Protection des données, l'Europe durcit son arsenal législatif

Les lois sur la protection des données en Europe auraient pu être très strictes. Mais, selon Sophos, les très nombreux amendements déposés risquent de limiter leur efficacité, avant même que les pays européens ne commencent à les appliquer.

Selon l'entreprise de sécurité informatique Sophos, l'Europe aurait pu bénéficier des lois de protection des données les plus strictes au monde si les règles inscrites dans le projet actuel étaient appliquées. Pour aligner la législation avec les technologies numériques, la Commission européenne a proposé, en 2012, de réformer la loi de 1995 sur la protection des données en Europe. Quand le nouveau texte sera approuvé, en principe l'année prochaine, les États membres disposeront encore de deux ans pour mettre en oeuvre ces lois. Toute entreprise contrevenante s'exposera alors à des amendes pouvant atteindre 100 millions d'euros ou au maximum 5 % de son chiffre d'affaires annuel global.

Cette loi s'appliquera à toutes les entreprises opérant dans l'UE, peu importe la domiciliation de leur siège social. « Si elles sont appliquées dans leur forme actuelle, les lois européennes sur la protection des données pourraient être les plus strictes du monde », a déclaré Anthony Merry, directeur de la protection des données chez Sophos, au cours d'une table ronde qui s'est tenue hier à Londres. « Mais celles-ci risquent de perdre leur efficacité », a-t-il averti. « En effet, deux ans après sa mise en chantier, le texte a subi 4 000 aménagements. Et je ne serais pas surpris d'en dénombrer 4 000 autres au cours des deux prochaines années », a-t-il ajouté.

Une évolution attendue

Malgré tout, Anthony Merry estime que ces règlements - modifiés avec retard, puisqu'ils n'avaient fait l'objet d'aucune mise à jour significative depuis 1995 - sont un « pas dans la bonne direction ». Les nouveaux règlements accordent aux citoyens les mêmes droits quand ils sont en ligne et hors-ligne, ils les confortent dans l'idée qu'ils bénéficient d'une protection quand ils sont en ligne, et veillent à ce que les entreprises s'engagent à mieux protéger les données de leurs clients. Les entreprises seront également tenues d'informer l'autorité de surveillance du pays CERT référent de toute violation des données. Contrairement à la France, par exemple, au Royaume-Uni le secteur privé n'a pas obligation de signaler les incidents à l'autorité de surveillance. Seules les entreprises du secteur public sont tenues d'aviser le Bureau du Commissaire à l'information (ICO) en cas de violation grave des données.

En France, le centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques CERT-FR, composante de l'Agence nationale de la sécurité des systèmes informatiques (ANSSI), « est chargé d'assister les organismes de l'administration à mettre en place des moyens de protection nécessaires et à répondre aux incidents ou aux attaques informatiques dont ils sont victimes ». Comme l'indique encore le site du CERT, ses principales missions sont « de détecter les vulnérabilités des systèmes, au travers notamment d'une veille technologique, de piloter la résolution des incidents, si besoin avec le réseau mondial des CERT, d'aider à la mise en place de moyens permettant de se prémunir contre de futurs incidents et organiser la mise en place d'un réseau de confiance ».