La sécurité des systèmes d’information

Thème D5 : la sécurité des systèmes d’information

5.1 : l’obligation de sécuriser les systèmes d’information

La protection des données à caractère personnel :

Définition Donnée à caractère personnel (DCP) - Il s’agit en fait de toute donnée qui permet d’identifier une personne physique (nom, adresse postale ou mail, numéro de plaque d’immatriculation, numéro de carte d’identité…).

C’est la question de l’adresse IP qui a posé le plus d’interrogations quant à l’application des textes (car il s’agit d’un numéro unique qui identifie chaque équipement connecté à Internet). Bien qu’elle se rapporte à une machine, et non à un individu, elle est à considérer comme une donnée personnelle

Au-delà d’une jurisprudence pléthorique, c’est le RGPD entré en vigueur depuis le 25 mai 2018 qui définit plus largement la notion de donnée personnelle et dispose qu’ « il y a lieu d’appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable […] Pour déterminer si une personne est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés (en coût et en temps) par le responsable du traitement ou par toute autre personne pour identifier une personne physique… » ainsi « les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles en ligne qu’elles utilisent, des identifiants en ligne tels des adresses IP et des témoins de connexion (« cookies ») ou d’autres identifiants […]. Ces identifiants peuvent laisser des traces qui, […] peuvent servir à créer des profils de personnes physiques et à identifier ces personnes ». Les adresses IP sont donc citées comme données pouvant identifier les personnes et appartiennent donc aux données à caractère personnel.

Les données sensibles

Par principe, « il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ». (article 8 de la loi du 6 janvier 1978). L’interdiction de la collecte de ces données sensibles s’explique en toute logique par leur caractère particulièrement intime.

Les juges ont condamné, dans arrêt du Conseil d’Etat du 12 mars 2014, une agence immobilière qui avait enregistré des commentaires relatifs à des condamnations (« enquête du SRPJ en cours, problèmes d’alcool et expulsion d’un logement), des informations sur l’état de santé des personnes (« Monsieur a la maladie de parkinson et des problèmes pour parler, « recherchent un T3 […] pour se rapprocher de leur fille atteinte d’un cancer ») et des informations sur les opinions religieuses (« famille de juifs très pratiquante »).

En raison de la finalité du traitement (par exemple traitement INSEE ; recherche médicale), il peut néanmoins être procédé à cette collecte.

La règlementation de l’informatique en France réside :

⦁ Essentiellement dans la loi du 6 janvier 1978 dite Loi Informatique et Liberté (mise en place de la CNIL)

⦁ Modifiée, modernisée et renforcée par la loi du 21 juin 2004 pour la confiance en l’économie numérique (LCEN)

⦁ A nouveau modifié par une loi pour une République Numérique du 7 octobre 2016 (entrée en vigueur le 9 octobre 2016)

⦁ Ainsi que par le Règlement Européen du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données, dont l’entrée en vigueur date du 25 mai 2018 (RGPD). Les règles de protection des données sont ainsi harmonisées au niveau européen.

L’objectif essentiel est de protéger les libertés individuelles et la vie privée contre les risques liés à l’informatique. Le premier article de la loi de 1978 pose le principe selon lequel :

« L’informatique doit être au service de chaque citoyen. […] Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »

Le cadre institutionnel

C’est la C.N.I.L (Commission Nationale de l’Informatique et des Libertés) qui est chargée de veiller à la bonne application des lois, y compris du Règlement Européen sur les données personnelles applicable depuis le 25 mai 2018.

⦁ L’organisation de la CNIL

La CNIL est un organisme indépendant composé de 18 membres nommés pour 5 ans ou pour la durée de leur mandat si celle-ci est plus courte. Dans l’exercice de leurs fonctions, les membres de la Commission « ne reçoivent d’instruction d’aucune autorité ». L’indépendance de la Commission doit être préservée.

⦁ Les fonctions de la CNIL

La CNIL veille au respect des dispositions de la loi du 6 janvier 1978, elle exerce à ce titre une activité juridique et une activité matérielle :

⦁ Activité juridique : elle dispose d’un pouvoir réglementaire et peut formuler des avis et des propositions sur les traitements de données opérés par les responsables de traitement, et en matière de normes ;

⦁ Avant l’entrée en vigueur du Règlement européen de 2016, elle autorisait la plupart des traitements de données, aujourd’hui elle effectue un contrôle à priori et oriente les responsables de traitement dans la mise en conformité.

⦁ Elle élabore des normes simplifiées pour les catégories de traitement les plus courantes.

⦁ Elle peut également formuler des recommandations

⦁ Elle peut aussi donner des avis aux pouvoirs publics et aux juridictions.

⦁ L’activité matérielle : la CNIL peut

⦁ procéder à des contrôles sur place, sur convocation ou en ligne. Elle reçoit les réclamations, pétitions et plaintes et peut dès lors adresser des avertissements, et

⦁ dénoncer les infractions dont elle a connaissance au procureur de la République.

⦁ Elle peut prononcer un certain nombre

...