Bientôt un guide de bonne conduite pour les installateurs en sécurité électronique

C’est lors du colloque sur les cyber-menaces, le 27 avril dernier, que Luc Jouve, Président de GPMSE Installation a annoncé ce projet de guide. Une des principales raisons tient à l’évolution d’un corpus juridique impliquant de plus en plus fortement la responsabilité de l’installateur. Devoir précontractuel d’information, responsabilité engagée quant à la protection des données…

En ce qui concerne le devoir d’information précontractuel de l’installateur en sécurité électronique, l’ordonnance du 10 février 2016, dont les dispositions sont entrées en vigueur le 1er octobre 2016, confirme l’obligation de bonne foi pesant sur les parties d’un contrat. Elle impose, de façon générale, via l’article 1112-1, du Code civil, une obligation précontractuelle d’information à la charge de la partie « qui connaît une information dont l’importance est déterminante pour le consentement de l’autre (…) dès lors que, légitimement, cette dernière ignore cette information ou fait confiance à son cocontractant ». « Jusqu’à présent, l’installateur a toujours pris au sérieux son devoir de conseil, sur le plan éthique, quant à l’analyse de risque, au choix du matériel et à l’installation du système. Suite à la publication de ce texte, nous allons proposer à nos adhérents de les accompagner dans l’appréhension de ces nouvelles responsabilités », explique Luc Jouve.

Par ailleurs, à partir du 25 mai 2018, le Règlement général sur la protection des données (RGPD) entrera en vigueur, impliquant un renforcement du cadre de protection des données personnelles dans tous les pays membres de l’Union européenne. En cas de manquement à ces obligations, des sanctions financières allant jusqu’à 4 % du chiffre d’affaires mondial annuel, limité à 20 M€, seront imposées.

Le Président GPMSE Installation souligne l’importance de ce texte, et met en exergue l’Article 25- Alinéa 2 portant sur la « Protection des données dès la conception et protection des données par défaut ». En effet, l’installateur est plus particulièrement concerné par celui-ci, étant stipulé « le responsable du traitement met en oeuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s'applique à la quantité de données à caractère personnel collectées, à l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité… ».

Pour répondre à ces nouvelles exigences, Luc Jouve souligne la nécessité de sensibiliser les installateurs au renforcement de la sécurité des données, dont les fichiers clients. Il en est de même pour l’Article 32 portant sur la Sécurité du traitement : « Compte tenu de l'état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, […] le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque… »
« Jusqu’à présent, lorsqu’une caméra venait à être piratée, comme tout autre objet connecté, la responsabilité de l’installateur n’était pas engagée. Or, à partir du 24 mai 2018, il pourrait être tenu responsable s’il ne prouve pas qu’il a tout mis en oeuvre pour garantir un niveau de sécurité optimal, lors de la réalisation de l’installation », s’inquiète Luc Jouve.

Dans ce contexte, la commission conduite par Luc Jouve s’est donnée pour objectif de finaliser ce guide en trois mois. Mission ambitieuse mais nécessaire !