Accueil Actualités Vers une notification obligatoire des failles de sécurité en entreprise
Retour aux articles S'inscrire à la Newsletter

Vers une notification obligatoire des failles de sécurité en entreprise

Publié le

Classé dans la catégorie : Risques informatiques

Aujourd’hui, au Sénat, la question de la déclaration légale des pertes ou des vols de données a été discutée. Venu des Etats-Unis, ce concept de Data Breach Notification intéresse autant qu’il inquiète.

Voilà qui va donner du grain à moudre aux RSSI dans les entreprises. Aujourd'hui, le Sénat a débattu de la proposition de loi des sénateurs Anne-Marie Escoffier et Yves Détraigne, dont l'article 7 énonce « l'obligation de sécurisation des données incombant au responsable du traitement, et crée une obligation de notification à la Cnil des failles de sécurité, transposant par anticipation la directive 2002/58/CE concernant la vie privée dans le secteur des communications électroniques ».

En clair : dès que le système d'information d'une entreprise présente une faille ou est victime d'une attaque, il faudra en référer à la Cnil.

Si cette loi est adoptée, restent à définir ses modalités d'application. C'est pourquoi l'AFCDP (Association française des correspondants aux données personnelles) a organisé aujourd'hui un colloque pour annoncer la naissance officielle d'un groupe de travail dédié à cette question. Constitué de juristes et d'experts en sécurité, ce groupe devra évacuer les zones d'ombre et anticiper les dérives comme on peut en voir dans certains pays.

Gare aux exagérations

Ainsi, Pascale Gelly, avocate, raconte qu'en Allemagne, où la notification est obligatoire depuis septembre 2009, on a pu constater quelques notifications exagérées : « Une personne a fait une déclaration de faille parce que son voisin avait pu regarder son écran, sur lequel il visionnait un fichier de ressources humaines. » Eric Doyen, RSSI au Crédit Immobilier de France et membre du groupe de travail, ajoute que « le risque 0 n'existe pas, il y aura toujours des failles, il faudra vraiment se mettre d'accord sur ce qui doit être déclaré et comment ».

« Notifier ou ne pas notifier, telle est la question », explique Bojana Bellamy de Accenture. Pour cette responsable de la confidentialité des données, la directive a le mérite d'obliger les entreprises à mettre en place les moyens de protection réclamés, mais doit impérativement être bien pensée. Déjà chargée d'appliquer les réglementations américaines (Data Breach Notification Laws), Bojana Bellamy confirme qu'il ne faut pas hésiter à considérer chaque cas : « Par exemple concernant les conditions de notification. La réglementation américaine dit que si les données volées étaient chiffrées, il n'est pas nécessaire de faire de notification », illustre-t-elle. Notifier donc, mais pas n'importe comment.

Auteur : Stéphane Bellec, 01net.

Pour réagir, connectez-vous !

Article précédent

Image actualité

Le marché européen des quotas de CO2 de nouveau secoué par un scandale

23/03/2010

Article suivant

Risques professionnels et pesticides

24/03/2010

Image actualité

Les derniers produits : Toutes les categories