Zoom sur la nouvelle législation britannique sur les brèches de sécurité informatique

Publié le 12 février 2010 par Gerardhaas

En matière informatique, le gouvernement britannique considère qu’une brèche de sécurité du système informatique est un risque inacceptable pour les entreprises.

Il prévoit donc de mettre en place pour le 6 Avril prochain, un nouveau texte qui amendera le «Data Protection Act» de 1998, en sanctionnant plus sévèrement les entreprises dont les dispositifs informatiques représentent un risque de perte ou de vol de données personnelles.

Ce qui sera désormais sanctionné, ce sera la fuite ou le risque de fuite de données peu importe que la brèche de sécurité soit volontaire ou accidentelle.

Le gouvernement souhaite ainsi encourager les entreprises à renforcer leurs systèmes de sécurité informatique et les dissuader via cette nouvelle amende dont le montant pourra atteindre 500.000 livres.

Il est vrai que les brèches de sécurité informatique peuvent causer de sérieux dégâts et un grand désarroi chez des milliers de personnes car d’énormes volumes de données personnelles sont stockés et traités en ligne.

Des affaires récentes telles que :

-La divulgation de 25 millions de dossiers du service des douanes et des impôts du gouvernement,

-La perte d’un ordinateur du ministère de la Défense contenant les données bancaires de 3 700 personnes,

-Ou encore d’autres fuites de données ayant affecté plus de 600 000 individus,

conduisent à l’amendement du Data Protection Act qui devrait donc couvrir les fuites de données.

En pratique, observons que les sanctions appliquées en matière de pertes de données financières par la FSA (organisme indépendant de régulation des services financiers), sont plus sévères que celles appliquées par l’ICO (organisme public indépendant qui contrôle le traitement fait par les entreprises, des informations personnelles en leur possession) pour les autres cas.

Ainsi, la FSA a condamné diverses banques à de lourdes peines d’amendes lorsque la protection des informations confidentielles des clients n’était pas assurée c’est ainsi le cas de:

-La Norwich Union Life qui a été condamné à 1 260 000 £ le 17/12/2007

-la BNP Paribas Banque privée condamné à 350 000 £ le 10/05/2007

-La Nationwide Building Society condamné à 980 000 £ le 14/02/2007

En revanche, lorsqu’il s’agit d’infractions commises par des entreprises non financières, l’ICO privilégie d’abord la voie de la mise en conformité et lors des condamnations, le montant des amendes appliquées reste faible.

Sources :

«Data Protection Act» de 1998- Voir le document

«Le livre blanc Mc Afee: Règlementations en matière de fuite de données»- Voir le document