Dans le cadre de l’examen en séance du projet de loi adaptant notre législation au RGPD, les sénateurs ont plaidé hier soir pour intégrer dans la loi CNIL une obligation de chiffrement « dès que possible ». Le gouvernement s’y est opposé, en vain.
Hier soir, les sénateurs ont adopté un amendement visant à contraindre les responsables de traitement de données personnelles à les chiffrer « chaque fois que cela est possible ».
Selon le sénateur François Bonhomme (LR), l’idée est de rendre explicite « l'obligation de chiffrer de bout en bout chaque fois que cela est possible ». Un tel chiffrement, a ajouté Esther Benbassa (EELV), « est la seule technique pour lutter efficacement contre les intrusions ».
L’exécutif oppose l’article 32 du RGPD
Nicole Belloubet, garde des Sceaux, s’y est opposée : « L'obligation paraît excessive. L'article 32 du règlement prévoit que le responsable de traitement et le sous-traitant utilisent des mesures appropriées, dont la pseudonymisation ou le chiffrement des données à caractère personnel. C'est au responsable du traitement, sous le regard de la CNIL, de définir lesquelles le sont ».
Selon l’article 32 du RGPD (notre analyse du texte), les responsables de traitements et leurs éventuels sous-traitants ont l’obligation de « garantir un niveau de sécurité adapté au risque ». Le texte suggère la pseudonymisation ou le chiffrement des données à caractère personnel, et l’adoption de « moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ».
Malgré l’opposition du gouvernement, l’amendement a été adopté, avec avis favorable de la rapporteure Sophie Joissains (UC). Pour survivre dans la future loi adaptant notre législation au RGPD, la disposition devra passer le cap de la commission mixte paritaire, chargée d’arbitrer entre la version du projet déjà voté par les députés et celle des sénateurs.
Le chiffrement devant le Conseil constitutionnel
Hasard du calendrier, le Conseil constitutionnel doit rendre le 30 mars une décision importante. L’enjeu ? Savoir si un individu peut refuser de fournir sa clé de déchiffrement aux autorités sans encourir de sanction.
Selon l’article 434-15-2 du Code pénal, celui qui a connaissance d’une telle clé et qui refuse de la transmettre aux autorités judiciaires encourt jusqu’à trois ans d’emprisonnement et 270 000 euros d’amende, dans le cadre d’un crime ou d’un délit.
L’échelle des peines grimpe à cinq ans d'emprisonnement et 450 000 euros d'amende si ce refus est opposé alors que « la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission » de ces infractions.
Devant la Cour de cassation, un certain Malik X a soulevé une QPC considérant que ce régime vient à rebours de son droit au silence et de celui de ne pas s’auto-incriminer. Les juges de la juridiction civile ont estimé qu’en effet, il « pourrait porter atteinte au droit de ne pas faire de déclaration et à celui de ne pas contribuer à sa propre incrimination qui résultent des articles 9 et 16 de la Déclaration des droits de l’homme et du citoyen du 26 août 1789 ».
La CEDH comme la Cour de cassation ont consacré le droit de se taire et de ne pas s’incriminer. Le 30 juillet 2010, le Conseil constitutionnel avait inscrit le droit au silence au plus haut de la hiérarchie des normes, mais sans viser la disposition du Code pénal précitée.
Commentaires (23)
Pas sur que ça ait un intérêt pour tout le monde d’imposer le chiffrement mais c’est dans le sens de l’histoire. A voir maintenant si ça va aller jusqu’au bout…
“Encrypt like it’s 1984”
L’obligation de chiffrement c’est le plus sûr moyen d’avoir des copies de clé partout. :-)
" />
On a déjà vu ce que donne l’obligation des mots-de-passe: des post-it, feuilles, fichiers txt avec les mots de passes dedans.
vive KeePass.
" />
Attention, la prochaine loi imposera un algorithme de chiffrement à base d’ActiveX comme SEED en Corée du Sud.
Dommage que le CC ne se prononce que dans 9 jours ! S’il y a obligation de chiffrement, et obligation de remettre les clés, ça ne sentira pas bon…
mouais.
pas totalement convaincu par cet amendement qui à mon sens est mal rédigé.
Sinon sur l’objet de l’amendement (et pas l’amendement en lui-même, heureusement):
edit: ça va dans le bon sens, c’est le principal, mais je pense que faire peser sur le responsable de la protection des données une obligation de protection “efficace” (et donc lui laisser la liberté de la solution appliquée) aurait été plus judicieux. j’aurais gardé la version RGPD moi. ^^
Bien que favorable à la protection des données personnelles, je suis dubitatif sur le fait d’ajouter deux mois avant l’échéance des exigences techniques dont l’impact sur les systèmes est important. Ils croient vraiment que parce qu’un amendement a été voté, tout va magiquement se mettre en conformité?
J’ai des fois l’impression que le législateur ne se préoccupe pas trop de savoir si ce qu’il vote est réalisable…
Ajoutons une source de chaleur permanente en chiffant / déchiffrant tout.
" />
Après tout, qu’est ce qu’on risque ?
Ça va être rigolo ça quand il va falloir aller négocier les budgets avec la direction
" />
concernant le délai de mise en conformité, il me semble que c’est le décret d’application qui s’en occupe.
bien pour ça que je trouve cet amendement mal écrit.
pour reprendre la métaphore de la maison, à quoi ça sert de mettre un cadenas sur les chiottes? à part faire chier tout le monde (haha lol)?
trop de sécu tue la sécu (je rejoins 127.0.0.1 sur ce point), et entraine un effet inverse: des cadenas avec les clés dessus.
alors que si seules les pièces sensibles sont sécurisées, ça fonctionne.
Chiffrer les bases de données, c’est se protéger de celui qui va perquisitionner tes disques. Le pirate va plutôt s’introduire à distance, utilisant une faille de l’application, celle-là même qui accéde aux données, ayant en elle le moyen de les déchiffrer, parce que c’est son travail de les manipuler.
avec avis favorable de la rapporteure rapporteuse Sophie Joissains…
Parlons français svp.
Cela étant dit, c’est une très bonne nouvelle, voire maintenant si le GVT ne va pas mettre son véto, la tentative de limiter (ou d’interdire) le chiffrement est à la mode en Macronie.
Mais c’est tellement évident le chiffrement… On se demande comment cela n’était pas prévu de base jusque là (Merci Marc pour tes news sur le RGPD et merci à David pour son tuto sur GPG qui complète idéalement cette actualité) et j’adore :
" />
“Et Belloubet s’est loupée”
Pt’ain ça fait partie de mon métier ça… y’a bon ça, on va pouvoir enfin avoir un point d’apui juridique pour mettre enfin en place le minimum vital dans les PME (les TPE c’est trop compliqué et trop coûteux souvent pour elles, ça il faut vraiment les accompagner au cas par cas). Cette fois si on sera peut entendu par les directions.
C’est pas tip top moumoute non plus l’amendement mais bon, comme dit ici, c’est le sens de l’histoire. Essayons de le mettre en branle intelligemment.