The European Legal Context of Personal Data Security
Résumé
Pour uvrer à la protection des données personnelles, dispositions relatives aux conditions de licéité des traitements et dispositions relatives à la sécurité vont de pair. Et pourtant, les dernières sont bien moins connues que les premières. Elles font par exemple lobjet dun article dans la directive de 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, article qui prévoit une obligation de sécurité à la charge du fournisseur dun service de communications, assortie dune obligation dinformation des abonnés en cas de risque de violation de la sécurité du réseau. Le positionnement des ces dispositions est initialement marginal dans le dispositif de protection. Les obligations de sécurité prévues notamment par les directives communautaires sur la protection des données présentent en effet certaines limites, tant dans leur rédaction il sagit dune obligation de moyen dans un contexte de prévention - que dans leur mise en uvre. Au plan national, la lutte contre la fraude informatique prévaut parfois sur la sanction du manquement à lobligation de sécurité. Plus encore, un accès frauduleux est susceptible dêtre réprimé même si le système est mal sécurisé. Au plan international, ainsi que le montre par exemple laffaire relative au transfert des données passagers (dossier PNR), la sécurité ne joue pas un rôle essentiel dans lévaluation du caractère adéquat de la protection " garantie " par les autorités américaines. Lintégration de lobjectif de sécurisation des données dans le contexte global de la sécurisation des réseaux et de linformation ouvre à cet égard de nouvelles perspectives. Dune part, on assiste à la mise en place dune culture de la sécurité qui sappuie notamment sur de nouveaux moyens institutionnels (ENISA) et sur de nouvelles fonctions (en France, le correspondant à la protection des données). Dautre part, on observe un renforcement du cadre juridique. La sécurité est ainsi un des défis auquel le cadre réglementaire des communications électroniques, en cours de révision en 2006, entend mieux répondre, en incluant par exemple dans le champ des obligations dinformation à légard des utilisateurs, les violations réelles des réseaux et non pas seulement les risques de violation. Par ailleurs, lannée 2005 aura été marquée par ladoption de la décision JAI relative aux attaques visant les systèmes dinformation.