Données personnelles : vers une gouvernance de la perte de données ?

Sécurité

Alors que l’équivalent des CNIL du monde se sont réunies pour établir des règles de préservation des données, les Etats-Unis renforcent l’obligation des sociétés à informer en cas de pertes de d’informations.

En matière de perte de données il existe une forme d’omerta concernant les professionnels. Notamment en France peu (voire pas) de sociétés communiquent leurs pertes de données. Pourtant nombre d’Etats, à l’instar de la Grande-Bretagne, obligent les sociétés à dévoiler leurs erreurs afin d’endiguer les conséquences de l’exploitation de vulnérabilités. Demeure la cas français…

La semaine dernière s’est tenue la Conférence mondiale des Commissaires à la protection des données. Etaient présentes pas moins de 80 autorités de protection des données, parmi lesquelles la Cnil (Commission nationale de l’informatique et des libertés) qui représentait la France. Décision a été prise de voter une « résolution visant à établir des standards internationaux sur la protection des données personnelles et de la vie privée».

Un premier pas évoqué par Alex Türk, président de la Cnil : « Nous sommes parvenus à élaborer un corpus de principes communs adaptés aux dernières évolutions technologiques. La résolution définit les grands principes de protection des données, énonce les droits dont bénéficient les individus, ainsi que les obligations incombant aux personnes et organisations traitant des données personnelles.»Un premier pas qualifié « d’historique » même s’il reste encore a donner une valeur juridique à cette résolution…

De son côté, les Etats-Unis ont choisi une position plus unilatérale dans le sens où de nouveaux projets de lois sont dans les coursives du pouvoir afin de durcir la législation. A en croire le site Wired.com, des lois concernant les failles de sécurité et leur notification passeront bientôt devant le Sénat.

Le « Personal Data Privacy and Security Act » compte donc œuvrer pour la protection des données à caractère personnel et imposer des sanctions civiles pour ceux qui les violeraient. Par exemple, elle sanctionnera une société qui a laissé une brèche dans ses systèmes informatiques qui aura conduit à un accès autorisé.

Enfin le second projet de loi baptisé « Data Breach Notification Act » vise à obliger les sociétés à notifier toute perte ou brèche dans ses systèmes. Une loi qui va dans le sens d’une plus ample protection des données et surtout d’une prise en compte de l’importance de ce type de failles.

C´est donc afin de bénéficier d’une gouvernance, notamment en France, qu’Alex Türk a annoncé vouloir s’adresser au premier ministre, François Fillon afin de souligner l’importance du sujet. Une stratégie gagnant- gagnant ?


Lire la biographie de l´auteur  Masquer la biographie de l´auteur