Un député veut que la CNIL puisse constater les failles de sécurité des sites

Établir des constatations depuis n’importe quel espace librement accessible au public sur Internet. Voilà ce que pourrait être autorisée à faire la Commission nationale de l’informatique et les libertés (CNIL) si jamais l’amendement déposé hier par le député François Brottes était adopté par le Parlement. L’objectif ? Que l’autorité administrative puisse être amenée à détecter d’éventuelles failles de sécurité, puis en tirer les conclusions nécessaires. 

Sur les bancs de l’Assemblée nationale depuis plusieurs semaines, le projet de loi sur la consommation continue de faire émerger différents amendements rédigés par les élus du Palais Bourbon. Après le député UMP Lionel Tardy, qui ne veut pas d’un blocage de sites obtenu auprès du juge par la DGCCRF, c’est au tour de François Brottes (PS) de déposer un amendement remarqué. Le parlementaire souhaite en effet que les pouvoirs de la CNIL soient élargis.

Mais pas n’importe quels pouvoirs : ceux de contrôle. « Le cadre juridique actuel ne prévoit la mise en œuvre de ce pouvoir de contrôle (...) que dans le cadre de contrôle sur place, ou de contrôles sur convocation. Ainsi, il n’est actuellement pas possible pour la CNIL, de procéder à des constations unilatérales, notamment en ligne » regrette aujourd’hui l’élu socialiste. Gwendal Le Grand, chef du service de l’expertise informatique de la CNIL, nous expliquait en effet l’année dernière que l’institution est autorisée à effectuer deux types de contrôles. Premièrement, elle peut se rendre dans des structures, sans les prévenir, afin de vérifier sur place si la loi Informatique et Libertés est correctement appliquée. Deuxièmement, des contrôles a posteriori peuvent également être déclenchés, par exemple suite à des plaintes reçues par la CNIL. 

Ces pouvoirs de contrôle s'articulent ensuite avec les pouvoirs de sanction dont jouit l'institution, qui peuvent également s'appliquer en cas de défaut de sécurisation des données personnelles. À cet égard, la CNIL expliquait l’année dernière que les fournisseurs de services de communications électroniques (FAI et opérateurs) sont désormais obligés de notifier des violations de données à caractère personnel tel que prévu par la directive 2002/58/CE. 

Des constatations utiles effectuées depuis Internet 

Ainsi, François Brottes veut que l’autorité de protection des données personnelles ait une nouvelle corde à son arc. L’amendement qu’il a déposé hier vise effectivement à autoriser l’institution à procéder à des contrôles inopinés sur des sites Internet de son choix. « Il permettra ainsi aux membres et agents habilités de la CNIL d’accéder et de se maintenir dans des systèmes de traitement automatisé de données, comme pourrait le faire n’importe quel internaute à l’occasion de sa navigation sur internet » explique le député dans son exposé des motifs. Le but ? « Procéder notamment à la constatation d’une faille de sécurité ».

Sur un plan plus juridique, l’élu souhaite que la loi Informatique et Libertés de 1978 voit son article 44 complété des dispositions suivantes :

« En dehors des contrôles sur place et sur convocation, ils [les membres et agents des services habilités de la CNIL, ndlr] peuvent procéder à toute constatation utile ; ils peuvent notamment, à partir d’un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ; ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle. »

Autrement dit, la CNIL pourrait ainsi établir des « constatations utiles » à partir de ce qui est accessible à tout un chacun sur le réseau, avec pour seule limite de ne pas contourner d’éventuels dispositifs de sécurité. En filigrane, on comprend vite que l’idée est de permettre à l’autorité de vérifier plus fréquemment et plus facilement que les responsables de traitements de données personnelles se conforment aux règles relatives à la sécurisation. Les exemples de sites stockant les identifiants et mots de passe de leurs utilisateurs en clair ayant régulièrement fait face ces derniers temps...

Amendement à la loi Godfrain 

Toutefois, dans certains cas, de telles opérations de constatation pourraient s’apparenter à une intrusion frauduleuse dans un système de traitement automatisé de données, telle que réprimée par les articles 323-1 et suivants du Code pénal. Mais François Brottes a tout prévu ! Un second amendement déposé dans la foulée par le député vise à accorder une irresponsabilité pénale aux membres et agents de la CNIL dans ce cadre bien précis.