Licence CC 0

Notification des failles de sécurité et droit pénal

Une contradiction du RGPD avec les fondements français ?

Publié :
Auteur :
Catégories :
Temps de lecture estimé : 8 minutes

Ce billet fait partie d’une courte série sur le RGPD, visant à compléter le cours publié il y a peu sur le sujet.

En pleine écriture du cours sur le RGPD, et en consultant une source en ligne, une question m’a frappée, et concerne une certaine contradiction entre un des fondements du droit pénal, le principe de non-auto-incrimination et la nouvelle obligation de notification des failles de sécurité, prévue par le Règlement, et obligeant les entreprises à signaler une faille de sécurité concernant les données personnelles qu’elles stockent.

L’obligation de notification des failles de sécurité

Afin d’éviter des scandales autour des failles de sécurité connues uniquement par l’entreprise concernée, sans que l’ampleur des fuites qu’elle aurait pu provoquer soit établie, le RGPD met en place un principe général de signalement obligatoire des failles de sécurité pour les structures traitant de la donnée personnelle.

Pour rappel, une violation de données, ou faille de sécurité, est basée sur plusieurs critères, et implique :

  • la destruction, la perte, l’altération, la divulgation ou l’accès ;
  • non autorisé ;
  • à des données à caractère personnel ;
  • transmises, conservées ou traitées d’une quelconque manière par un prestataire.

Dans ce cas, il est nécessaire d’avertir l’autorité compétente en matière de protection des données pour l’entreprise concernée ; officiellement, la CNIL est là pour l’aider et jouera en premier lieu un rôle de « pompier » ; les éléments à communiquer sont les suivants :

  • une description de la nature des données ainsi que, s’ils sont connus, les types de personnes touchés par la faille, et leur nombre ;
  • le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues (évidemment, c’est le fondement du Règlement) ;
  • une explication des conséquences possibles et probables de la violation de données ;
  • une description des mesures proposées pour remédier à la violation de données, et des mesures ayant pour effet d’en atténuer les effets négatifs.

Pour la suite de ce billet, il est nécessaire de comprendre qu’une structure n’ayant pas assez protégé les données qui lui ont été confiées, ou qu’elle a collectées, peut être responsable de négligence par l’autorité de contrôle, et ainsi être condamnée à des amendes disciplinaires jusqu’à 4 % de son chiffre d’affaires mondial.

De plus, cette notification est obligatoire, car la non-communication est punie pénalement d’une peine de 5 ans d’emprisonnement et de 300 000 € d’amende.

Une règle générale : l’auto-incrimination en Europe

Le fait de déclarer les failles de sécurité semble alors immédiatement stupide pour une entreprise, puisqu’il consiste globalement à s’infliger des sanctions financières importantes.

En Europe, ce type de pratiques est même normalement interdit, du fait de la Convention Européenne des Droits de l’Homme, et de son article 6 « droit à un procès équitable ». Interprété à la lumière de la jurisprudence de la CEDH (Funke contre France, 25 février 1993, requête 10828/84), il reconnaît un « droit, [pour] tout « accusé » au sens autonome que l’article 6 attribue à ce terme, de se taire et de ne point contribuer à sa propre incrimination ».

Voyons un peu le contexte dans lequel cette jurisprudence s’est établie, afin de savoir si elle est applicable à notre cas : un homme, M. Funke, est arrêté par les douanes françaises et refuse de communiquer des documents concernant son délit, que les douanes le soupçonnent avoir. Pour cela, il sera condamné à une peine de prison, que ne niera ni la juridiction d’appel, ni la cour de Cassation ; arrivé devant la CEDH, cet homme tentera de rétablir le droit à ne pas participer à sa propre incrimination.

En substance, deux éléments sont retenus :

  • il faut qu’il y ait demande de communication de documents (dans le cas présent, d’autres jurisprudences sont plus larges là-dessus) ;
  • la communication de ces documents doit avoir la potentialité de révéler une infraction pénale (ici, douanière).

Ces deux éléments se retrouvent dans le cas de notre obligation de notification des failles de sécurité, cette jurisprudence y est donc applicable et pourrait s’opposer à la légalité interne de la partie correspondante du RGPD.

Une contradiction évidente ?

La contradiction semble si évidente que l’on est en mesure de se demander comment il est possible que cet aspect n’ait pas été relevé lors du vote du Règlement ; à la décharge du législateur, quelques éléments permettant de remettre en cause l’atteinte aux droits et libertés de cette demande de communication.

Tout d’abord, le Règlement sous-entend, sans l’affirmer directement, qu’en cas de communication des éléments, l’entreprise concernée ne serait pas poursuivie. Cet élément ne tient que très peu la route dans ce genre de procédure, puisqu’elle n’est qu’une promesse orale ; rien ne prouve qu’elle sera effectivement mise en œuvre, et ce dans tous les pays de l’UE.

Toutefois, on pourrait se demander si un lien de causalité sera un jour bien démontré entre la communication des documents et la sanction : la CNIL aurait pu découvrir la faille seule, et incriminer la structure sur la base d’autres éléments que ceux qu’elle à elle-même communiqués, s’engouffrant ainsi dans une brèche du droit, risquée car à l’issue incertaine.

Pour finir, la très française Cour de Cassation – dont la jurisprudence vaut ce qu’elle vaut au sujet des droits de l’Homme, comme vu ci-dessus, précise ce « droit de se taire », dans sa jurisprudence du 3 avril 2013 (Crim.)  : « La notification du droit de se taire et de ne pas s’accuser n’est reconnue qu’aux personnes placées en garde à vue ou faisant l’objet d’une rétention douanière. ».

On pourrait donc imaginer que le délit de non-communication soit jugé contraire à la Déclaration, puisqu’il relève du pénal ; mais pas la sanction, même si icelle est liée aux documents communiqués, car cette sanction est d’ordre administratif exclusivement.


Comme cette jurisprudence l’indique, l’état de l’art en la matière est très peu clair, car le RGPD est très jeune ; l’application de la jurisprudence passée concernant le droit pénal ne permet pas d’obtenir entière satisfaction quant à l’issue de cette question. Rendez-vous bientôt, peut-être, devant la Cour Européenne des Droits de l’Homme.

4 commentaires

En l’état, c’est avant tout la Cour européenne de justice qui analysera la légalité de la disposition du RGPD via une question préjudicielle posée par la juridiction française (ou autre) remarquant le pépin lors d’une affaire portée devant elle ou via des analyses doctrinales. Si une plainte est déposée devant la CEDH, elle pourra évidemment s’y mêler mais comme il s’agit du droit de l’Union Européenne, fort probable que la CJUE s’en mêle bien avant la Cour européenne des droits de l’homme.

A voir comment les interactions entre droit national/législation européenne auront lieue. Le législateur européen n’est pas forcément au courant des particularités des législations nationales de 28 Etats. Cela étant, ce sera aux Etats à se mettre en conformité avec le droit de l’UE et non l’inverse.

Tout d’abord, le Règlement sous-entend, sans l’affirmer directement, qu’en cas de communication des éléments, l’entreprise concernée ne serait pas poursuivie. Cet élément ne tient que très peu la route dans ce genre de procédure, puisqu’elle n’est qu’une promesse orale ; rien ne prouve qu’elle sera effectivement mise en œuvre, et ce dans tous les pays de l’UE.

Cela existe déjà, c’est une pratique assez courante au niveau européen surtout dans le droit de la concurrence où ça marche plutôt bien (pratiques anti-concurrentielles), la procédure dite de clémence qui permet une exonération partielle voire totale des sanctions pécuniaires.

C’est une logique similaire (mais pas tout-à-fait identique) que le législateur européen semble vouloir mettre en place.

Édité par Arius

A voir comment les interactions entre droit national/législation européenne auront lieue. Le législateur européenne n’est pas forcément au courant des particularités des législations nationales de 28 Etats. Cela étant, ce sera aux Etats à se mettre en conformité avec le droit de l’UE et non l’inverse.

Tu parles de la jurisprudence C. Cass. ? Dans ce cas, oui, ce n’est pas applicable ici, mais l’idée était de dire "si la Cour de Cassation l’a jugé comme ça en interprétant la DDH, on pourrait imaginer la même chose au niveau européen" ; comme je le dit dans le billet, ça vaut ce que ça vaut…

Cela existe déjà, c’est une pratique assez courante au niveau européen surtout dans le droit de la concurrence où ça marche plutôt bien (pratiques anti-concurrentielles), la procédure dite de clémence qui permet une exonération partielle voire totale des sanctions pécuniaires.

La question étant : ces pratiques sont-elles ancrées dans la loi ? Si c’est le cas, sache que ce ne l’est pas dans le RGPD, même si certains éléments de langage peuvent permettre de la penser.

« Dois-je laisser dire de moi qu’au début de mon procès je voulais le finir et qu’à la fin je ne voulais que le recommencer ? » - Franz Kafka, Le Procès

+0 -0

Avoir des contradictions entre des lois ou un flou pour appliquer correctement deux lois en simultanées n’a rien de nouveau.

C’est justement dans ce domaine là que le pouvoir du juge (en tant que contre pouvoir) intervient pleinement car c’est lui qui va interpréter les lois et trouver un dénouement à cette apparente contradiction (en se basant sur la force de la loi en question, la Constitution primant sur la loi organique par exemple, ou sur l’esprit de la loi si jamais c’est de niveau similaire). Cela peut raboter dans un sens ou dans l’autre les limites des lois concernées.

Et comme le dit Arius, la solution retenue ne sera connue que quand (et si) une affaire de justice à ce sujet apparaît.

Amateur de Logiciel Libre et de la distribution GNU/Linux Fedora. #JeSuisArius

+0 -0

Avoir des contradictions entre des lois ou un flou pour appliquer correctement deux lois en simultanées n’a rien de nouveau.

Bien sûr.

Et comme le dit Arius, la solution retenue ne sera connue que quand (et si) une affaire de justice à ce sujet apparaît.

Bien sûr.

L’idée du billet est juste de montrer que la contradiction existe, en rien d’exposer une solution définitive.

« Dois-je laisser dire de moi qu’au début de mon procès je voulais le finir et qu’à la fin je ne voulais que le recommencer ? » - Franz Kafka, Le Procès

+0 -0
Vous devez être connecté pour pouvoir poster un message.
Connexion

Pas encore inscrit ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte