Conflits Des Juridictions

La place grandissante de l’informatique dans toutes les sphères de notre société entraîne la production, le traitement et la dissémination d’un nombre croissant de données personnelles.

Les menaces pesant sur les systèmes et réseaux d’information incluent la fraude informatique, le détournement de finalité, la captation frauduleuse, la perte de données, le vandalisme, ou encore les sinistres les plus fréquents, tels que l’incendie ou l’inondation.

La loi «informatique et libertés» impose que les organismes mettant en œuvre des traitements ou disposant de fichiers de données en garantissent la sécurité. Par sécurité des données, on entend l’ensemble des «précautions afin de proteger les secrets de la vie privee des citoyens», pour notamment, «ne pas porter atteinte à l’identite, aux droits et aux libertes collectives ou individuelle de l’homme.» (Art.1). Cette sécurité se conçoit pour l’ensemble des processus relatifs à ces données, qu’il s’agisse de leur création, leur utilisation, leur sauvegarde, leur archivage ou leur destruction et concerne leur confidentialité, leur intégrité, leur authenticité et leur disponibilité.

Ce guide s’adresse à tout responsable de traitement ainsi qu’à toute personne disposant d’un minimum de connaissances informatiques (administrateur système, développeur, responsable de la sécurité des systèmes d’information, utilisateur...) et souhaitant évaluer le niveau de sécurité dont doit bénéficier tout traitement de données à caractère personnel.

Il présente un ensemble de préconisations essentielles regroupées par fiches thématiques concernant la sécurité de données à caractère personnel.

Chaque fiche est structurée en trois sections : - les précautions élémentaires ;
- ce qu’il ne faut pas faire ;
- pour aller plus loin.

La section «Pour aller plus loin» recommande des mesures additionnelles aux précautions élémentaires.

Parmi l’ensemble des préconisations, certaines sont issues de bonnes pratiques en matière de gestion de la sécurité des systèmes d’informations, tandis que d’autres résultent des règles relatives à la protection de données à caractère personnel du fait de la spécificité de ces informations.

Ce premier guide «sécurité» est évidemment perfectible. Aussi, le lecteur ne devra-t-il pas hésiter à nous contacter pour nous transmettre ses propositions en la matière.

Bien entendu, aux yeux des experts et des profanes, ce guide ne répondra pas complètement à leurs attentes, jugeant qu’il ne va pas assez ou trop loin. J’espère néanmoins qu’il satisfera au plus grand nombre, et je peux d’ores et déjà annoncer qu’un document plus élaboré est en cours de préparation.

La Commission Nationale de contrôle de la protection des données a caractere personnel

La CNDP, autorité administrative indépendante, est chargée de veiller au respect des dispositions de la loi. A ce titre, elle assure des missions d’information, de conseil, d’expertise et de veille technologique.

La CNDP dispose de pouvoirs particuliers pour faire respecter la loi : elle contrôle la mise en œuvre des fichiers informatiques et peut également procéder à des vérifications sur place.

L’ensemble de ces informations est également disponible sur le site Internet de la CNIL : http://www.cnil.fr/dossiers/secIntroduction

Sécuriser un système informatique nécessite de prendre en compte tous les aspects de sa gestion. Cette sécurité passe par le respect de bonnes pratiques et le maintien de l’outil informatique à l’état de l’art quant aux attaques dont il peut faire l’objet. Toutefois, cette sécurité ne sera effective qu’à condition de faire preuve de rigueur notamment dans la délivrance (et le retrait) des habilitations ainsi que dans le traitement des inévitables incidents.

Afin de garantir que chaque utilisateur du système informatique n’accède qu’aux données qu’il a besoin de connaître, deux éléments sont nécessaires :

- la remise d’un identifiant unique à chaque utilisateur associé à un moyen de s’authentifier : une méthode d’authentification ;

- un contrôle a priori de l’accès aux données pour chaque catégorie d’utilisateurs : une gestion des habilitations.

La protection de données concernant des personnes impose en plus que celles-ci soient :

- «collectées et traitées de manière loyale et licite» (article 3)

- «collectées pour des finalités déterminées, explicites et légitimes et ne soient pas traitées ultérieurement de manière incompatible avec ces finalités» (Article 2)

Ces obligations ne peuvent s’apprécier qu’à travers l’usage qui est fait du système informatique. Par conséquent, il est nécessaire de procéder à une journalisation, c’est-à-dire l’enregistrement des actions de chaque utilisateur sur le système pendant une durée définie.

En outre, la loi relative a la protection des personnes physiques a l’egard du traitement des données a caractere personnel dispose que les données soient «exactes, complètes et si nécessaires mises à jour.» (Article 3). Ces obligations nécessitent que les systèmes d’information prévoient des mécanismes garantissant l’intégrité des données.

La loi dispose également que ces données soient «conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées» (Art. 6 al.5 loi I&L). Les systèmes doivent donc prévoir la suppression, l’archivage, ou encore l’anonymisation de ces données, lorsque leur durée de conservation est atteinte.

Enfin, gérer les risques constitue un moyen efficace afin de « ne pas porter atteinte à l’identite, aux droits et aux libertés collectives ou individuelles de l’Homme » (article premier de la loi relative a la protection des personnes physique a l’egard du traitement des données a caractere personnel).

Pour rappel, la CNDP peut procéder à des vérifications sur place. En outre, la formation restreinte peut prononcer diverses sanctions graduées : avertissement, mise en demeure, sanctions pécuniaires, injonction de cesser le traitement. Le montant des sanctions pécuniaires peut atteindre 200 000 DHS et jusqu'à 1an de prison .

Le montant de ces sanctions est «proportionné

...