. « Tous les réseaux sur lesquels transitent des données personnelles doivent être chiffrés et le stockage doit se faire dans des salles hautement sécurisées où l’accès est filtré et tracé », rappelle Jean-François Tessier, responsable de la logistique générale à Informatique CDC.
« Une protection efficace des données nécessite des dispositifs fiables sur l’ensemble de la chaîne entre l’utilisateur et les données. C’est dans cette optique qu’Informatique CDC instruit une démarche « globale » couvrant entre autres la protection des salles informatiques, la sécurisation des postes de travail ou encore la gestion des identités et des accès », précise Erwan Le Loupp, responsable sécurité globale à Informatique CDC.
« La protection des données personnelles est un sujet majeur pour La Poste, car nous fournissons à nos clients un nombre croissant de services électroniques en nous appuyant sur le capital de confiance dont nous disposons auprès des Français, nous explique Michel Delattre, DSI du Groupe La Poste. Nous avons défini un ensemble de directives techniques et d’organisation pour protéger les données de nos clients et suivre l’évolution réglementaire. Nous avons classé nos services électroniques par sensibilité et niveau de risque (confidentialité, perte de données…). Nous avons créé un Observatoire de la Sécurité des Systèmes d’Information qui réalise régulièrement des analyses de vulnérabilité pour mesurer la « robustesse » de nos services, détecter les éventuelles failles et les faire corriger. »