eux mois après une première condamnation fort médiatisée pour "négligence caractérisée" dans le cadre d'HADOPI, Numerama nous apprenait vendredi la décision de la CNIL de clôturer définitivement sa procédure à l'encontre des ayant-droits. Lancée en juin 2011 suite à la découverte de failles dans le système de leur prestataire TMG, cette procédure avait levé le voile sur plusieurs manquements dans le traitement des données personnelles récoltées.
La CNIL avait mis fin à sa mise en demeure à l'encontre de TMG l'an dernier, tout en précisant continuer son action à l'encontre de la SPRD. Cette dernière s'en sort donc à tour, sans la moindre sanction également. À se demander si quelqu'un se soucie encore de la protection des données personnelles, et plus largement de la législation applicable...
Il ne fait aucun doute que beaucoup ne manqueront de pointer l'ironie de la situation, comparant le sort d'un pauvre Internaute à celui du lobby des ayant-droits. Mais tel n'est pas mon propos. Car il y a, à mon avis, un peu plus intéressant dans cette histoire...
D'abord, alors qu'on nous rabat les oreilles avec les supposés manques de l'arsenal législatif en vigueur, nous voici devant un cas, qu'on pourrait qualifier d'école, dans la non application assez caractérisée de la loi. Car ce que nous avons ici, ce sont deux acteurs, la SPRD d'un côté et son prestataires TMG de l'autre, qui, pris en violation de trois articles de la loi Informatique et Liberté, s'en sortent avec à peine une tape sur les doigts de la part de l'autorité en charge et aucune poursuite ou sanction judiciaire. Peut-être la CNIL entend-elle démontrer une amélioration significative de la situation avec une approche qui se veut, j'imagine, inscrite dans la pédagogique et non la répression. Sauf que la pédagogie, ça va bien un temps, et que dès lors que tout le monde semble avoir compris les données personnelles comme quelque chose dont on peut, sans trop de risque, abuser à loisir et ne pas se soucier de la protection, il semble largement temps de sortir la boîte à claques...
Ensuite, je me souviens d'un propos tenu par un représentant de l'État à l'occasion d'une conférence de presse, comme quoi la sécurité des données personnelles ne serait pas une priorité, comparativement à d'autres enjeux majeurs. Dans le cas présent, il s'agissait de la protection des systèmes dits industriels qui font tourner nos infrastructures critiques et donnent des cheveux blancs à l'ANSSI. Si on peut disserter sans fin sur la pertinence de la comparaison, il y a quand même quelques différences incontestables qui me semblent passer à la trappe quand on s'adonne à ce mélange des genres. En particulier que la protection de données personnelles est un problème sur lequel on a infiniment plus de recul que la vaste question de la sécurisation des systèmes dits industriels plus généralement appelés SCADA. Et qui dit recul, dit expérience, solutions, produits, etc. Et donc bien meilleure capacité à appréhender la question. Partant de là, il est légitime de questionner, sincèrement, notre capacité à parvenir à obtenir une sécurisation efficace des infrastructures vitales, alors que protéger décemment des fichiers de données personnelles semble être le bout du monde pour certains...
Enfin, si on sent bien l'envie d'approcher le problème sous l'angle réglementaire, voire législatif, il pourrait être intéressant de se demander pourquoi ce qui n'a pas marché ces trente dernières années avec la loi Informatique et Liberté devrait mieux fonctionner avec autre domaine. Ou se demander pourquoi cet autre domaine ne devrait pas souffrir, lui aussi, d'un encadrement aussi laxiste que la protection des données personnelles pourtant jugée suffisamment importante pour l'encadrer par la loi. En particulier quand on considère la puissance des lobbys en présence...
Et pendant ce temps, à Bruxelles, on travaille sur une approche fédéraliste du problème de la sécurisation des données personnelles, avec un texte apparemment beaucoup plus contraignant et répressif que ceux en vigueur à l'heure actuelle, et des objectifs pour le moins ambitieux. Au point que certains se demandent déjà comment s'organiser pour commencer à répondre à ce prochain défi, si tant est que ce soit possible.
Je ne sais pas si on peut en appeler à une quelconque variation du "Back to bacis" cher à l'Agence, mais il y a certainement quelque chose de cet ordre à méditer...