Alors que le projet de loi Détraigne-Escoffier a passé avec succès l’étape du Sénat, mais tandis qu’aucun décret d’application n’est encore publié, retour sur ce que cette loi pourrait changer chez les entreprises françaises une fois entrée en vigueur.

Parmi ses nombreux volets, le projet de loi Détraigne-Escoffier s’intéresse tout particulièrement au rôle du Correspondant Informatique & Libertés dans l’entreprise (un poste qu’il rend obligatoire dans certaines conditions), et propose de rendre également obligatoire la notification des autorités en cas de perte de données personnelles par l’entreprise.

Il n’y a là rien de très nouveau tant des législations similaires existent déjà ailleurs dans le monde (outre l’Etat de Californie aux Etats-Unis, pionnier du domaine, des textes équivalents sont déjà en vigueur dans de nombreux pays étrangers et notamment en Europe (République Tchèque, Estonie, Lituanie, Slovaquie, Autriche…). En outre, le rôle du « Privacy Officer » – un vrai métier plutôt qu’une simple fonction de correspondant – est déjà répandu en dehors de nos frontières.

Mais même si le monde entier ne s’étonne donc pas de cette formalisation du respect des données personnelles, les entreprises françaises, elles, vont découvrir une nouvelle facette de la réglementation.

A l’occasion d’une matinée de débats organisée par l’Association Française des Correspondants aux Données Personnelles (AFCDP ), il a été possible d’avoir un aperçu de ce qui pourrait changer – en mieux, et en moins bien – pour les entreprises françaises lorsqu’elles seront soumises à un tel régime.

Sur le plan des délais de mise en conformité, la fourchette est large : elle va de quatre à cinq ans pour les entreprises qui partent de zéro (aucun formalisme dans le traitement des données personnelles, pas d’analyse de risque) à moins d’un an pour celles déjà soumises à des réglementations telles SOX ou PCI-DSS.

Mais au delà de l’habitude réglementaire, c’est surtout le changement culturel qui est le plus difficile à réaliser : l’entreprise doit accepter la notion qu’elle n’est pas propriétaire des données personnelles de ses clients. Et ça, ce n’est pas encore courant. Pourtant, c’est une évolution logique : « lorsque l’on traite des données, il faut le déclarer. Il paraît logique qu’il faille désormais également le déclarer lorsqu’on maltraite des données », s’amuse Pascale Gelly, avocat spécialisée.

Pour autant tout le monde n’est pas tendre avec le projet de loi Détraigne-Escoffier : sur le fond, d’abord, le coût financier et le risque juridique accru qui pèseront sur les entreprises en cas de perte de données ne sera d’aucune utilité pour réparer le préjudice, font valoir ses détracteur. Ni d’ailleurs pour améliorer la sécurité, bien que cet argument soit battu en brèche par les observations d’Accenture (plus bas).

Sur la forme ensuite : sans décret d’application, le texte actuel est encore bien flou. Quelle différence entre une violation, une atteinte, une exposition ? Et puis le texte parle de notification obligatoire lorsqu’il y a eu destruction accidentelle des données. Quel est l’intérêt ? Et quelle place pour le chiffrement : les données chiffrées perdues doivent-elles aussi faire l’objet d’une notification ? Ce n’est généralement pas le cas à l’étranger alors que le débat reste ouvert France.

Autre problème de forme : le délais de notification. « Si l’incident a lieu un samedi matin, comment l’entreprise peut-elle prévenir la CNIL avant que l’information ne soit dans la presse le samedi soir », s’interroge Bernard Foray, CIL et RSSI pour le Groupe Casino. Personne n’a pour l’heure de réponse ici, sachant qu’en théorie une entreprise qui n’aurait pas alerté les autorité d’une brèche lorsque celle-ci devient publique pourrait être taxée de dissimulation et pénalisée.

Mais sur le terrain, deux observations semblent s’imposer : cela va coûter cher, mais cela va améliorer la sécurité. C’est en tout cas l’avis d’Accenture, qui conseille de grands groupes sur le sujet (et qui, à l’occasion, perd également les données de ses clients).

D’après Accenture, les brèches sont très, très nombreuses : le premier effet d’une telle loi lorsqu’elle sera appliquée sera probablement de surprendre par le nombre d’incidents déclarés. D’ailleurs, conseille Bojana Bellamy, Director of Data Privacy chez Accenture, la France serait bien avisée d’ajouter à son texte de loi une notion de « risque de nuisance » : une brèche ne doit être notifiée que si un risque d’abus et de nuisance pour la victime est avéré. « Sinon cela devient vite ingérable pour l’autorité tant il peut y avoir de notifications » prévient Bojana Bellamy. En France, le fameux « seuil de déclenchement » (à partir de quand une brèche doit être notifiée) n’est pas encore vraiment défini : ce sera probablement l’un des gros morceaux du décret d’application.

Selon Accenture toujours, qui cite sa propre expérience ainsi qu’une étude publiée par l’institut Ponemon, le coût d’une brèche peut aller de 35 à 150 € par identité perdue. Ce qui crée alors un effet de bord positif : les entreprises soumises à une telle réglementation se rendent rapidement compte qu’il est préférable d’éviter les brèches plutôt que d’avoir à y répondre. Et cela, par ricochet, favorise de bonnes pratiques de sécurité plus générales telles que l’intérêt pour le chiffrement des données, la bonne gestion des droits et des rôles, les « background checks » pour les employés critiques ou la purge des données après un certain temps (voir leur non-collecte pour celles inutiles !), etc…

A noter qu’une partie des coûts d’une perte de données est justifiée par l’émergence d’un nouveau marché destiné aux entreprises soumises à une réglementation de type Data Breach Notification : la surveillance annuelle des comptes des victimes afin de s’assurer qu’il n’y a pas de mouvements frauduleux. Un tel service coûte environ 20$ par an et par victime et c’est généralement l’entreprise attaquée qui l’offre à chacun de ses clients concernés… pour deux ans

L’entreprise victime d’une telle attaque pourrait alors certes espérer se retourner contre le fournisseur du logiciel faillible qui a permis le vol des données. Mais il semble qu’il soit aisé de démontrer que puisque l’entreprise a fait le choix de cet outil, son fabricant n’a qu’une obligation de moyen et ne peut donc être tenu responsable de la faille. Ce qui aurait tendance alors à encourager le recours à des contrat-types pour s’assurer que les moyens en questions sont au moins de bonne facture (par exemple en matière de méthodes de développement sécurisé).

Le débat, bien entendu, a aussi porté sur le rôle du RSSI face à ces nouvelles obligations (doit-il être également CIL ?) et ses relations avec un éventuel CIL dédié. Les membres de SecurityVibes ont déjà longuement débattu le sujet dans une Question / Réponse. Et lors de cette matinée organisée par l’AFCDP, le sentiment généra est que les informations personnelles sont des informations sensibles au même titre que les autres (R&D, bases clients, propositions commerciales, etc) et de fait elles sont sous la responsabilité du RSSI. Le CIL, lui, a alors plutôt le profil d’un juriste et il a pour mission de conseiller l’entreprise dans la mise en conformité. Bien entendu, c’est lui également qui pilote les notifications (traitement déclaratif spécifique, inteface avec le législateur, mesures d’informations du public et des clients en liaison avec la communication de crise, etc).

Mais se poser une telle question montre bien que, déjà, les entreprises françaises se placent, pour certaines en tout cas, dans l’optique d’une loi de notification des pertes de données imminente. Et c’est déjà un changement majeur !