[cyber-sécurité] l’obligation de sécurisation des données numériques [Suisse et UE]

[mis à jour le 23 février 2017] La question de la sécurisation des données est aujourd’hui franchement d’actualité chez les PME et les groupes (coté client) ainsi chez les professionnels du secteur, prestataires d’hébergement ou de services en ligne et éditeurs de soft en mode SaaS.

A l’heure où le vol des données de Yahoo! est rendu public (plus de deux ans après, ce qui rend la chose véritablement scandaleuse), il peut être utile de rappeler certaines règles légales. Celles d’aujourd’hui et celles de demain : les professionnels ont-ils une obligation légale particulière de sécurisation des données numériques de leurs clients ?

Suisse et UE, même combat pour la sécurisation des données

Pourquoi parler de la Suisse, me direz-vous ? D’abord, parce que j’y étais invité (on ne refuse pas une promenade au bord du Léman) pour sensibiliser des professionnels sur l’aspect règlementaire de la matière. Ensuite et surtout, parce que la Suisse est un des rares pays au monde dont la législation en matière de protection de données personnelles bénéficie officiellement du label « EU compilant » depuis le 26 juillet 2000. 6 jours après l’adoption officielle du Safe Harbor

La loi fédérale sur la protection des données du 19 juin 1992 a permis à la Suisse d’obtenir une décision d’adéquation avec la directive 95/46 du 6 octobre 1995. Ce type de décision de la Commission européenne constate qu’un pays non membre de l’UE offre un « niveau adéquat » de protection des données personnelles compatible avec celui garanti dans l’Union Européenne. Comme pour le Privacy Shield, mais dans le cas de la Suisse, de manière légitime et incontestable.

Par cette décision d’adéquation, l’UE accepte le libre transfert des données depuis l’UE vers la Suisse. Et il en sera de même dès le 25 mai 2018 avec la General Regulation on Data Protection, « sans autorisation spécifique« .

le « coffre-fort numérique » de l’Europe

Avec la fin récente du sacro-saint « secret bancaire », la Suisse ne cache plus sa volonté de devenir le « coffre-fort numérique » de l’Europe. Au sens propre, la Suisse a recyclé un certain nombre de bunkers anti-atomiques en datacenter dernier cri. Installés profondemment dans les montagnes helvètes, disposant d’une énergie de proximité (grâce aux nombreux barrages) et d’un système de stabilisation de la température et de l’hygrométrie d’origine (merci les militaires), les ingrédients de la recette du succès sont tous là. Et la promotion de ces datacenters est assurée sous le label « VigiSwiss », très actif dans sa communication (« le rempart helvétique contre les risques numériques« ).

Alors, un peu de loi suisse + un aperçu de la directive 95/46 + un rappel des obligation qui s’imposeront dans l’UE à compter du 25 mai 2016, date d’entrée en vigueur du Règlement UE 2016 / 679 ?

Saupoudrons avec un brin de législation sur les Systèmes d’Information d’Importance Vitale (qui fleure bon le bleu blanc rouge) et une pointe de Directive 2016 / 1148 « Network Information Security » du 6 juillet 2016 ?

Les sanctions d’un défaut de sécurisation ?

[mise à jour du 9 octobre 2016] Et puisque vous êtes nombreux à me poser la question de la sanction de cette obligation, j’ai été rechercher dans le Code pénal (pour la France) et dans le Règlement UE qui s’appliquera au 25 mai 2018.

Et non, hélas, aujourd’hui, les européens dont les données ont été collectées par Yahoo! en France et transférées aux USA (probablement sur la base du défunt Safe Harbor, remplacé depuis le 1er août 2016 par le scandaleux « Privacy Shield » ), puis collectées de manière illicite par… (on ne sait pas qui, mais surement pas un état comme le prétend Yahoo!)…

Pour la législation française aujourd’hui en vigueur, c’est l’article 34 bis de la loi « Informatique et Liberté »

Pour la Directive 95/46, c’est le grand néant…

Place aux images ?


Un merci spécial à Frans Imbert-Vier et à l’équipe de UBCom, dont la démonstration technique « live » le 20 septembre 2016 à Lausanne a coupé le souffle à plus d’un, moi compris. La cyber-sécurité, ça ne s’improvise pas. Il y a les pros, et les autres. Manifestement.