Les hackers éthiques n'ont plus d’excuses de ne pas respecter la protection des données
Le Préposé fédéral à la protection des données et à la transparence (PFPDT) s'est adressé aux hackers éthiques. Dans un document, il explique ce à quoi ils doivent veiller pour ne pas entrer en conflit avec la loi sur la protection des données.
Lorsque les hackers éthiques s'attaquent aux systèmes informatiques, ils n'ont que de bonnes intentions. Néanmoins, il arrive que les hackers white hat, comme on les appelle aussi, enfreignent les lois locales dans le cadre de leurs activités.
Le Préposé fédéral à la protection des données et à la transparence (PFPDT) s'est penché sur les activités de ces hackers éthiques. En résulte une fiche d'information avec des propositions d'action via lesquelles l'autorité souhaite les «sensibiliser sur la nature de leurs activités en regard du cadre juridique dans lequel elles s’inscrivent, en particulier du point de vue de la protection des données».
Complément aux règles du NCSC
Le PFPDT précise dans son aide-mémoire qu'il ne souhaite pas évaluer les activités des hackers white hats. Et il précise que le document s'adresse exclusivement aux personnes qui «s’emploie à détecter des failles dans une optique bienveillante», mais qui agissent aussi «en dehors de tout cadre et à l’insu de l’exploitant du système». Le piratage activiste, par exemple le blocage d'un site web à des fins de protestation, n'entre pas dans la définition, pas plus que le piratage d'un système pour en extraire des données à des fins personnelles. Les hackers qui agissent avec l'accord de l'exploitant du système ne font pas non plus l'objet de la fiche d'information.
Le PFPDT rappelle ensuite l'existence de la plateforme de déclaration mise en place par le Centre national de cybersécurité (NCSC) pour la divulgation coordonnée des vulnérabilités (Coordinated Vulnerability Disclosure, CVD) et fait remarquer que les conditions-cadres et les règles qui y sont énumérées doivent être considérées comme un complément à sa fiche d'information.
Principes et risques
Dans la partie consacrée à la situation juridique, le préposé à la protection des données constate que les hackers éthiques traitent des données au sens de la nouvelle loi sur la protection des données dès qu'ils consultent, téléchargent ou enregistrent des données personnelles par le biais d'une faille de sécurité. S'ils ne respectent pas certains principes lors du traitement, «ils doivent être conscients que le traitement opéré est a priori illicite». Les principes en question sont notamment la licéité, la bonne foi, la finalité et la proportionnalité. La transmission des données concernées par la faille de sécurité ou la communication de la faille de sécurité (sauf aux autorités de surveillance) enfreint ces principes, précise l'autorité. La communication aux médias avant que la faille de sécurité ne soit comblée n'est pas non plus compatible avec ces principes.
En cas de violation des principes, les exploitants de systèmes ou les personnes concernées peuvent faire valoir le droit civil. En outre, les hackers white hats s'exposent parfois à des risques pénaux. Le PFPDT précise toutefois que s’il adopte un comportement de hacker éthique idéal et s’il s'efforce de respecter les principes de la protection des données «on peut supposer qu’il n’y aura cependant pas de réel intérêt à agir en justice».
Il n'est d'ailleurs «pas obligatoire», selon la fiche d'information, que les hackers éthiques informent le PFPDT de leurs constatations (ce n’est pas prévu par la LPD). Selon la nouvelle loi sur la protection des données, c'est en revanche le responsable de la protection des données de l'entreprise attaquée qui est tenu de faire une déclaration - du moins «lorsqu’une faille entraîne un risque élevé pour les personnes concernées».