L’Europe durcit encore un peu plus les obligations en matière de protection des données. Les pertes et vols d’informations personnelles devaient déjà être signalées aux autorités compétentes. Ce sont les cyber-attaques qu’il faut maintenant déclarer sous 24 heures.

’Union Européenne a mis en place depuis le 25 août 2013, sa nouvelle loi obligatoire sur le rapport des cyber-attaques. Ce texte ne concerne pour le moment que les opérateurs de télécommunications et les fournisseurs d’accès qui devront rapporter sous un délai de 24 heures aux autorités – la CNIL pour la France –  toute fraude, perte d’informations ou accès sans autorisation à des données de clients telles que leurs adresses email, leur numérotation téléphonique ou leurs adresses IP. Cette obligation de déclaration est donc du même ordre que celle imposée par la loi sur la protection des données promulguée en 2012. Depuis cette date, les opérateurs de télécommunications et les fournisseurs d’accès internet doivent en effet informer les autorités nationales compétentes et les abonnés en cas de perte ou de vol de données à caractère personnel.

Pas de délai de transposition

Ce texte étant un règlement, il n’a pas besoin d’être transposé en loi nationale par le législateur : il entre en vigueur automatiquement deux mois après sa publication au Journal officiel de l’Union européenne. En France, les opérateurs de télécommunications et les fournisseurs d’accès à internet ont donc désormais l’obligation de signaler les incidents ayant trait à la perte ou au vol de données, soit à la Commission Nationale Informatique et Libertés (la CNIL), soit à l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI), en fournissant une brève description des éléments d’information concernés et des mesures qui ont été prises ou qui vont l’être pour empêcher la reproduction de l’attaque. Il leur est fait aussi obligation d’informer les victimes des vols éventuels de données. Sont concernés, en particulier, les informations de nature financière, les informations de localisation, les fichiers journaux internet, des historiques de sites web, des courriers électroniques et des listes d’appels téléphoniques.

 Pas de notification si chiffrement

Le seul moyen d’échapper à cette obligation de notification est de systématiquement chiffrer la totalité des données personnelles conservées dans les serveurs. Dans ce cas seulement, même en cas de perte ou de vol de données, l’entreprise sera dispensée de faire un signalement sous 24 heures, car ces informations seront théoriquement impossibles à déchiffrer et à interpréter. Cependant, la Commission va publier une « liste indicative » des mesures techniques à prendre pour mettre en place un chiffrement efficace et réputé incassable. Ces recommandations seront très vraisemblablement mises à jour régulièrement pour suivre l’évolution des technologies et des compétences des pirates.

 Les délégués à la protection des données

La loi actuelle demandait la nomination – facultative – d’un correspondant à la protection des données personnelles dans les entreprises pour veiller à la bonne observation des procédures de protection de ces informations et 10 000 entreprises ou organismes français en avaient désigné un à ce jour. Cette nomination va devenir obligatoire – comme en Allemagne, en Suisse, en Hongrie et en Slovaquie – pour les organismes publics et les entreprises de plus de 250 salariés, sous peine d’une amende non négligeable. Le projet est toujours en discussion et la Commission Européenne espère son adoption d’ici la fin de l’année. Les débats sont vifs tant sur l’obligation de nomination que sur les critères retenus notamment la taille des entreprises assujetties. Les parlementaires sont également soumis à d’intenses pressions de la part de lobbyistes cherchant à faire au contraire diminuer le niveau de protection des données personnelles pour protéger notamment le profilage des consommateurs dans certaines pratiques de cyber-marketing.

Organiser la cyberdéfense

Mais la commission de Bruxelles ne compte pas en rester là. Elle doit étendre l’obligation de déclaration d’incident à l’ensemble des secteurs économiques et FAI. Dans chaque pays de l’Union doit être créé un centre national d’alerte et de réaction aux attaques informatiques (« CERT » en anglais, Computer Emergency Response Team). Doit également être désignée une autorité dotée « de ressources financières et humaines suffisantes pour prévenir et gérer les risques et incidents de sécurité » et qui sera chargée de définir une stratégie et un plan de coopération en matière de cybersécurité, en liaison avec les unités de cyberpolice et les agences de cyberdéfense.

Six secteurs devront prioritairement signaler les cyber-attaques significatives c’est à dire qui « impactent les infrastructures informatiques liées au cœur de métier de l’entreprise ou de l’organisation » : les services financiers (banques, assurances, bourses), les services internet clés (boutiques d’applications, plates-formes de e-commerce, passerelles de paiement en ligne, services de cloud computing, moteurs de recherche, réseaux sociaux), les énergéticiens, les services de santé, les transports et les administrations publiques. Ces alertes auront pour première fonction de mieux faire circuler l’information entre les différentes entités nationales et européennes afin de pouvoir réagir plus vite.

Une coopération renforcée

La Commission Européenne financera pour partie les structures de coopération entre les différentes autorités nationales et les entités européennes compétentes en matière de sécurité : ENISA, CERT-EU, EP3R, Europol, EEAS, Eurojust, EEAS, etc.

Le plan de cybersécurité européen veut également impulser un marché unique pour les produits de sécurité afin de favoriser l’utilisation de technologies reconnues et sécurisées, de manière homogène au niveau de l’Europe. Pour cela, le Commission prévoit la mise en place de standards, de certifications et de bonnes pratiques.

« Au regard de délais très courts imposés par ces nouvelles lois, il n’y a pas de place pour l’erreur : les entreprises et les organisations doivent adopter une stratégie de surveillance et de protection qui leur donne de la visibilité sur chaque activité du réseau », recommande par exemple Jean-Pierre Carlin, directeur général Europe du Sud de LogRythm, un éditeur de logiciels de défense, détection et protection contre les cyber-attaques. Selon lui, la gestion inefficace des données peut aussi mener à un excès de rapports sous 24 heures non pertinents, phénomène qui est déjà constaté aux Etats-Unis où la plupart des incidents sont exagérés par manque de visibilité. Les entreprises et leur partenaires hébergeurs-infogérants, concernés eux aussi au premier chef par ces nouvelles dispositions, doivent donc impérativement se mobiliser car ces obligations vont se généraliser et se durcir, compte tenu du niveau des risques et de l’ampleur possibles des attaques dans un monde de plus en plus connecté.