Que risquez-vous vous égarez une clé USB, un disque dur, ou si on vous vole les données de votre entreprise ?

Que risquez-vous vous égarez une clé USB, un disque dur, ou si on vous vole les données de votre entreprise ?

Si votre système informatique se fait pirater (comme l’ont été les sites Internet de SONY, Orange, Google, Bercy, le ministère des Finances…), les auteurs de l’attaque ne sont pas les seuls à être inquiétés d’une telle fuite. Les responsables du traitement peuvent en effet avoir à fournir quelques explications à la CNIL. Même sanction, si vous perdez votre clé USB, disque dur externe ou pire, votre ordinateur portable. Et pour cause, si vous manipulez des données qui permettent d’identifier une personne, communément appelées des données personnelles), vous êtes tenus à une série d’obligations de sécurité afin d‘éviter la violation de données à caractère personnel (destruction, perte, altération, divulgation, accès non autorisé). 

 

L’article 34 bis de la loi Informatique et Libertés les oblige par exemple à avertir sans délai la CNIL et à tenir à jour un registre des incidents. En principe, les particuliers, victimes collatérales de cette faille, doivent également être informés sans délai, sauf si la CNIL « a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation ». En clair, pas d’alerte direct des clients si les rustines ont été correctement appliquées.

Plus globalement, l’article 34 de la loi Informatique et Libertés impose au responsable d’un traitement de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Évidemment, cette protection diffère selon la nature des données et des risques présentés par le traitement.

Enfin, selon l’article 226-17 du Code pénal, le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l’article 34 est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.

Etonnant non ?

 

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

 

Source : http://www.nextinpact.com/news/91600-un-partenaire-tf1-pirate-quelles-consequences-juridiques.htm

Extrait de Marc Rees adapté par Denis JACOPINI