Le « Paquet télécom » est actuellement amplement débattu au sujet d’amendements relatifs à la riposte graduée. Mais attardons-nous sur une disposition particulièrement intéressante.
Il s’agirait d’introduire dans la directive Européenne 2002/21/CE relative à un cadre règlementaire commun pour les réseaux et services de communications électroniques (directive « cadre ») une disposition prévoyant que tout opérateur de réseau ou de services de communication électronique au public doive avertir leur autorité de contrôle nationale des incidents de sécurité ou de la perte de l’intégrité des données de leurs abonnés, ayant eu un impact significatif.
Aucun texte – jusqu’à présent – au niveau Européen n’impose une telle obligation. En France, il en est de même et les dépôts de plainte des opérateurs ou de tout autre professionnel gérant des données personnelles sont extrêmement rare, alors que toutes les études démontrent que de tels incidents existent (on peut citer par exemple l’étude menée par le Clusif tous les deux ans).
Du point de vue des services d’enquête, une telle mesure serait particulièrement intéressante, car sans ces signalements ou dépôts de plainte, il n’est pas possible de mener des investigations sur ces faits, d’en collecter les preuves et d’espérer en arrêter les auteurs ou de poursuivre, le cas échéant, les investigations avec les collègues d’autres pays.
Du point de vue des clients, une telle mesure permettrait d’avoir une meilleure information sur de tels incidents et, éventuellement, d’envisager des mesures individuelles de sécurisation de ses données personnelles (changer ses mots de passe par exemple). Cela imposera bien entendu de faire une communication précise de ces informations. Mais la notification prévue dans la rédaction actuelle s’arrête à l’autorité de régulation nationale, est-ce suffisant ?
Enfin, il est intéressant de noter que le texte prévoit une sorte de seuil (la notion d’impact significatif), pour éviter d’imposer une obligation de signalement au moindre incident. Peut-être conviendra-t-il dans chaque Etat membre de préciser cette notion, si le texte devait être voté. L’autre élément du débat enfin est de savoir s’il ne faut pas imposer une telle disposition aux professionnels qui ne relèvent pas de la règlementation concernant les opérateurs de communications électroniques.
Le texte est consultable ici, en page 61.
Ce « Paquet télécom » est donc intéressant à suivre dans les mois qui viennent !