Intervention de Edouard Geffray

Dans le cadre juridique actuel, non. À compter du 25 mai 2018 et de l'entrée en vigueur du règlement européen, toute faille de sécurité, qu'il s'agisse d'une défaillance du système lui-même, d'une effraction ou du comportement négligent d'un agent – dont je précise qu'il est à l'origine de 43 % des failles de sécurité –, devra être notifiée à la CNIL. En outre, s'il apparaît que cette faille a un effet sur la vie privée des personnes, elle leur sera obligatoirement notifiée également. C'est pourquoi il est important que le niveau de sécurité du SNDS, notamment le chiffrement des données, soit extrêmement élevé. En effet, si les données sont rendues quasiment illisibles, le hacker renoncera à les décrypter et le risque pour la personne sera donc quasiment nul : il ne sera pas nécessaire de lui notifier la faille. En revanche, si les bases sont stockées dans des conditions de chiffrement précaires ou dépassées – ce que nous constatons, hélas !, régulièrement lors de nos contrôles – et que le pirate est en mesure de voir les données en clair, il faudra notifier l'information aux personnes concernées.