Sécurité de l’information : une loi à ne pas négliger

La sécurité informatique est l’une des questions les plus importantes, les plus controversées et son influence est appelée à se développer et à s’étendre à un nombre toujours plus grand de domaines dans la vie. Depuis plusieurs années, les institutions tentent de trouver et de maintenir l’équilibre délicat entre le respect de la vie privée et des libertés individuelles et la protection de ceux qui sont ou pourraient être victimes de délits. L’un des objectifs les plus difficiles est le choix de plateformes partagées, dans un contexte où les technologies et les protocoles se multiplient beaucoup plus vite que les lois ne peuvent être élaborées. En mai, le Gdpr (règlement général sur la protection des données) entrera en vigueur et les entreprises devront s’y conformer afin de ne pas violer les conditions convenues par les États, membres de l’UE.

Sécurité informatique : c’est la nouvelle loi qui protège vos données, droit à l’oubli

Un élément fondamental du nouveau règlement est le droit à l’oubli. La Cour de cassation l’a définie comme un intérêt légitime de toute personne à ne pas rester indéfiniment exposé à l’atteinte supplémentaire portée à son honneur et à sa réputation par la publication répétée d’une information légitimement divulguée dans le passé. En substance, il n’est pas licite de diffuser des informations préjudiciables à l’honneur d’une personne, qu’il s’agisse d’un citoyen ordinaire ou d’une personne connue, surtout s’il s’agit d’informations relatives à des condamnations antérieures. Si un fait a été discuté publiquement et archivé, il n’est plus considéré comme étant d’intérêt public et ne doit donc plus être diffusé à moins qu’il ne devienne d’intérêt public pour une raison quelconque. Mais comment ce droit peut-il être garanti sur Internet, où l’information reste éternelle et est extrêmement difficile à supprimer ? Ce concept, destiné à protéger la vie privée en matière pénale, est inévitablement étendu, dans la pratique, à tous les usages qui peuvent être faits des informations relatives au passé privé d’un individu, qui ont souvent fait l’objet de campagnes d’intimidation dans les médias, avec des conséquences même tragiques. Les avis divergent encore sur ce point.

Pseudonymisation, violations et transparence

Un concept étroitement lié à celui-ci est la “pseudonymisation”, c’est-à-dire le principe selon lequel les informations relatives au profil de l’utilisateur doivent être stockées de manière à empêcher toute identification. Les violations devront être signalées dans les 72 heures et la transparence sera garantie de plusieurs manières, notamment par la création d’un nouveau poste, celui de délégué à la protection des données.

Droits et devoirs des entreprises

Les entreprises qui traitent, pour quelque raison que ce soit, les données d’autres personnes devront fournir un certain nombre de garanties et prendre un certain nombre de mesures. La gestion de leur sécurité informatique sera un élément de grande responsabilité, qui comprendra une analyse des risques de vol ou d’accès illégal aux données et la mise en œuvre de procédures pour les réduire. Pour la gestion de ces risques, il existe des directives nationales standard à suivre. Ces lignes directrices sont contenues dans le cadre national et le cadre Nist. La protection des données et la sécurité de l’information doivent faire partie de la planification des processus commerciaux liés à la fourniture de produits et de services. En bref, toutes les entreprises doivent avoir des normes élevées de protection de la vie privée et disposer de tous les outils de sécurité de l’information pour rendre cette protection efficace. Les utilisateurs auront également toujours droit à la portabilité des données, c’est-à-dire à la migration de leurs données d’un système à l’autre sans que le responsable de la protection des données ou l’opérateur fournissant la plateforme puisse l’empêcher.

Conclusions

Le but du Gdpr est de transférer le contrôle des données personnelles des entreprises aux propriétaires des données eux-mêmes, en mettant en place un système de régulation qui peut garantir à la fois la vie privée des utilisateurs et la liberté d’expression.