Un récent rapport sur la sécurité vient d’être publié vendredi dernier par le comité « Science and Technology » de la Chambre des Lords anglaise s’intitulant « Personal Internet Security » selon le blogue de Bruce Schneier qui a été auditionné sur la question. 121 pages qui ne sont pas si différentes du très bon rapport canadien d’Industrie Canada sur la question qui ne cesse d’être oublié en dépit de l’intérêt qu’il recèle.

Selon le blogue de Richard Clayton, 3 directions apparaissent dans les recommandations faites :

1) il y a lieu de s’interroger sur le partage des responsabilités et notamment sur le fait que le consommateur / utilisateur n’est pas la meilleure personne pour supporter certaines obligations de sécurité. Certes, elle en a quelques unes, mais la situation d’exonération systématique des intermédiaires qui tentent soit en utilisant les exceptions de la loi soit contractuellement à s’affranchir de tout contrôle n’est pas gérable.

2) Comme dans le rapport canadien, dans la loi californienne, il est recommandé de mettre en place un système de proaction de l’intermédiaire qui vient d’être au courant d’une situation potentielle de bris de sécurité. Que ce soit la perte d’un ordinateur ou autre apparence de danger quant au traitement de renseignements personnels, les acteurs doivent déclarer ce bris à un organisme qui aurait pour objet de gérer et fédérer de telles données. Et ce même s’il s’agit d’une attitude un peu masochiste de déclarer au plus grand nombre que l’on est victime d’une attaque et que ses clients sont susceptibles d’être menacés. C’est malheureusement un mal nécessaire, indispensable, pour mitiger les dommages, à savoir, demander à celui qui a un contrôle sur l’information de dévoiler les menaces qui planent sur elle.

3) Enfin, et avec un lien assez évident avec le premier, l’on souhaite responsabiliser davantage les vendeurs de logiciels et notamment ceux qui vendent de la sécurité. C’est un propos largement développé par Bruce Schneier (lire également ses propos lors de son audience), et ce, même si selon moi le droit actuel est susceptible de déjà condamner des vendeurs de sécurité. Comme mentionné sur le blogue de Richard Clayton :

« he third area, and this is where the committee has been most far-sighted, and therefore in the short term this may well be their most controversial recommendation, is that they wish to see a software liability regime, viz : that software companies should become responsible for their security failures. »

Personnellement, comme juriste, l’information la plus intéressante porte à la section « Policing the Internet », et notamment les recommandations aux pages 78 et 79 qui se résument ainsi :

  • plus de droit, un peu, notamment sur le plan criminel ;
  • plus de « réseau », beaucoup, notamment avec un organisme qui recevra les déclarations de bris de sécurité des gestionnaires de renseignements personnels ;
  • plus de ressources en éducation, en répression.