La faisabilité des schémas de certification de protection de la vie privée

(II) Obligation de sécurité renforcée : la protection des DP étendue à la sécurité des réseaux

De récents sondages ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT} confirment l'augmentation du rôle et de l'importance de la fonction sécurité dans un contexte de réduction des coûts.

La menace sur la sécurité de leur patrimoine informationnel est perçue par les entreprises comme étant plus présente pendant la crise économique, ce qui laisse présumer d'un réel besoin de mesures de protection dans ce domaine.

L'évolution des textes laisse entrevoir une importance croissante du poste sécurité et des obligations y étant associées pour les responsables de traitement de données personnelles.

La sécurité des données est non seulement un principe déterminant de protection des DP mais c'est aussi un « avantage préférentiel » que pourrait garantir un schéma aux candidats à une certification portant sur la protection des DP (augmentation du bénéfice retiré).

(1) Le « paquet Télécom »

Il prévoit une double offensive pour assurer le renforcement de la sécurisation des réseaux et des services d'accès, par le biais de mesures a priori (obligation d'évaluation de la sécurité des systèmes, etc.) mais aussi d'obligations a posteriori (obligations de notification).

La directive « cadre », qui s'applique aux fournisseurs des réseaux de communications publics ou

des services de communications électroniques accessibles au public tels que les fournisseurs d'accès

à l'internet, traite de la notification de l'existence d'une faille.

Le texte, fait état d'une atteinte portée à la sécurité ou une perte d'intégrité « ayant eu un impact significatif sur le fonctionnement des réseaux ou des services ».

Le FAI sera tenu de notifier à « l'autorité réglementaire concernée » qui informera, éventuellement, les autorités concernées des autres Etats membres et l'ENISA (l'Agence européenne chargée de la sécurité des réseaux et de l'information).

Le public est informé soit par l'autorité nationale soit si elle préfère, par le fournisseur victime de la faille, si et seulement si : il est relevé un impact significatif sur le fonctionnement, mais aussi, critère supplémentaire, s'il est « d'utilité publique » de divulguer les faits.

Il n'est pas prévu d'exonération à la notification. L'objectif est d'assurer la transparence et la visibilité au travers de statistiques devant servir de support à des actions concertées sur les règles de sécurité pour garantir la disponibilité, l'intégrité et la continuité du réseau dans un environnement convergent d'infrastructures fixes et mobiles.

Les états membres ont donc l'obligation de veiller à ce que ces fournisseurs prennent des mesures « techniques et organisationnelles adéquates [... qui] garantissent un niveau de sécurité adapté au risque existant » (cf.Art. 13 de la directive 2002/21/CE modifiée).

Les mesures techniques et la forme que doivent emprunter les notifications pourront être arrêtées par la suite en conformité avec la procédure européenne de « réglementation avec contrôle » qui permet de faire appel à l'avis d'experts tels que l'ENISA dont la commission est incitée à tenir « le plus grand compte » de l'avis. Elle devra aussi s'appuyer, « dans toute la mesure du possible », sur d'éventuelles normes européennes et internationales existantes.

La sécurité des réseaux est un sujet de préoccupation majeur dans le secteur des télécommunications qui implique des mesures préventives adaptées aux risques, des mesures de contrôle et une garantie de transparence des incidents.

Des schémas de certification pourraient attester de la conformité de ces mesures.

* REF _Ref278271812 \r \h \* MERGEFORMAT
PWC report survey 2010 et 2011