Publié le 24/03/2009 Dans Droit Belge
Quand on regarde les actualités qui défraient les chroniques ces dernières années en matière de sécurité, on pense surtout chez nous à des problèmes comme la publication de données confidentielles en 2008 chez Belgacom, a un CD égaré chez Toyota, à des problèmes de piratage de web banking et à l'histoire bien plus récente de Monster qui a eut des problèmes importants de sécurité sur ses sites à travers le monde.
Force est de constater que l'information est devenu une valeur économique en elle même et que les vols, les pertes de données et autres intrusions se multiplient avec parfois des conséquences désastreuses en terme de sécurité et bien sûr d'image pour les sociétés.
Nous sommes bien dans une ère de l'information à tel point que certains sont prêts à risquer leur carrière ou leur liberté pour partir avec des informations compromettantes, on en veut pour exemple le dossier médical volé de la chanteuse Britney Spears par 13 employés d'un centre médical de Los Angeles en espérant le revendre aux médias et en oubliant complètement secret médical et sens de l'éthique.
Ce qui est intéressant de constater sur ces dernières affaires c'est l'étonnante proportion de cas de fuites de données que l'on constate en Angleterre ou aux Etats-Unis comparé à nos pays. En fait, l'explication est simple à souhait. Dans les pays anglo saxons, il existe une loi obligeant les sociétés à déclarer tout vol ou perte de données à un organisme régulateur et d'en informer également les médias.
D'après une étude de Symantec, un email sur 400 contiendrait des données confidentielles, un fichier sur 50 serait exposé par erreur, 4 compagnies sur 5 auraient déjà perdu des données via un vol ou perte de portable et finalement la moitié des sociétés perdent des données via des clés USB. Bref, ce n'est pas la joie et il n'y a pas de raison que seuls les pays anglo saxons soient touchés par ce fléau, la Belgique et la France n'y font pas exception, même si on ne dispose d'aucune statistique officielle.
Si on regarde la législation en vigueur en Belgique, le secteur doit se baser pour le moment sur deux directives européennes, la 95/46/EC appelée Data Protection Directive ainsi que la 2002/58/EC appelée e-Privacy Directive. Ces lois régulent la façon dont doivent être protégées nos données, ce qui est considéré comme confidentiel et surtout ce que doivent faire les sociétés en cas de perte de donnée... rien! En fait, ces lois et leur mise en oeuvre datent d'un décennie qui n'avait pas encore connu l'explosion d'Internet, des bases de données et des échanges numériques.
C'est pourquoi une nouvelle législation est en cours d'élaboration par l'Europe pour revoir les obligations et les devoirs des sociétés en la matière. Un projet de loi qui devrait être voté en 2009 à l'Europe pour être retranscris dans le droit belge en 2010. Les sociétés du secteur technologique seront obligées de communiquer aux autorités de régulation toute perte ou vol de données et risqueront des amendes allant jusqu'à 550.000€ s’ils ne s'exécutent pas, chaque type d'infraction étant largement détaillé dans le projet. S'opposent alors plusieurs lobbies, ceux qui voudraient imposer cette législation à toutes les sociétés quel que soit leur secteur et ceux qui pensent que seules les sociétés télécoms devraient être soumises à ce régime. Sachant que dans les pays anglo saxons, toutes les sociétés sont soumisent au même régime.
En cas de vol ou perte de données, les sociétés seront aussi tenues civilement responsables des conséquences. Deux secteurs pourront alors profiter de cette nouvelle législation pour imposer leurs produits. Le premier est celui des assurances qui pourront couvrir le risque, le deuxième des sociétés comme Symantec qui propose des logiciels de sécurité comme Vontoo racheté à la société du même nom en 2007. Ces suites peuvent en effet garantir une sécurité du stockage, des transferts et imposer des policies aux utilisateurs suivant le fichier. Et vu que la législation pourra exempter de sa responsabilité la société qui peut prouver qu'elle avait mit en place tous les moyens nécessaires pour protéger ses données, il y aura très certainement un calcul à faire entre le coût sur l'image, le coût éventuel d'une perte de données et le coût d'installation de ces suites de sécurité ou d'une assurance le cas échéant
Force est de constater que l'information est devenu une valeur économique en elle même et que les vols, les pertes de données et autres intrusions se multiplient avec parfois des conséquences désastreuses en terme de sécurité et bien sûr d'image pour les sociétés.
Nous sommes bien dans une ère de l'information à tel point que certains sont prêts à risquer leur carrière ou leur liberté pour partir avec des informations compromettantes, on en veut pour exemple le dossier médical volé de la chanteuse Britney Spears par 13 employés d'un centre médical de Los Angeles en espérant le revendre aux médias et en oubliant complètement secret médical et sens de l'éthique.
Ce qui est intéressant de constater sur ces dernières affaires c'est l'étonnante proportion de cas de fuites de données que l'on constate en Angleterre ou aux Etats-Unis comparé à nos pays. En fait, l'explication est simple à souhait. Dans les pays anglo saxons, il existe une loi obligeant les sociétés à déclarer tout vol ou perte de données à un organisme régulateur et d'en informer également les médias.
D'après une étude de Symantec, un email sur 400 contiendrait des données confidentielles, un fichier sur 50 serait exposé par erreur, 4 compagnies sur 5 auraient déjà perdu des données via un vol ou perte de portable et finalement la moitié des sociétés perdent des données via des clés USB. Bref, ce n'est pas la joie et il n'y a pas de raison que seuls les pays anglo saxons soient touchés par ce fléau, la Belgique et la France n'y font pas exception, même si on ne dispose d'aucune statistique officielle.
Si on regarde la législation en vigueur en Belgique, le secteur doit se baser pour le moment sur deux directives européennes, la 95/46/EC appelée Data Protection Directive ainsi que la 2002/58/EC appelée e-Privacy Directive. Ces lois régulent la façon dont doivent être protégées nos données, ce qui est considéré comme confidentiel et surtout ce que doivent faire les sociétés en cas de perte de donnée... rien! En fait, ces lois et leur mise en oeuvre datent d'un décennie qui n'avait pas encore connu l'explosion d'Internet, des bases de données et des échanges numériques.
C'est pourquoi une nouvelle législation est en cours d'élaboration par l'Europe pour revoir les obligations et les devoirs des sociétés en la matière. Un projet de loi qui devrait être voté en 2009 à l'Europe pour être retranscris dans le droit belge en 2010. Les sociétés du secteur technologique seront obligées de communiquer aux autorités de régulation toute perte ou vol de données et risqueront des amendes allant jusqu'à 550.000€ s’ils ne s'exécutent pas, chaque type d'infraction étant largement détaillé dans le projet. S'opposent alors plusieurs lobbies, ceux qui voudraient imposer cette législation à toutes les sociétés quel que soit leur secteur et ceux qui pensent que seules les sociétés télécoms devraient être soumises à ce régime. Sachant que dans les pays anglo saxons, toutes les sociétés sont soumisent au même régime.
En cas de vol ou perte de données, les sociétés seront aussi tenues civilement responsables des conséquences. Deux secteurs pourront alors profiter de cette nouvelle législation pour imposer leurs produits. Le premier est celui des assurances qui pourront couvrir le risque, le deuxième des sociétés comme Symantec qui propose des logiciels de sécurité comme Vontoo racheté à la société du même nom en 2007. Ces suites peuvent en effet garantir une sécurité du stockage, des transferts et imposer des policies aux utilisateurs suivant le fichier. Et vu que la législation pourra exempter de sa responsabilité la société qui peut prouver qu'elle avait mit en place tous les moyens nécessaires pour protéger ses données, il y aura très certainement un calcul à faire entre le coût sur l'image, le coût éventuel d'une perte de données et le coût d'installation de ces suites de sécurité ou d'une assurance le cas échéant