La faille sur les données des utilisateurs de Yahoo pose des questions au-delà des politiques de sécurité. Candice Liebaert, Directrice juridique d’Insight France nous éclaire sur les obligations qui pèsent sur les entreprises en la matière à l’aune du Règlement européen Général sur la Protection des Données.
Quelles obligations les entreprises ont-elles aujourd’hui de prévenir leurs clients en cas de problèmes sur leurs données comme ce fut le cas dans la récente affaire Yahoo ?
Le règlement entrera en vigueur en 2018. Aujourd’hui, les entreprises sont soumises à la loi pour une république numérique et la loi Informatique et Libertés. Il en ressort des obligations d’informations sur les données collectées sur l’usage qui va en être fait, le transfert de ces données notamment en dehors de l’Union européenne. Il faut également respecter les droits d’accès, de correction, d’opposition aux données.
En revanche, il n’y a pas d’obligation légale de notification de faille de sécurité en dehors des opérateurs de communication électronique.
Quelles amendes les entreprises risquent-elles à ne pas alerter en temps voulu leurs clients des infractions rencontrées et fuites de données potentielles ?
Le règlement prévoit qu’en cas de manquement, cela pourra aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel. La nouveauté introduite par ce texte est que les sous-traitants pourront être tenus solidairement responsables des responsables des traitements des données. Le risque de sanction me semble beaucoup plus dissuasif. Jusqu’à la loi République numérique, la CNIL ne pouvait infliger que 150.000 euros d’amendes. Par ailleurs, à cela peut s’ajouter des dommages intérêts si les obligations faisaient partie du contrat.
Qu’en est-il de la class action pour violation de la vie privée ?
Les class actions en France sont pour le moment limitées au droit de la consommation dans le cadre de la Loi Hamon.
La class action pour violation de la vie privée était prévue dans le projet de loi pour une République numérique mais cette disposition a été retirée. Ce n’est pas impensable qu’elle revienne puisqu’elle existe aux Etats-Unis et dans d’autres pays.
Cependant, le Règlement européen va permettre à tout un chacun davantage de droits par rapport aux données personnelles et de pouvoir s’adresser aux autorités pour les faire valoir , je ne suis donc pas convaincue qu’une class action ait plus de poids.
Quelles sont les bonnes pratiques que les entreprises doivent mettre en place en matière de données personnelles ?
Il ne reste plus que deux ans avant l’entrée en vigueur du Règlement européen. Les entreprises ont de nouvelles obligations. Elles doivent notamment mettre en place un process pour les notifications de failles. Or, la plupart des entreprises ne sont pas encore au point sur ces modus operandi. Par ailleurs, il n’y a plus de système déclaratif mais un système d’Accountability c'est-à-dire que dans le cas d’une entreprise auditée, c’est à elle de démontrer que toutes les règles et tous les process sont respectés.
A noter que sur certains aspects, le Règlement va se retrouver en contradiction avec la loi Lemaire. On attend donc les décrets d’applications pour voir comment les dispositions de la loi vont s’articuler avec le Règlement européen.
Propos recueillis par Arnaud Dumourier (@adumourier)
Suivre @adumourier
