Une proposition de loi des Sénateurs Yves Détraigne et Anne-Marie Escoffier a de fortes chances de chambouler le monde Français de la sécurité. De manière très lapidaire, leur texte vise à rendre obligatoire la présence d’un « correspondant Informatique et Liberté » (CIL) dans pratiquement toutes les entreprises exploitant des fichiers nominatifs, à mettre en œuvre des mesures pour que ce correspondant ne soit pas un homme de paille, et, grenade sur le gâteau, exige une publication d’alerte en cas de fuite d’information avérée. Si le texte passe, c’en est fini de l’impénétrable secret que les banques, administrations, intermédiaires financiers, grands magasins ou organismes de crédit imposent en cas de perte.
Loi utopique ? « Tout indique que ce ne sera pas une proposition-tiroir, puisque sa première lecture est prévue pour le premier trimestre 2010 » réplique Bruno Rasle, Délégué Général de l’Afcdp, association qui regroupe et informe les CIL de notre pays. Les exigences de conformité avec les textes Européens, la nécessité de s’aligner sur les pratiques de bon nombre de pays membres de la Communauté (notamment l’Allemagne, l’Espagne, la Grande Bretagne, aux Pays Bas, en Suède, en Suisse, au Luxembourg) sont autant d’aiguillons qui poussent nos élus à faire avancer les choses.
D’autant plus, pourrait-on ajouter, que les Français prennent peu à peu conscience du long endormissement qui a frappé le pays depuis 1978, date à laquelle a été créée la loi « informatique et libertés ». Poussé par l’exemple Français, dès le début des années 80, les mouvements activistes Allemands (dont le Chaos Computer Club) multiplient les actions poussant leurs élus à rédiger des lois de défense des « libertés informatiques individuelles ». Depuis, non seulement le retard a été comblé, mais il n’est pas rare que les textes adoptés dans ces différents pays aillent considérablement plus loin que ce qui est imposé en France. En Allemagne, cela fait plus de 30 ans qu’existent l’équivalent des correspondants Informatique et Libertés, et il n’est pas rare qu’au fil de ses discours, Alex Türk, patron de la Cnil, cite ce pays en exemple. En Grande Bretagne, bien que les lois sur le sujet soient encore assez floues, les associations bancaires dressent chaque année un bilan précis de la sinistralité des « fuites » de données. Fréquemment, les manchettes du Daily Mirror, du Register ou de la BBC titrent sur les affaires de fichiers, sur telle ou telle perte de clef USB par un militaire ou telle autre fuite d’information ministérielle ou administrative. Le New Scotland Yard lui-même n’est pas épargné. En Espagne, les indélicatesses avec les fichiers nominatifs font pleuvoir des amendes dont le montant est parfois à 5 ou 6 fois plus élevé que la totalité de ceux imposés par la Cnil en l’espace d’un an. Amendes la plupart du temps largement médiatisées au-delà des Pyrénées, alors qu’à l’intérieur de l’hexagone, le fait de livrer un dossier à la presse est une mesure relativement exceptionnelle. Autant de mentalités, de cultures qui contrastent par rapport aux Cultes du Secret Bancaire, du Secret Défense, du Confidentiel d’Entreprise, du Droit de Réserve et autres motifs et bouche cousue que l’on invente de Brest à Strasbourg et de Lille à Marseille.
Un CIL obligatoire, donc, comme le précise l’article 3 de la proposition, dès lors qu’une « autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel et que plus de cinquante personnes y ont directement accès ou sont chargées de sa mise en œuvre. » Un seuil jugé trop bas par certains, trop élevé pour d’autres. Le fait de qualifier un fichier par sa volumétrie plutôt que par sa « sensibilité » peut faire bondir les spécialistes sécurité. Reste à espérer que ce point sera amélioré avant son adoption.
« C’est là , explique Bruno Rasle, une reconnaissance totale du travail des correspondants. D’une simple fonction, le titre de CIL est devenu un métier ». Un métier qui n’est pas toujours simple de pratiquer, car le CIL, malgré une formation qualifiante, est souvent le RSSI d’entreprise, un DSI, un cadre, en bref un personnage à « double casquette ». Or, les pressions que l’on ne peut officiellement pas exercer sur un CIL peuvent frapper n’importe quel cadre, sous n’importe quel prétexte. Une éventualité qui pousse l’Afcdp à demander un statut spécial et protégé pour les CIL. Un statut protégé, cela se fait déjà en Allemagne. Il serait également souhaitable que soient donné au CIL de véritables moyens, à commencer par une formation en permanence entretenue, un peu à la mode des Cissp. Outre ce savoir, un peu plus de pouvoir, autrement dit des leviers permettant de pouvoir s’informer sur la nature de tout fichier nominatif, y compris les plus occultes. Pouvoir également de signaler à la Cnil –sans risque pour le correspondant- tout soupçon d’abus ou constat de mauvaises pratiques volontairement instaurées. A noter à ce sujet que le sixième article précise et insiste sur une « obligation d’information » émise par tout responsable d’un traitement de fichier et à destination du CIL. Serait-ce la fin des « fichiers secrets » ou plus exactement l’amorce d’une possibilité de condamnation pour toute personne constituant un de ces « fichiers secrets » ?
Si l’on peut espérer une telle évolution de la profession au sein du tissu industriel, la chose semble bien plus difficile à appliquer dans l’administration ou les organismes publics. Un fonctionnaire ne risque-t-il pas plus qu’un « civil » de subir des pressions politiques ou hiérarchiques, alors que ce sont précisément ces mêmes administrations et organismes publics qui détiennent, entretiennent et utilisent les fichiers nominatifs les plus importants qui soient ? Et comment imposer un contrôle efficace au sein même d’une administration sans la constitution d’une entité totalement indépendante de la structure concernée ? Une sorte d’unité « bœuf-carottes » de la tenue de fichiers ayant pouvoir d’enquêter au sein de la Police, des Armées, de l’Education Nationale, de l’Administration Fiscale ou Judiciaire. L’idée est un peu trop libérale pour coller avec ce fond de jacobinisme qui caractérise l’Appareil d’Etat, et trop contraignante pour ceux qui souhaiteraient expédier la création et la gestion des fichiers de police par simple décret.
Une loi « anti-fuite »
Vient enfin l’article 7, probablement plus important que l’obligation d’un CIL par entreprise. Il pourrait imposer deux choses majeures. En premier lieu, une « obligation de sécurisation des données ». Terme assez vague pour offrir aux RSSI et DSI le choix des armes, de la politique de mise à jour au chiffrement systématique. Un flou qui pourrait également se retourner contre eux, car rien n’interdirait, en cas d’oubli ou d’impasse sur un moyen technique donné et jugé redondant, d’accuser d’impéritie les responsables d’un fichier ayant eu la malchance de se le faire subtiliser. Le seconde volet de l’article impose l’« avertissement sans délai[à ] la Commission nationale de l’informatique et des libertés » en cas d’atteinte au traitement de données à caractère personnel. De la fuite à l’intrusion, tout peut entrer dans ce cadre. C’est en fonction de cette alerte que la Cnil pourra exiger à son tour que le responsable du traitement de fichier alerte les personnes concernées par cette atteinte. On est très loin de l’obligation de prévenir chaque personne « au moindre doute » comme cela se pratique en Californie, mais cette disposition est tout de même plus conséquente que les réserves et exigences de « fuite avérées » imposées par les textes du Massachusetts. Tout comme ce qui concerne les verbalisations aux manquements sanctionnés jusqu’à présent par la Cnil, le fait d’obliger à rendre public ces fuites est laissé à la libre appréciation de la Commission. Une retenue –une opacité disent les plus radicaux- qui montre à quel point les choses évoluent lentement.
3 commentaires