Intervention de Edouard Geffray

Réunion du 24 janvier 2017 à 14h00
Mission d'évaluation et de contrôle des lois de financement de la sécurité sociale

Edouard Geffray, secrétaire général de la Commission nationale de l'informatique et des libertés :

Dans le cadre juridique actuel, non. À compter du 25 mai 2018 et de l'entrée en vigueur du règlement européen, toute faille de sécurité, qu'il s'agisse d'une défaillance du système lui-même, d'une effraction ou du comportement négligent d'un agent – dont je précise qu'il est à l'origine de 43 % des failles de sécurité –, devra être notifiée à la CNIL. En outre, s'il apparaît que cette faille a un effet sur la vie privée des personnes, elle leur sera obligatoirement notifiée également. C'est pourquoi il est important que le niveau de sécurité du SNDS, notamment le chiffrement des données, soit extrêmement élevé. En effet, si les données sont rendues quasiment illisibles, le hacker renoncera à les décrypter et le risque pour la personne sera donc quasiment nul : il ne sera pas nécessaire de lui notifier la faille. En revanche, si les bases sont stockées dans des conditions de chiffrement précaires ou dépassées – ce que nous constatons, hélas !, régulièrement lors de nos contrôles – et que le pirate est en mesure de voir les données en clair, il faudra notifier l'information aux personnes concernées.

Aucun commentaire n'a encore été formulé sur cette intervention.

Inscription
ou
Connexion