La notification d’une faille de sécurité rendue obligatoire par Ordonnance du 24 Août 2011

En plein été, le pouvoir exécutif a transposé dans le droit positif français le second Paquet Telecom de 2008 composé pour l’essentiel d’un règlement communautaire et de deux directives. Cette ordonnance n°2011-1012 du 24 Août 2011 relative aux communications électroniques, poursuit le travail de libéralisation du secteur des télécoms débuté il y a plus de 20 ans, notamment en instituant un organe des régulateurs européens des communications électroniques.

Mais cette Ordonnance modifie également en son chapitre 2 la loi informatique et libertés de 1978.

En particulier, elle crée en son article 38 une obligation de notification des failles de sécurité, lorsqu’elles surviennent, c'est-à-dire l’obligation de divulguer une telle faille au public à la charge de celui qui détient des données à caractère personnel.

Une première qui constitue une avancée certaine dans les droits des citoyens face à la toute puissance de l’informatique à l’ère du Cloud Computing.

Voyons comment le texte se présente ?

L’idée maitresse des promoteurs de cette nouvelle obligation à la charge des responsables de système d’information, est simple.

Les systèmes d’information renferment tous des données à caractère personnel qui nous concernent.

Si d’aventure un tiers devait pénétrer indument ces systèmes, prendre connaissance, détruire, altérer ou capter ces données, alors il faut créer à la charge du responsable du système l’obligation d’alerter les autorités voire les personnes concernées.

S’il ne respecte pas cette obligation, des sanctions devraient être appliquées à son encontre.

Telle est l’obligation de notification d’une faille de sécurité.


En soi, cette divulgation publique obligatoire est une mini révolution, tant on sait que les entreprises étouffent toute diffusion d’informations à ce propos, lorsque tels évènements les concernent, par peur d'une mauvaise publicité.


Mais l’ordonnance du 24 Août 2011, en son article 38, traite la question de manière différente mais non moins intéressante. Prenons donc, le texte :

  • « En cas de violation de données à caractère personnel le fournisseur (…) avertit sans délai la CNIL. Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique, le fournisseur avertit également, sans délai, la personne concernée. »


Immédiatement, on comprend ici que la terminologie d’une « notification d’une faille de sécurité » dans un système d’information n’est en réalité pas pertinente.

Le critère pour faire jouer la règle impérative posée par l’article 38, tient à ce que l’agissement divulgué, porte atteinte aux données à caractère personnel.

Les termes « d’attaque » « d’accès frauduleux » ou « d’entrave » sont totalement absents de l’ordonnance.

Le texte lui-même précise que cette violation peut résulter d’un accident ou d’un acte illicite.

Dès lors, une clé usb oubliée dans des transports en commun voire un ordinateur volé, sans qu’il s’agisse à proprement parler de failles de sécurité, peuvent faire l’affaire pour l’application de l’article 38 de l’Ordonnance.


  • « le fournisseur avertit sans délai la CNIL (…) également sans délai la personne concernée. »


Le terme « sans délai » est dénué de toute ambigüité.

Il s’agit bien de rendre public l’évènement immédiatement.


  • « Le fournisseur » est celui qui a la charge de cette obligation de notification à la CNIL et, éventuellement mais très surement, aux personnes concernées.


La terminologie exacte est « fournisseur de services de communications électroniques accessibles au public ».

La commission européenne, de même que les pouvoirs publics français, se sont régulièrement exprimés en public, pour dire que ce fournisseur était l’ex opérateur de télécoms ou le fournisseur d’accès à Internet.

Là se pointe la première déception : pourquoi limiter la notification à ce seul acteur ?

Personnellement, nous pensons que cette interprétation est hâtive et surtout matière à discussion.

Si le législateur communautaire avait voulu limiter cette obligation de notification aux opérateurs et FAI, ils auraient utilisé la notion d’« opérateur », terme défini à l’article L 32-15° du Code des Postes Communications électroniques comme « toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques », ce qui englobe bien évidemment les FAI.

S’il a entendu utiliser une autre notion que celle d’ « opérateur », soit le « fournisseur de services de communications électroniques accessibles au public », c’est qu’il a entendu viser plus large.

A moins qu’il s’agisse d’un nouvelle imprécision terminologique des rédacteurs de l’ordonnance, en l’occurrence une imprécision qui viendrait servir ceux qui pensent, comme votre rédacteur, qu’il n’y a aucune raison de limiter une telle avancée à une seule catégorie d’acteurs économiques.

La matière est trop sérieuse pour la limiter aux quelques dizaines d’opérateurs, alors que, de surcroit, des centaines d’autres acteurs de la société de l’information devraient être concernés car détenteur de données à caractère personnel hébergés sur les réseaux numériques publics.

Les Tribunaux auront ici le dernier mot, et il risque bien d’être celui d’une interprétation bien plus large que celle annoncée par les pouvoirs publics.


  • La cryptologie reine ?


Le texte étant focalisé sur les données, et ce à notre sens à juste titre, on peut imaginer que lorsque le corps social l’aura intégré dans sa réflexion, la cryptologie risque de voir son usage dramatiquement progresser.

C’est d’autant plus vrai que l’article 38 dispense les fournisseurs de la notification, lorsqu’ils avaient pris des mesures de protection appropriées afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès.

Si on avait voulu pousser l’usage de la cryptologie, on aurait pas fait mieux.


  • Les sanctions


Enfin, les sanctions pour le fournisseur qui n’aura pas honoré son obligation de notification, sont celles qui sont dévolues à la CNIL depuis 2004.

On pourrait être ici déçu de cette demi-mesure car la CNIL a un pouvoir de sanction limité, soit sur la plan pécuniaire 150.000 euros éventuellement 300.000 euros en cas de récidive.

Les très grandes sociétés n’ont donc rien à craindre de ce côté.

Cependant, on sait que le vrai pouvoir de sanction de la CNIL est peut être avant tout dans sa faculté de publier la décision de sanction et de le faire savoir au public.




En conclusion, l’article 38 de l’ordonnance du 24 Août 2011 est bien une avancée certaine pour les droits du citoyen face à l’informatique.

Elle responsabilise un peu plus les collecteurs de données à caractère personnel.

Les sanctions qu’elles prévoient sont encore timides et il reste la question de savoir quels sont les acteurs économiques réellement concernés. Cependant, il s’agit d’une brèche dans l’omerta qui entoure habituellement les cas de vols de données conservées sur les réseaux numériques et publics.

Enfin, c’est aussi une bonne nouvelle pour les affaires et le cloud computing en particulier, car ce type de mesures doit concourir à la confiance du citoyen en l’outil informatique.