RGPD / GDPR, je notifie, tu notifies …

Le Règlement Européen sur la Protection des Données entré en vigueur le 25 mai 2016 et dont l’application est différée à 2ans, tout le monde en parle.

Il faut dire que quelques-unes de ces mesures nouvelles font sensation, en particulier la fameuse sanction reconnue aux CNIL européennes, d’infliger des amendes administratives aux contrevenants jusqu’à 4% du chiffre d’affaires total mondial de l’exercice précédent.

Mais notre propos n’est pas là.

Nous allons nous intéresser à une autre de ces mesures nouvelles insérée dans le RGPD.

Désormais, tout responsable d’un traitement qui aura connaissance d’une violation de données personnelles, devra notifier cette violation à la CNIL dans un délai de 72 heures « au plus tard », à compter de cette prise de connaissance.

Les sous-traitants eux-mêmes, endossent désormais une obligation de notification « dans les meilleurs délais », mais cette notification doit être adressé à leur donneur d’ordre, le responsable de traitement, et pas à la CNIL.

La sanction pour défaut de notification peut monter jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires, soit le palier 1 des sanctions.

Cette obligation de notification se retrouve dans d’autres textes.

Par exemple, dans la Directive 2016/1148 Network and Informatique Security dite NIS du 6 juillet 2016, la première directive communautaire en matière de cybersécurité, qui impose également une obligation de notification des « incidents(…) sans retard injustifié » à l’ANSSI, obligation qui pourrait concerner tous les prestataires de cloud computing en plus des opérateurs dits de services essentiels.

Beaucoup commentent ces textes en passant du temps à expliquer « comment notifier » et se conformer à ces nouvelles obligations.

Nous, nous demandons pourquoi ?

Pourquoi la notification est devenue l’arme favorite des législateurs européens ?

Nous y voyons une explication principale.

Les cyberattaques se multiplient, qui entravent le fonctionnement des systèmes d’information (incident) ou ont pour conséquence des fuites massives de données (violation de données personnelles).

Or, en l’absence d’une coopération internationale policière et judiciaire efficace, les cyberdélinquants savent jouer des frontières pour échapper à toute identification et donc poursuite et donc condamnation.

La partie de gendarme et de voleur est à ce point difficile, que pour certains types de cyberattaques externes, les taux d’élucidation tendent vers zéro.

Du coup, il convient de trouver des palliatifs pour protéger la société dans son ensemble, laquelle bascule de plus en plus autour ou sur les réseaux numériques.

La notification est un de ces palliatifs.

Elle tend à protéger la société en son ensemble, en imposant à la victime d’un acte délictueux de prévenir les autorités publiques.

C’est tout à fait louable.

Plus vite la société est informée des modalités d’une attaque, moins les dégâts seront importants.

Mais nous y voyons tout de même un problème. Pendant que le délinquant court toujours, on responsabilise et sanctionne la victime.

Ca n’est pas notre idéal de justice …

Nous vivons une situation intermédiaire où nous tâtonnons sur des solutions à trouver, face aux nouveaux paradigmes consécutifs à la transformation numérique.

Mais il ne faudrait pas perdre de vue l’idéal de justice qui est indispensable au fonctionnement de nos sociétés.