Sylvainmetille

AVOCAT

Avocat depuis 2005, Sylvain Métille enseigne à l’Université de Lausanne le droit pénal informatique. Il est actif dans les domaines de la protection des données et du droit informatique au sein de HDC, une étude spécialisée dans le droit des nouvelles technologies et le droit commercial.

Il est l’auteur d’une thèse de doctorat consacrée aux mesures techniques de surveillance et a passé une année à l’Université de Berkeley (USA) pour se familiariser avec la conception américaine de la sphère privée. Sylvain Métille participe régulièrement à des conférences et publie dans diverses revues juridiques, ainsi que sur son blog ntdroit.wordpress.com.

Protection des données: faut-il annoncer toutes ses failles ?

L’Union européenne étend progressivement les obligations d’annoncer les failles de sécurité et autres mises en danger des données personnelles, suivant la pratique de certains Etats américains. Cela a débuté avec l’obligation des fournisseurs de services de communications électroniques d’avertir l’autorité nationale compétente et dans certains cas l’abonné, sur la base sur la directive révisée « vie privée et communications électroniques » (2002/58/CE).

Le projet de règlement général sur la protection des données présenté début 2012 prévoit d’étendre cette obligation à tous les responsables de traitement de données. Il est actuellement débattu devant le parlement européen et pourrait entrer en vigueur en 2015 ou 2016. Il va, à n’en pas douter, fortement influencer la révision du droit suisse de la protection des données. L’annonce prévue devrait être faite à une autorité nationale et directement à toutes les personnes dont les données sont concernées lorsqu’il y a un risque pour la sphère privée de ces personnes.

Plus récemment encore, la dernière proposition de Directive concernant la sécurité des réseaux et de l'information prévoit d’imposer aux opérateurs des infrastructures critiques (services financiers, transports, énergie et santé), aux entreprises clés de l’Internet qui offrent des services dans l’UE (notamment les magasins d'applications en ligne, les plateformes de commerce électronique, les passerelles de paiement par Internet, les services informatiques en nuage, les moteurs de recherche ou les réseaux sociaux), ainsi qu’aux administrations publiques, de signaler les incidents de sécurité significatifs à l’autorité nationale. Il n’est plus ici question de mise en danger de données personnelles mais de prévenir et combattre les perturbations et attaques visant le cyberespace.

Les annonces et la transparence vis-à-vis des failles de sécurité sont certainement le meilleur moyen de détecter les risques et de s’en prémunir. N’empêche qu’il ne faut pas surestimer le pouvoir de ces mesures, en particulier vis-à-vis du citoyen qui, après avoir reçu une dizaine d’annonces de perte éventuelle de données dans lesquelles pourraient figurer les siennes, n’y prêtera plus grande attention. Ainsi après la panique cédera l’indifférence, avec le risque de banaliser des mises en danger bien réelles.

Du même auteur

Les newsletters de Bilan

Le cercle des lecteurs

Le Cercle des Lecteurs est une plate-forme d'échanger sur tout ce qui touche votre magazine. C'est le reflet de vos opinions, et votre porte-parole le plus fidèle. Plus d'info

Image Footer

"Tout ce qui compte.
Pour vous."