Faut-il annoncer toutes ses failles ?

L’Union européenne étend progressivement les obligations d’annoncer les failles de sécurité et autres mises en danger des données personnelles, suivant la pratique de certains Etats américains. Cela a débuté avec l’obligation des fournisseurs de services de communications électroniques d’avertir l’autorité nationale compétente et dans certains cas l’abonné, sur la base sur la directive révisée «vie privée et communications électroniques» (2002/58/CE). Le projet de Règlement général sur la protection des données présenté début 2012 prévoit d’étendre cette obligation à tous les responsables de traitement de données. Il est actuellement débattu devant le parlement européen et pourrait entrer en vigueur en 2015 ou 2016. Il va, à n’en pas douter, fortement influencer la révision du droit suisse de la protection des données. L’annonce prévue devrait être faite à une autorité nationale et directement à toutes les personnes dont les données sont concernées lorsqu’il y a un risque pour la sphère privée de ces personnes.

Plus récemment encore, la dernière proposition de Directive concernant la sécurité des réseaux et de l’information prévoit d’imposer aux opérateurs des infrastructures critiques (services financiers, transports, énergie et santé), aux entreprises clés de l’Internet qui offrent des services dans l’UE (notamment les magasins d’applications en ligne, les plates-formes de commerce électronique, les passerelles de paiement par Internet, les services informatiques en nuage, les moteurs de recherche ou les réseaux sociaux), ainsi qu’aux administrations publiques, de signaler les incidents de sécurité significatifs à l’autorité nationale. Il n’est plus ici question de mise en danger de données personnelles mais de prévenir et combattre les perturbations et attaques visant le cyberespace.

Les annonces et la transparence vis-à-vis des failles de sécurité sont certainement le meilleur moyen de détecter les risques et de s’en prémunir. N’empêche qu’il ne faut pas surestimer le pouvoir de ces mesures, en particulier vis-à-vis du citoyen qui, après avoir reçu une dizaine d’annonces de perte éventuelle de données dans lesquelles pourraient figurer les siennes, n’y prêtera plus grande attention. Ainsi après la panique cédera l’indifférence, avec le risque de banaliser des mises en danger bien réelles.

Ce billet est le dernier d’une série également publiée sur le site du magazine Bilan, dans la rubrique «les experts».

1 réflexion sur “Faut-il annoncer toutes ses failles ?”

  1. irgendeiner

    Die ganze Chose scheint einigermassen lächerlich, wenn man die Aktivitäten der Geheimdienste mit in Betracht zieht?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut