Accueil > Juridique, Pénal, Web > De la divulgation par mégarde de données personnelles

De la divulgation par mégarde de données personnelles

31 août, 2009

Il y a quelques jours Pcinpact faisait état des problèmes d’une mutuelle avec une liste d’adresses e-mail de ses adhérents. Cette liste était sur le serveur internet de la mutuelle et a été scannée par le robot d’indexation de Google. De ce fait, les adresses ont été récupérées par un spammeur qui a inondé des adhérents de messages. C’est d’ailleurs à cause de l’augmentation de ces spams qu’une des victimes s’est aperçue, après une simple requête sur Google de la facilité d’accès à cette liste d’adresses emails.

D’un point de vue strictement technique, il semble que le fichier en cause n’était pas protégé contre une indexation par les moteurs de recherche. L’utilisation d’un simple fichier robots.txt garantie pourtant cette absence d’indexation. Ce fichier robots.txt n’aurait de toute façon pas été efficace contre les scripts des spammeurs qui ne tiennent pas compte des indications fournies. Un autre moyen de protéger ces informations en ligne aurait été la mise en place d’un htaccess interdisant non seulement l’indexation mais également l’accès aux fichiers ainsi protégés. Là encore il semble que cette solution n’a pas été retenue par les personnes en charges de la maintenance du site.

Enfin, une troisième méthode est beaucoup plus sûre que les deux autres : ne mettre en ligne que les données indispensables à l’exclusion de toutes les autres. Cela est d’autant plus vrai pour des données sensibles telles que les adresses emails de ses adhérents. Cette simple précaution est rarement prise si l’on considère la facilité avec laquelle il est possible de trouver des listes d’adresses emails et de coordonnées au mieux d’une simple requête dans un moteur de recherche. Au delà des désagréments que cela engendre pour ses adhérents ou clients ou autres, cela témoigne de la part de la société  prise sur le fait d’un manque de culture quant aux enjeux que présentent la sécurité informatique.

Cette absence de sécurisation des adresses emails et de manière plus générale des données personnelles présente également un enjeu juridique à ne pas négliger. En effet, aux termes de l‘article 34 de la loi n°78-17 du janvier 1978 relative à l’informatique, aux fichiers et aux libertés « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès« . On le voit l’entreprise a, par le biais de ses représentants, une obligation de protection des données personnelles qui lui sont confiées.

C’est sur le responsable du traitement que pèse cette obligation. Le responsable du traitement est le représentant légal de la société ou son délégué, lequel a le pouvoir d’engager la société. Ce n’est donc pas la responsabilité des webmestres qu’il faut rechercher dans le cas présent. L’obligation posée par la loi est une obligation de résultat et non de moyen. Les manquements à cette obligation de préservation de la sécurité des données personnelles est sanctionnée par le code pénal. L‘article 226-17 prévoit ainsi que « le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 € d’amende« .

La mise en ligne d’un fichier informatique contenant des données personnelles sans précaution particulière est une infraction pénale. Le fait d’utiliser un fichier robot.txt pour les protéger n’est pas de nature à exonérer le responsable d’un traitement de sa responsabilité. Seul la mise en place d’un fichier htaccess nécessitant le recours à un mot de passe sera suffisant. Le mieux étant bien entendu de ne pas mettre les données en ligne.

La responsabilité pénale n’est pas la seule à pouvoir être mise en cause. La responsabilité civile peut également être engagée. Il faut dans ce cas prouver 3 choses :

  • la faute : dans le cas présent la présence en ligne du listing de données personnelles;
  • le dommage : ici l’augmentation du spam dans la boîte à lettres des clients ;
  • un lien de causalité entre la faute et le dommage : ce lien peut être relativement difficile à prouver : tout dépend du volume passé et présent de spams dans les boîtes des différents clients.

En tout état de cause, ce n’est pas la question juridique qui sera mise en avant mais bien plus la question de la confiance envers l’entreprise. Cette confiance risque d’être durablement affectée. Si tel est le cas, les considérations juridiques passent au second plan.

Catégories :Juridique, Pénal, Web Étiquettes : ,
Les commentaires sont fermés.
%d blogueurs aiment cette page :