Par Ludovic Nachury (01net) - Une loi entrée en vigueur mardi permet aux particuliers de l'Etat de Californie de porter plainte contre une entreprise qui n'aurait pas rendu public un vol de ses bases de données contenant des informations personnelles. Ne rien dire en espérant que personne ne remarquera ne suffira plus. A compter du 1 er juillet, une entreprise active en Californie dont une base de données personnelles informatisées serait détournée par un pirate devra prévenir de toute urgence ses clients sous peine de voir ces derniers la traîner devant un tribunal. Un premier pas vers la responsabilisation des entreprises.

Votée en août 2002, le Security Breach Information Act (SBIA) prend effet ce mardi. Sa simple mise en oeuvre représente une victoire, les industriels étant très opposés à cette loi. Sont en effet concernées toutes les entreprises et administrations travaillant en Californie dont une base de données contient les noms, prénoms et identifiants (numéros de sécurité sociale, de permis de conduire ou de carte bancaire) de particuliers. Seule échappatoire prévue dans le SBIA : le texte ne s'applique plus si ces informations sont chiffrées.

Une infraction rarement remarquée par les entreprises

Cette nouvelle procédure légale démarre une fois qu'une entreprise acquiert la quasi-certitude que les données personnelles qu'elle détient ont été détournées. Elle est alors dans l'obligation de prévenir rapidement tout résident californien que son identifiant est en danger. Cette loi a en effet été votée pour contrer l'augmentation des usurpations d'identité constatée par les autorités locales, et attribuée en partie aux vols d'identifiants. Quant à l'alerte, elle peut se faire par courrier, e-mail certifié voire, en cas de détournement massif, par publication de notifications sur des sites web et des journaux.

Le SBIA souffre toutefois d'une limitation majeure. Il ne concerne que les piratages de bases de données remarquées par les entreprises. Alors que la plupart des vols de données personnelles ne seraient pas constatés par ces mêmes entreprises. La Cnil (Commission nationale informatique et libertés), elle, préfère rappeler aux détenteurs français de bases de données leurs obligations de protection. Une menace légale a priori jamais mise en oeuvre. Le SBIA table, lui, sur les particuliers et les avocats américains férus de « class action » qui ne manqueront pas de traîner devant la justice les sociétés insouciantes.