Réglementations en matière de fuites de données

Protect what you value.
Réglementations en matière
de fuites de données
Par Greg Day
Analyste en sécurité pour la zone EMEA et expert de McAfee® AVERT® Labs
Réglementations en matière de fuites de données
www.mcafee.com/fr
Sommaire
Résumé. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Introduction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Une base commune : directives de l'Union européenne sur la protection des données. . . . . . . . . . . . . . . . . . . . . . . 4
Une mise en application localisée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Gros plan sur le Data Protection Act au Royaume-Uni. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Autorégulation sectorielle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
A propos de McAfee, Inc.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Réglementations en matière de fuites de données
www.mcafee.com/fr
Réglementations en matière de
fuites de données
Résumé
Introduction
Quel que soit le pays, les fuites de données et la législation
s'y rapportant font l'objet d'importantes discussions dans les
conseils d'administration. Les directives sur la protection des
données promulguées par l'Union européenne ont pour objet
l'harmonisation des actions et objectifs principaux en matière
de protection des informations. Toutefois, c'est à chaque Etat
membre qu'incombe la responsabilité de transposer ces principes dans sa législation locale. De la même manière, une fois
que des réglementations en matière de traitement des données
sont adoptées, chaque pays doit s'appuyer sur ses propres organes législatifs — à savoir son gouvernement ou ses comités de
surveillance sectoriels, ou les deux — pour en assurer la mise
en application. Ainsi, les sanctions pour non-respect de la législation peuvent varier non seulement d'un pays à l'autre, mais
aussi en fonction des différents organismes responsables de
faire respecter celle-ci, et peuvent aller d'une simple mise en
demeure à des peines de prison, en passant par des amendes
sévères.
Ces dernières années, nous avons pu assister à une augmenta­
tion catastrophique du nombre d'incidents liés aux fuites ou
à l'utilisation abusive des données, un phénomène qui, pour
les entreprises, se traduit essentiellement par une perte de
confiance des clients. Ces affaires ont entraîné l'introduction
de nouvelles législations et une application plus stricte des lois
existantes en matière de stockage, de gestion et d'utilisation
acceptables des données. Si les professionnels et les sociétés
du secteur de la sécurité recherchent activement de nouvelles
technologies pour renforcer la protection des données, il
incombe également aux organisations de mieux comprendre
leurs responsabilités sur le plan légal.
Dans de nombreux pays, les législations et réglementations sur
la protection des données et la divulgation des infractions à la
sécurité se concentrent sur la sécurisation des données personnelles. Votre entreprise peut être soumise à la législation du
pays où résident les personnes dont elle conserve les données
et pas uniquement des pays dans lesquels elle exerce des activités commerciales.
Une chose est claire : les réglementations sur la protection des
données et la divulgation des infractions à la sécurité sont un
élément qu'il faut désormais prendre en compte et jouent un
rôle essentiel dans la définition des stratégies informatiques
des entreprises. Ces dernières doivent savoir à quelles lois elles
sont assujetties, comment se conformer à leurs exigences et
quelles seront les conséquences et pénalités en cas de nonrespect.
Face aux innombrables réglementations en vigueur à l'échelle
mondiale, appréhender les pénalités encourues en cas de manquement à chacune d'elles et l'étendue de nos responsabilités
légales constitue une tâche ardue. Le présent livre blanc a pour
objectif d'analyser certains exemples de réglementations ainsi
que leur impact non seulement sur les entreprises locales mais
aussi sur celles ayant des clients internationaux également soumis à la législation locale.
La législation existante couvre différents aspects de la gestion
des données, notamment leur collecte, leur traitement, leur
stockage, leur transfert et leur divulgation accidentelle.
Dans ce livre blanc, nous étudierons les recommandations
de l'Union européenne relatives à la protection des données
et la manière dont elles sont mises en œuvre dans les Etats
membres, et plus particulièrement en Suède, en France et au
Royaume-Uni. Nous analyserons ensuite la loi californienne
SB 1386, première loi d'Etat américaine relative à la divulgation
des violations de sécurité, qui a par la suite servi de modèle à
diverses législations d'autres Etats. Nous tenterons ensuite de
déterminer si les lois d'Etat américaines s'appliquent aux sociétés basées en Europe.
Pour répondre à toutes ces questions, il est important que
l'entreprise étudie les réglementations et la législation en
vigueur dans les pays où elle réalise des activités commerciales,
la répartition géographique de ses clients et les emplacements
où sont stockées les données.
3
Réglementations en matière de fuites de données
Une base commune : directives de l'Union
européenne sur la protection des données
L'objectif des différentes directives sur la protection des
données (95/46/CE, 2002/58/CE et 2006/24/CE) de l'Union
européenne est clairement d'harmoniser les lois relatives à la
protection des données des différents Etats membres et ce, par
le biais des actions suivantes :
Actions prévues par les directives sur la protection des données de l'UE
Action 1
Discussions avec les Etats membres et les autorités chargées de la
protection des données
Action 2
Association des pays candidats aux efforts visant à une mise en
application de meilleure qualité et plus uniforme de la directive
Action 3
Amélioration de la notification de l'ensemble des actes légaux
transposant la directive et notification des autorisations accordées
en vertu de l'article 26, paragraphe 2, de la directive
Action 4
Mise en application
Action 5
Notification et publicité des opérations de traitement
Action 6
Dispositions plus harmonisées en matière d'information
Action 7
Simplification des obligations en matière de transferts
internationaux
Action 8
Promotion des technologies renforçant la protection de la vie
privée
Action 9
Promotion de l'autorégulation et des codes de conduite européens
Action 10
Sensibilisation
www.mcafee.com/fr
Une mise en application localisée
Si l'Union européenne a défini la ligne directrice en matière
de protection des données, il appartient toutefois à chaque
Etat membre d'instaurer et d'appliquer sa propre législation en
s'appuyant sur les directives européennes.
France
En France, c'est en 1978 que la CNIL (Commission nationale de
l'informatique et des libertés) a adopté la première loi sur la
protection des données. Celle-ci a toutefois été amendée en
août 2004 pour inclure des mentions relatives aux technologies
de l'information, aux systèmes de classement des données et
aux libertés individuelles, mais aussi pour se conformer à la
directive européenne 95/46.
Ce décret, modifié une nouvelle fois en mars 2007 (décret
nº 2007-451), prévoit des sanctions strictes et directes. Les
contrevenants s'exposent ainsi à une peine maximale de cinq
ans d'emprisonnement et à 300 000 euros d'amende.
La particularité de la législation française est qu'elle s'articule
autour de la protection des informations personnelles. A cet
égard, toute organisation, française ou internationale, qui collecte et stocke des données sur des ressortissants français, est
soumise aux exigences et aux sanctions prévues par ce décret.
Source : http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm
Le Guide sur la protection de données de l'Union européenne
définit les règles de base suivantes pour le traitement des
données.
Règles de base du Guide sur la protection des données de l'Union
européenne
Règle 1
Les données doivent être traitées de façon loyale et dans le respect
des lois.
Règle 2
Les données doivent être collectées à des fins explicites et légitimes
et utilisées en conséquence.
Règle 3
Les données doivent être pertinentes et ne pas sortir du cadre pour
lequel elles sont traitées.
Règle 4
Les données doivent être exactes et tenues à jour le cas échéant.
Règle 5
Les contrôleurs de données doivent mettre en place des mesures
raisonnables permettant aux personnes concernées par les
données de corriger, de supprimer ou de bloquer les informations
potentiellement incorrectes à leur sujet.
Règle 6
Les données identifiant des personnes ne doivent pas être
conservées plus longtemps que nécessaire.
Règle 7
Chaque Etat membre doit prévoir une ou plusieurs autorités de
surveillance chargées de contrôler le respect de la directive. L'une
des responsabilités de ces entités est de tenir un registre public de
telle sorte que quiconque ait accès aux noms de l'ensemble des
contrôleurs de données et aux types de traitements de données
que ceux-ci effectuent.
Règle 8
Tous les contrôleurs de données doivent en principe avertir les
autorités de surveillance lorsqu'ils traitent des données. Les Etats
membres peuvent prévoir une simplification ou une dispense de
notification pour des types de traitement spécifiques ne présentant
pas de risque particulier. Ces dérogations peuvent également être
accordées lorsqu'un responsable indépendant en charge de la protection des données se voit désigner par le contrôleur, à condition
que cette pratique soit conforme à la législation du pays.
Source : http://ec.europa.eu/justice_home/fsj/privacy/docs/guide/guide-ukingdom_en.pdf
Principes de la législation française sur la protection des
données
• Loyauté de la collecte des données : toute collecte de
données frauduleuse, déloyale ou illicite est interdite
(article 226-18 du code pénal : cinq ans d'emprisonnement,
300 000 € d'amende).
• Finalité des fichiers : tout traitement informatique doit être
effectué conformément à une utilisation clairement définie,
laquelle servira de base pour l'évaluation de la pertinence,
l'adéquation et la proportionnalité des données enregistrées, des catégories de personnes ou des organisations
pouvant disposer d'un accès à ces données et de leur durée
de conservation maximale (articles 226-21 et 226-20 du code
pénal : l'utilisation de données personnelles dans un but
autre que celui justifiant leur collecte et leur conservation
pour une durée supérieure à celle justifiée par leur traitement sont passibles respectivement de cinq ans d'emprisonnement et 300 000 euros d'amende, et de trois ans d'emprisonnement et 45 000 euros d'amende).
• Information des personnes : les personnes dont les données
personnelles sont collectées doivent être informées (1) du
caractère obligatoire ou facultatif des réponses à apporter,
(2) des conséquences éventuelles, à leur égard, d'un défaut
de réponse, (3) des catégories de personnes ou d'organi­
sations susceptibles d'avoir accès à leurs données et
(4) de leurs droits d'accès et de rectification ainsi que des
modalités d'exercice de ces droits (article 2 du décret du
23 décembre 1981 : tout défaut de réponse est passible
d'une amende de 1 500 €). (suite page 5)
4
Réglementations en matière de fuites de données
Principes de la législation française sur la protection des
données (suite)
• Protection renforcée des données sensibles : toute
information à caractère personnel qui, directement ou
indirectement, fait apparaître les origines raciales ou
ethniques, les opinions politiques, philosophiques ou
religieuses, ou les appartenances syndicales des personnes,
ou qui sont relatives aux mœurs de celles-ci ne peuvent être
collectées sans le consentement exprès de l'intéressé. De
telles données peuvent toutefois, pour des raisons d'intérêt
général, être collectées de manière exceptionnelle par
décret en Conseil d'Etat suite à une recommandation de
la CNIL (notamment pour certains fichiers utilisés par les
forces de police). L'article 226-19 du code pénal prévoit pour
tout manquement à ces dispositions une peine de cinq ans
d'emprisonnement et 300 000 euros d'amende.
Source : http://www.cnil.fr/index.php?id=41
Suède
La législation suédoise se révèle quant à elle moins sévère pour
ce qui est des peines d'emprisonnement, mais elle ne définit
aucune limite aux pénalités financières dans sa loi relative aux
données personnelles (SFS 1998:204, octobre 1998). Supervisée
par le Conseil suéduois d'inspection des données, elle prévoit
une peine de six mois d'emprisonnement et/ou une amende en
cas de négligence grave ou intentionnelle, et jusqu'à deux ans
d'incarcération dans le cas d'incidents plus sévères.
La différence principale réside toutefois dans le champ
d'application de la loi qui, comme le montre l'extrait ci-dessous,
dépend de la situation géographique du contrôleur et du fait
que les données sont traitées ou stockées dans le pays ou non.
Loi suédoise relative aux données personnelles
La loi relative aux données personnelles s'applique aux
contrôleurs de données établis en Suède. En règle générale,
la législation suédoise est également applicable lorsqu'un
contrôleur d'un pays tiers (c'est-à-dire non membre de l'Union
européenne et de l'Espace économique européen) utilise du
matériel (des terminaux ou des questionnaires par exemple)
situé en Suède pour le traitement de données personnelles.
Dans ce cas, le contrôleur doit nommer un agent établi
en Suède pour le représenter. Cet agent est alors assimilé
au contrôleur au regard de la loi relative aux données
personnelles.
La loi relative aux données personnelles ne s'applique pas si le
matériel est uniquement utilisé pour le transfert d'informations
entre deux pays n'appartenant pas à l'Union européenne et à
l'Espace économique européen.
Source : http://www.sweden.gov.se/content/1/c6/07/43/65/0ea2c0eb.pdf
www.mcafee.com/fr
Royaume-Uni
Cette année, le Commissaire aux informations britannique
a décidé de revoir la loi relative à la protection des données
(« Data Protection Act ») décrite ci-dessous, afin d'y ajouter
certaines dispositions régissant le non-respect volontaire ou par
négligence de cette loi.
Le 9 mai 2008, l'ICO (Information Commissioner's Office) a publié
un communiqué de presse indiquant que divers amendements
avaient été adoptés http://www.ico.gov.uk/upload/documents/
pressreleases/2008/criminal_justice_and_immigration_act.pdf
Ces amendements avaient déjà été développés en
décembre 2007. Les principaux points de la proposition de l'ICO
sont exposés ci-dessous.
Loi britannique sur la protection des données
Le Commissaire aux informations propose l'introduction d'une
nouvelle peine qui est néanmoins limitée aux atteintes à la
sécurité pouvant être évitées, entraînant un risque sérieux pour
la protection des données et étant motivées par une intention
délictueuse. Celle-ci s'appliquerait donc aux comportements
enfreignant volontairement les obligations imposées par la
loi ou à tout manquement grave dans l'application de ces
obligations.
La forme que pourrait prendre cette peine demandera un
examen approfondi. La création d'un nouveau délit est
évidemment envisageable, bien que certaines alternatives
puissent être plus efficaces. Les éléments pouvant être pris
en compte pour l'établissement d'un nouveau délit sont les
suivants :
1. Un contrôleur de données qui, sciemment ou par négligence,
ne s'acquitte pas des obligations prévues dans la section 4(4)
se rend coupable d'un délit dans la mesure où un tel
manquement expose une personne à des risques importants
de préjudices et dommages moraux.
2. Tout contrôleur de données poursuivi pour un délit prévu
dans la sous-section (1) a la possibilité d'apporter la preuve
qu'il a agi avec la diligence requise pour se conformer aux
obligations prévues dans la section 4(4).
Afin d'éviter toute ambiguïté, le Commissaire aux informations
souhaite préciser qu'il ne cherche pas à associer une peine
privative de liberté à tout nouveau délit. Une amende illimitée
est probablement l'option la plus justifiée. Le Commissaire est
également ouvert à la possibilité que des sanctions autres que
des poursuites judiciaires devant une cour pénale puissent être
préférables. Des sanctions civiles pourraient être plus adaptées
que des sanctions pénales pouvant être appliquées en cour
d'assises. Les pouvoirs de la FSA (Financial Services Authority)
définis dans la loi relative aux marchés et aux services financiers
(« Financial Services and Markets Act 2000 ») peuvent servir de
base de travail pour l'établissement de sanctions civiles.
Source : http://www.ico.gov.uk/upload/documents/library/corporate/detailed_specialist_guides/
data_protection_powers_penalties_v1_dec07.pdf
5
Réglementations en matière de fuites de données
Résumé
www.mcafee.com/fr
L'ICO possède les pouvoirs légaux suivants :
A partir de ces trois exemples, on peut déjà constater que
bien que ces législations soient basées sur les principes de la
directive de l'Union européenne, leur application peut varier
d'un pays à l'autre, tant au niveau de leur champ d'application
que des pénalités encourues en cas de non-observance. Pour
plus d'informations sur le degré d'adoption de la directive
européenne, consultez la page web http://ec.europa.eu/justice_
home/fsj/privacy/law/implementation_en.htm.
Gros plan sur le Data Protection Act au
Royaume-Uni
Examinons de plus près une mise en œuvre spécifique de la
directive européenne, sa mise en pratique, les peines appliquées
à ce jour et les raisons pour lesquelles elle ne représente pas la
seule législation ou préoccupation pour les entreprises exerçant
au Royaume-Uni.
Principes directeurs
La loi britannique sur la protection des données (Data
Protection Act 1998) se base sur huit principes directeurs
pouvant être mis en parallèle avec ceux de la directive de
l'Union européenne :
Principes directeurs
Principe 1
Loyauté et licéité du traitement
Principe 2
Finalité limitée du traitement
Principe 3
Adéquation, pertinence et proportionnalité
Principe 4
Exactitude et tenue à jour
Principe 5
Durée de conservation raisonnable
Principe 6
Traitement en respect des droits
Principe 7
Sécurité
Principe 8
Transfert vers d'autres pays interdit sans une protection
adéquate
Source : http://www.ico.gov.uk/what_we_cover/data_protection/the_basics.aspx
Mise en application
Comme indiqué précédemment, l'application de la loi sur
la protection des données au Royaume-Uni est à la charge
de l'ICO (Information Commissioner's Office). Pour plus
d'informations à ce sujet, consultez le site http://www.ico.
gov.uk/. Toutes les entreprises britanniques doivent être
enregistrées auprès de l'ICO et informer ce dernier sur la façon
dont elles traitent les informations personnelles. L'ICO conserve
ces renseignements dans un registre qu'il met à la disposition
du grand public.
Pouvoirs légaux de l'ICO
Pouvoir 1
Evaluer la conformité des organisations à la loi
Pouvoir 2
Signifier des avis d'information demandant aux organisations de lui fournir des renseignements spécifiques dans un
délai défini
Pouvoir 3
Signifier des avis d'exécution et des mises en demeure en
cas de non-respect de la loi, demandant aux organisations
de mettre en place (ou de cesser) certaines actions définies
afin de garantir leur conformité
Pouvoir 4
Poursuivre en justice les contrevenants
Pouvoir 5
Procéder à des audits afin de s'assurer que les organisations
traitent les données personnelles de façon convenable
Pouvoir 6
Rapporter au Parlement les problèmes importants relatifs à
la protection des données
Source : http://www.ico.gov.uk/what_we_cover/data_protection/our_legal_powers.aspx
Infractions
Les infractions pénales1 prévues sont les suivantes :
• Violations répétées de la législation – Tout contrôleur de
données qui transgresse de manière répétée la Loi et ayant
déjà reçu un avis d'exécution peut être poursuivi pour nonrespect de ce dernier. Cette infraction est passible d'une
amende maximale de 5 000 £ en tribunal d'instance et d'une
amende illimitée en cour d'assises.
• Défaut de notification – Tout contrôleur de données qui
n'informe pas l'ICO de la nature du traitement appliqué aux
données ou des modifications apportées à ce traitement
peut être poursuivi en justice. Le défaut de notification
est une infraction qui relève de la responsabilité stricte. En
d'autres termes, si un contrôleur de données est en situation
d'effectuer une notification, il a obligation de s'y soumettre.
La méconnaissance de la loi n'est pas une excuse acceptable.
Exemples
• En octobre 2005, deux sociétés de recouvrement établies
au même endroit ont été condamnées à une amende de
5 000 £ (peine maximale) et à s'acquitter de frais de justice
d'un montant de 300 £ par les magistrats de la ville de
Manchester pour défaut de notification.
• En avril 2005, un cabinet de recrutement plaidait coupable
d'un défaut de notification en vertu de la section S17 (1) du
Data Protection Act 1998. Il a été condamné à payer une
amende de 100 £ et 700 £ au titre de frais de justice.
1 Source : http://www.ico.gov.uk/what_we_cover/data_protection/our_legal_powers/criminal_
offences.aspx
6
Réglementations en matière de fuites de données
• Possession ou divulgation illicites d'informations
personnelles – L'appropriation, la divulgation ou
l'incitation à la divulgation, volontaire ou par négligence,
d'informations personnelles sans le consentement du
contrôleur de données constituent un délit, au même titre
que la vente ou la mise en vente d'informations personnelles
obtenues illégalement.
Exemples
• Détectives privés obtenant par tromperie des informations
personnelles pour le compte de leurs clients
• Employé d'une banque qui dévoile les informations de
compte bancaire d'un client en dehors du cadre professionnel légitime
Une liste des mesures exécutives prises par l'ICO est disponible
sur son site web, à l'adresse http://www.ico.gov.uk/what_we_
cover/data_protection/enforcement.aspx.
Mesures possibles à l'encontre des entreprises
Les actions2 les plus sévères pouvant être intentées à l'encontre
des entreprises sont les suivantes :
• Avis d'exécution – Ordre formel exigeant d'une organisation
ou d'une personne qu'elle applique les mesures mentionnées
afin de se conformer à la Loi et aux réglementations
connexes. Le non-respect d'un tel avis constitue un délit en
vertu de la section 40 du Data Protection Act 1998 et de
l'article 31 de la loi Privacy and Electronic Communications
[EC Directive] Regulations 2003 (réglementation fondée sur
la directive européenne sur le respect de la vie privée et les
communications électroniques).
• Poursuites pénales – Sanctions en cas d'infraction à la loi
(section 60 du Data Protection Act 1998).
Une étude des actions exécutives précédemment menées par
l'ICO permet de s'apercevoir que l'organisme tend à fournir
des recommandations aux entreprises n'ayant pas respecté les
réglementations en vigueur et à établir avec elles un calendrier
de mise en conformité.
Il semble aujourd'hui clair que l'ICO préfère travailler de
concert avec les entreprises dans le but de corriger leurs
procédures internes et d'améliorer leur conformité à la
législation. Cependant, les récents amendements de la loi
britannique sur la protection des données (décrits plus haut) et
relatifs notamment au caractère volontaire ou négligent d'un
défaut d'application de la loi semblent présager une position
plus ferme de la part de l'ICO à l'égard de certains types
d'infractions spécifiques.
2 Source : http://www.ico.gov.uk/upload/documents/library/data_protection/detailed_specialist_
guides/data_protection_regulatory_action_strategy.pdf
www.mcafee.com/fr
Exemple d'avis d'exécution
Le texte ci-dessous est extrait d'un avis d'exécution envoyé le
23 janvier 2008 par l'adjoint du Commissaire aux informations
de l'ICO à une société anonyme britannique. Cet avis fait suite
à la fuite de dossiers de renseignements personnels d'environ
26 000 employés due au vol de l'ordinateur portable d'un des
cadres dirigeants de l'entreprise lors d'un cambriolage à son
domicile.
L'ICO a appris que les données de l'ordinateur portable
n'étaient pas chiffrées et a donc publié l'avis d'exécution
suivant :
Avis d'exécution de l'ICO
Au vu des éléments cités précédemment, le Commissaire aux
informations vous informe par le présent avis qu'en vertu de
ses pouvoirs, tels que définis dans la section 40 de la Loi, il
exige que le contrôleur de données prenne les mesures décrites
ci-dessous :
Il doit faire en sorte que les données personnelles soient
traitées conformément au septième principe de protection
des données défini dans l'Annexe 1, partie I de la Loi, et plus
spécifiquement que la procédure de chiffrement du disque
dur de l'ordinateur portable commencée en octobre 2007
soit terminée pour le 1er avril 2008.
Source : http://www.ico.gov.uk/upload/documents/library/data_protection/notices/m_and_s_
sanitiseden.pdf
Pénalités en cas de contrôle des données déficient
A l'inverse, les médias ont souvent rapporté des sanctions
sévères infligées à des entreprises en raison d'un contrôle
insuffisant de leurs données. Mais qui est donc à l'origine de
ces peines ?
En 2007 a éclaté l'une des affaires de divulgation de données
les plus graves, à la suite d'une fuite d'informations dans une
société de crédit immobilier britannique, laquelle s'est vu
infliger des sanctions par la FSA (Financial Service Agency).
La FSA est une organisation indépendante s'appuyant sur la
loi relative aux marchés et aux services financiers (Financial
Services and Markets Act 2000) et dépendant directement du
ministre des Finances britannique. Sa fonction consiste en la
régulation du secteur des services financiers au Royaume-Uni et
ses objectifs sont les suivants :
• Confiance dans le marché – Maintien de la confiance dans le
système financier
• Information du grand public – Développement d'une
meilleure compréhension du système financier
• Protection des citoyens – Mise en place d'un niveau de
protection approprié
• Lutte contre la criminalité financière – Diminution des
possibilités d'exploitation d'une entreprise à des fins de délits
financiers
7
Réglementations en matière de fuites de données
Ces deux dernières années, la FSA a imposé plusieurs amendes
pour divers manquements aux exigences définies pour les
institutions financières. En voici quelques exemples :
Montant
1 260 000 £
350 000 £
Société ou
personne
condamnée
Norwich Union
Life
BNP Paribas
Banque privée
Date
Motif de l'amende
17/12/2007
Absence de systèmes et de
contrôles efficaces permettant
d'assurer la protection des informations confidentielles de ses
clients et de gérer les risques de
délits financiers
10/05/2007
Faiblesses de ses systèmes et
contrôles ayant permis à un cadre
de prélever de manière frauduleuse 1,4 million de livres des
comptes bancaires de ses clients
sans y être autorisé
980 000 £
Nationwide
Building
Society
14/02/2007
Absence de systèmes et de
contrôles efficaces pour la gestion
des risques en matière de sécurité
des informations
300 000 £
Capita
Financial
Administrators
Limited (CFA)
16/03/2006
Contrôles antifraudes insuffisants
pour les comptes et identités de
ses clients
Source : http://www.fsa.gov.uk/Pages/About/Media/Facts/Fines/2006.shtml
www.mcafee.com/fr
Au Royaume-Uni, des affaires comme la divulgation de
25 millions de dossiers du service des douanes et des impôts
(« Her Majesty’s Revenue and Customs ») du gouvernement
ou celle de la perte d'un ordinateur du ministère de la
Défense contenant les données bancaires de 3 700 personnes,
ainsi que d'autres fuites de données ayant affecté plus de
600 000 individus, ont encouragé l'amendement du Data
Protection Act afin de couvrir également les fuites de données
ou l'adoption d'une loi nationale sur la divulgation des
incidents liés à la sécurité.
Le Comité des sciences et des technologies (Science and
Technology Committee) de la Chambre des Lords préconise ce
qui suit dans son cinquième rapport pour la session 2006-2007.
Recommandations du Comité des sciences et des technologies de la
Chambre des Lords
5.55
Nous considérons également qu'une loi sur la notification des divulgations de données constituerait l'une des avancées majeures en matière
de renforcement de la protection des données personnelles sur Internet.
Nous encourageons le gouvernement, sans attendre l'intervention de la
Commission européenne, à accepter le principe d'une telle loi et à entamer de toute urgence la procédure de concertation afin de déterminer le
champ d'application de la future loi.
5.56
Nous estimons qu'une loi sur la notification des divulgations de données
devrait comprendre les points clés suivants :
• Définition concrète des divulgations de données, incluant à la fois
un seuil pour la sensibilité des données concernées et les critères
d'accessibilité de ces données
Il est clair que la capacité de la FSA d'imposer des pénalités
financières importantes en cas d'infraction au Data Protection
Act est sans doute attribuable au fait qu'elle est l'autorité de
régulation financière du pays.
Sanctions potentielles dans d'autres secteurs
A quelles pénalités peut être exposée une entreprise qui
n'appartient pas au secteur financier ? Aucune législation
spécifique aux fuites de données n'a pour le moment vu le
jour, que ce soit au Royaume-Uni ou en Europe. En revanche,
aux Etats-Unis, certains Etats ont adopté des lois similaires à la
législation de Californie SB 1386, qui oblige les administrations
et entreprises californiennes à informer les citoyens ou clients
de tout incident de sécurité entraînant la divulgation de leurs
informations personnelles non chiffrées.
• Système de rapports centralisé, uniformisé et obligatoire
• Règles claires sur le fond et la forme des messages de notification,
définissant de manière précise la nature de la violation de sécurité et
proposant aux personnes concernées des conseils sur les mesures à
prendre pour gérer au mieux l'incident
5.57
Nous conseillons également que le gouvernement examine de manière
urgente l'efficacité de l'ICO dans l'application de bonnes pratiques
de protection des données auprès des entreprises. Le Commissaire
aux informations voit actuellement son travail ralenti par un manque
de ressources, un processus exécutif en deux temps fastidieux et une
inadéquation des peines en cas de condamnation. Le gouvernement
a exprimé sa volonté de traiter la question des peines pour un type
précis d'infraction. Nous recommandons cependant qu'il réexamine
les sanctions financières encourues pour l'ensemble du régime de
protection des données de même que les ressources et les procédures
exécutives. Ces dernières doivent prévoir la possibilité de procéder à des
audits aléatoires des mesures de sécurité adoptées par les entreprises et
organisations conservant des données personnelles.
Source : http://www.publications.parliament.uk/pa/ld200607/ldselect/ldsctech/ldsctech.htm
Loi SB 1386 (Peace) / AB 700 (Simitian) de 2002
Avis de violation de la sécurité : la présente loi exige de toute entreprise ou
administration conservant sous forme informatisée des informations à caractère
privé qu'elle dévoile tout incident de sécurité entraînant la divulgation de ces
données à tous les citoyens californiens dont les informations personnelles non
chiffrées ont été (ou dont on peut raisonnablement supposer qu'elles ont été)
interceptées par une personne non autorisée. Cette notification donne aux
citoyens la possibilité de prendre des mesures préventives nécessaires pour se
protéger d'une éventuelle usurpation d'identité.
Au moment de la rédaction du présent document, les
recommandations relatives à une loi sur les fuites de données
au Royaume-Uni avaient été rejetées par le Parlement.
Toutefois, au vu des incidents ayant eu lieu en 2007 et
largement médiatisés, on peut supposer que ces propositions
seront à nouveau d'actualité dans un futur proche.
Source : http://www.privacy.ca.gov/leg2002.htm [Article 915 / 2002]/[Article 1 054 / 2002]
8
Réglementations en matière de fuites de données
L'Union européenne a également déposé des propositions de
directive sur la notification d'atteintes à la sécurité, sous la
forme d'un document publié en août 2007. L'extrait ci-dessous
laisse toutefois penser que les mesures ne s'appliqueraient
qu'aux fournisseurs d'accès Internet (FAI) et aux opérateurs
réseau.
Recommandations de l'Union européenne sur la divulgation des
violations de sécurité
Article 2 : modification de la directive « Vie privée et communications
électroniques »
Les objectifs des modifications proposées sont les suivants :
Divulgation par les opérateurs réseau et les fournisseurs d'accès Internet
des violations de sécurité
• Article 4(3) : les utilisateurs finaux doivent être informés de toute violation de
sécurité entraînant une fuite ou une exploitation de leurs données personnelles, ainsi que des précautions disponibles ou conseillées permettant de minimiser les pertes économiques éventuelles ou les dommages sociaux pouvant
résulter de cette atteinte à la sécurité.
• Article 4(4) : un niveau minimum d'harmonisation doit être garanti en
permettant à la Commission, le cas échéant, d'adopter des mesures de mise
en œuvre techniques dans les domaines de la sécurité et de divulgation des
violations de sécurité, en tirant parti d'avis d'experts fournis par l'autorité
compétente.
Source : http://www.ec.europa.eu/information_society/policy/ecomm/doc/library/proposals/
dir_citizens_rights_en.pdf
Application des lois d'autres pays au Royaume-Uni
Nous venons d'examiner les législations britannique et
européenne telles qu'elles s'appliquent aux entreprises basées
au Royaume-Uni. Voyons à présent comment les entreprises
britanniques exerçant des activités commerciales à l'étranger
sont affectées par les lois des pays concernés et dans quelle
mesure ces lois sont applicables.
Le problème est que chaque législation est différente et que
son application dépend de la manière dont les textes sont
rédigés et des intérêts qu'elle défend. Ainsi, la législation
californienne sur la divulgation des atteintes à la sécurité vise
principalement à la protection des individus, et s'applique ainsi
à toutes les entreprises, qu'elles soient implantées ou non en
Californie.
www.mcafee.com/fr
Pour bénéficier d'une vision globale de la législation et des
peines associées, il est essentiel de vérifier non seulement les
lois applicables dans le pays où est situé le siège social d'une
entreprise, mais aussi les lois des pays ou Etats dans lesquels
celle-ci exerce une activité commerciale.
Autorégulation sectorielle
Après avoir étudié les aspects légaux des fuites de données,
examinons l'autorégulation sectorielle. Le standard PCI DSS
(Payment Card Industry Data Security Standard) en est l'un
des meilleurs exemples. Les transactions électroniques sont
devenues incontournables dans le monde du commerce, mais
les transactions frauduleuses sont malheureusement légion. Le
standard PCI a vu le jour lorsque VISA, American Express, Diners
Club, JCB et Discover se sont associés pour définir des exigences
de sécurité afin de protéger les informations bancaires de
leurs clients. Il s'applique à toute banque acquéreuse, à
tout commerçant acceptant les cartes de paiement et à tout
fournisseur de services stockant ou transmettant des données
de carte de crédit ou de transaction pour leur compte.
Selon la taille de l'entreprise, le mécanisme d'autorégulation
intervient ou l'évaluation est réalisée par un expert certifié
externe. Toutefois, en cas de divulgation de données, toute
organisation est soumise au contrôle d'un vérificateur externe
et peut se voir infliger des pénalités financières par l'organisme
de crédit concerné. Un calendrier de mise en conformité et les
actions requises sont ensuite définis. Pour plus d'informations,
visitez le site web de chaque membre du consortium. Pour Visa
Europe, consultez la page web http://www.visaeurope.com/
aboutvisa/security/ais/main.jsp. Vous pouvez également visiter
le site web du PCI Standards Council, à l'adresse
https://www.pcisecuritystandards.org.
L'affaire T.J. Maxx
L'un des scandales d'atteinte à la sécurité des données les plus
coûteux de ces dernières années s'est produit l'an dernier chez
T.J.X. Co., société mère de la chaîne de magasins T.J. Maxx. Des
enquêtes ont en effet révélé que la société ne respectait pas le
standard PCI DSS.
Loi californienne sur la divulgation des atteintes à la sécurité
Cette loi, effective depuis le 1er juillet 2003, oblige toute administration,
personne ou entreprise exerçant une activité commerciale dans l'Etat de
Californie, possédant ou ayant sous licence des données informatisées
incluant des informations personnelles, d'informer, selon les méthodes
définies, de toute atteinte à la sécurité de ces données tout citoyen californien
dont les informations personnelles non chiffrées ont été (ou dont on peut
raisonnablement supposer qu'elles ont été) interceptées par une personne non
autorisée.
Source : http://info.sen.ca.gov/pub/01-02/bill/sen/sb_1351-1400/sb_1386_bill_20020926_
chaptered.html
9
Réglementations en matière de fuites de données
Résumé du vol de données dont a été victime T.J. Maxx
• Un consultant travaillant pour TJX s'est aperçu que la société n'était pas en
conformité avec le standard PCI, et en particulier qu'elle ne respectait pas neuf
des 12 obligations imposées par le standard. D'après ce consultant, la plupart
étaient des « défaillances graves ».
• « Après avoir identifié l'emplacement de stockage des données sur les serveurs
de TJX, l'intrus a utilisé la connexion haut débit de TJX au Massachusetts pour
transférer ces données vers un autre site Internet » (basé en Californie). Plus de
« 80 Go de données conservées de manière inadaptée par TJX ont été transférés
de cette façon. Personne chez TJX ne s'est aperçu d'un tel transfert. »
• En mai 2006, un programme de capture de paquets (renifleur) a été installé
sur le réseau de TJX par des cybercriminels. Pendant sept mois, il n'a jamais été
détecté et a continué à « enregistrer des données sensibles sur les titulaires de
cartes bancaires alors transmises en clair par TJX ».
• En 2004, avant le début des attaques, un rapport a été envoyé à TJX faisant
état de sa situation de conformité aux impératifs de sécurité et indiquant que
« de nombreuses défaillances graves avaient été décelées au sein de TJX, ainsi
que certaines infractions spécifiques, qui pour la plupart n'avaient pas été
corrigées ».
• Lors de sa déposition, ce consultant (dont le nom n'a pas été dévoilé) a déclaré
« n'avoir jamais vu un tel manque de contrôle et d'enregistrement des activités
chez un commerçant de niveau 1 ».
• « Ce détournement de données concernait plus de 100 millions de numéros
de cartes de crédit et de débit différentes, c'est-à-dire deux fois le nombre
de cartes impliquées lors de la plus importante affaire de divulgation
d'informations qui a éclaboussé le pays à ce jour. »
• Certains documents ont confirmé que les sociétés Visa et MasterCard ont
tous deux infligé des pénalités financières à TJX. Visa a imposé une « amende
substantielle » suite à cet épisode, le qualifiant de « violation monumentale »
des procédures de sécurité. Les montants des amendes n'ont pas été dévoilés.
Source : http://www.eweek.com/c/a/Security/TJX-Intruder-Moved-80GB-of-Data-WithoutDetection/ - 25 octobre 2007
Un coût et des dégâts gigantesques
L'on estime que cette violation de sécurité a touché entre 48
et plus de 100 millions de numéros de cartes de crédit et de
débit (suivant les articles). T.J. Maxx a néanmoins indiqué dans
son rapport annuel que l'impact de cet incident s'élèverait
à 168 millions de dollars, non pas en raison des sanctions
financières, mais des améliorations de sécurité nécessaires.
Communiqué officiel – Le coût de l'affaire TJX
La déclaration officielle de TJX quant au montant de ses
besoins en réserve liquide indique qu'elle correspond à
une « estimation des pertes probables, selon des principes
de comptabilité généralement acceptés et basés sur les
informations à la disposition de la société à la date du
14 août 2007, incluant une évaluation des pertes financières
totales et estimées suite aux poursuites, procédures, enquêtes
et autres réclamations en cours, ainsi que les frais de justice et
autres dépenses découlant de l'intrusion subie ».
www.mcafee.com/fr
Conclusion
Comme nous avons pu le voir, les sanctions légales encourues
ne sont qu'un des éléments à prendre en compte lors d'une
analyse des risques liés aux incidents de fuites de données. Les
coûts que représentent les violations de sécurité ne sont en
effet pas négligeables. Certaines estimations ont par exemple
démontré que l'incident subi par le service des douanes et des
impôts (HMRC) britannique avait coûté plus de 600 millions
de livres (http://www.itpro.co.uk/news/170937/will-hmrcbreach-cost-625-million.html). Cette somme était constituée
de l'accumulation d'un certain nombre d'amendes et de frais
divers, que nous avons répartis en cinq catégories par souci de
simplicité :
• Coûts associés à la récupération des données – Frais de
recherches physiques, d'analyses électroniques et de
surveillance de la réapparition des données
• Coût de la notification – Frais d'expédition et de
conditionnement des documents envoyés à chaque personne
afin de l'informer de l'incident et des actions correctives à
entreprendre
• Coûts des poursuites – Sommes dues aux personnes dont les
données ont été perdues
• Coûts des analyses et des mesures correctives – Mesures
prises pour empêcher qu'un incident semblable se
reproduise, incluant la modification des stratégies,
l'introduction de nouvelles technologies et la formation du
personnel
• Coûts liés à la détérioration de l'image de marque – Coûts
probablement les plus difficiles à évaluer, mais qui ne doivent
pas être sous-estimés
Comme le montre ce livre blanc, l'impact des atteintes à la
sécurité des données est encore difficile à appréhender, dans
la mesure où celles-ci touchent de nombreuses questions
et soulèvent nombre de préoccupations pour toutes les
entreprises. Dans un monde où les données revêtent désormais
une valeur semblable à celle de l'argent, les entreprises
doivent porter une attention scrupuleuse à la manière dont
elles recueillent, traitent, stockent et transfèrent ce bien
précieux. Elles ne peuvent en effet plus ignorer l'importance
de la sécurité des informations, puisque toute négligence les
s'expose à d'énormes risques et pertes financières.
Source : http://storefrontbacktalk.com/story/081507tjx.php - 15 août 2007
10
Réglementations en matière de fuites de données
www.mcafee.com/fr
Cela étant dit, quelle est la stratégie à adopter concrètement ?
L'un des aspects importants de votre stratégie de
gestion des risques de sécurité est l'établissement d'une
topographie précise de vos bureaux locaux, de vos clients
et des emplacements de stockage de vos données. Ces
informations vous permettront de déterminer les législations
et réglementations relatives aux contrôles et aux fuites
de données qui s'appliquent à votre activité. Il s'agit de la
première étape vers une gestion des risques intelligente et la
mise en place d'une stratégie adaptée qui vous permettront de
faire face aux incidents de sécurité.
A propos de McAfee, Inc.
Basé à Santa Clara en Californie, McAfee Inc., la première
entreprise au monde entièrement vouée à la sécurité
informatique, fournit des solutions et des services proactifs
réputés assurant la sécurisation des systèmes et des réseaux
dans le monde entier.
McAfee met ses compétences inégalées en matière de
sécurité et son engagement envers l'innovation au service des
entreprises, du secteur public et des fournisseurs de services
pour les aider à bloquer les attaques de pirates, à prévenir les
perturbations dans le flux des activités ainsi qu'à évaluer et à
améliorer en continu leurs défenses. www.mcafee.com/fr
McAfee et/ou les autres marques citées dans ce document sont des marques commerciales ou des marques commerciales déposées de McAfee,
McAfee, Inc.,
Tour Franklin, La Défense 8,
92042 Paris La Défense Cedex,
France,
+33 1 47 62 56 00 (standard)
www.mcafee.com/fr
Inc. et/ou de ses sociétés affiliées aux Etats-Unis et/ou dans d'autres pays.
La couleur rouge McAfee utilisée pour identifier des fonctionnalités
liées à la sécurité est propre aux produits de la marque McAfee. Toutes
les autres marques commerciales déposées ou non déposées citées dans
ce document sont la propriété exclusive de leurs détenteurs respectifs.
© 2008 McAfee, Inc. Tous droits réservés.
1-na-cor-pc-wp-001-0808
11