La crise sanitaire née depuis plus d’un an a bouleversé la vie de toutes les sociétés de ce monde. Entre ralentissement des activités et confinement mondial, le monde vivait au ralenti. Depuis, des solutions tels que la vaccination ou le pass sanitaire sembleraient être trouvées en vue d’endiguer la pandémie.
Mais un autre fléau s’est aussi distingué de par sa capacité de nuisance et a connu une véritable croissance et continue de croître de manière ininterrompue : c’est le vol des données à caractère personnel dû au développement de la cybercriminalité.
Les raisons de la croissance de cette délinquance trouvent plusieurs explications. A titre d’exemple, un étudiant d’une école d’informatique de 22 ans a été mis en examen pour avoir extrait frauduleusement les données personnelles d’1,4 million de personnes des serveurs informatiques de l’AP-HP. Le motif de cette attaque était que le présumé suspect est un opposant au pass sanitaire.
En avril 2021, à cause d’un logiciel de gestion mal sécurisé, des cybercriminels ont réussi à pénétrer dans les systèmes d’information de l’ONU. Ils auraient réussi à mettre la main sur l’identifiant et le mot de passe d’un employé de l’organisation internationale [1].
L’opérateur « Orange » a été quant à lui victime d’une intrusion en avril 2014 suite à une défaillance technique de l’un de ses prestataires qui aurait conduit au vol des données personnelles de 1,3 million de clients.
En outre, s’il ne faut pas négliger les menaces extérieures des atteintes aux données dues aux attaques des hackers, crackers ou encore crashers, il ne faut pas non plus négliger les menaces internes venant des employés ou ex-employés pour des raisons diverses portent atteinte aux systèmes d’information de leurs employeurs ou ex-employeurs.
La violation de donnée est définie comme
« une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre, manière ou l’accès non autorisé à de telles données » [2].
Une violation de données à caractère personnel risque, si l’on n’intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu’une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données à caractère personnel ou tout autre dommage économique ou social important […] [3].
La CNIL a par ailleurs prévu que les violations de données personnelles devraient augmenter de 100% en 2021.
Face à ces comportements frauduleux, à la divulgation volontaire ou involontaire des données à caractère personnel, la question de la protection de ces données mais aussi les recours pour les victimes en cas de fuite de leurs données personnelles se pose.
I. Fuite des données à caractère personnel : quelle protection ?
Les cyberattaques ont augmenté dans de nombreux secteurs depuis le début de la pandémie. Il ne se passe pas un jour sans que les informations télévisées ou papiers ne nous signalent une attaque informatique d’un service quelconque. Après l’hôpital, c’est le service d’assainissement des eaux d’Oloron-Sainte-Marie dans les Pyrénées-Atlantiques qui a été visé par un ransomware en juin 2021. L’incident a été révélé par Patrick Maillet, adjoint en charge de la politique budgétaire et de la police municipale, lors du Conseil municipal du 27 septembre, d’après « Sud-Ouest ». Une partie des données a été détruite mais les criminels n’ont pas réussi à prendre le contrôle du service d’assainissement [4].
La protection des données à caractère personnel passe nécessairement par des préventions. Comme prévention pour une protection des données à caractère personnel, il est recommandé de se doter de puissant anti-virus en faisant une mise à jour régulière des systèmes informatiques. A cela s’ajoute les tests d’intrusion pour identifier les failles que pourraient contenir lesdits systèmes informatiques. A ce titre, l’ANSSI a publié de nombreuses fiches de bonnes pratiques à destination des responsables de la sécurité des systèmes d’information et des TPE/TME.
La loi du 06 janvier 1978 et le règlement 2016/679 obligent le responsable de traitement à prendre toutes les précautions utiles pour préserver la sécurité des données et, empêcher qu’elles ne soient endommagées, déformées ou que des tiers non autorisés s’y introduisent. Le RGPD quant à lui oblige à faire une analyse d’impact ou encore la notification des failles de sécurité.
De plus, la CNIL a communiqué dix conseils pour la sécurité des systèmes informatiques le 12 octobre 2009. Entre autres, elle a précisé (1) d’adopter une politique de mot de passe rigoureuse. En effet, celui-ci doit comporter au minimum 8 caractère incluant chiffres, lettres et caractères spéciaux et être renouvelé fréquemment ; (2) concevoir une procédure de création et de suppression des comptes utilisateurs ; (3) sécuriser les postes de travail en prévoyant leur verrouillage automatique lorsqu’ils s’absentent de leur poste de travail ; (4) identifier précisément qui peut avoir accès aux fichiers en procédant à des vérifications ; (5) veiller à la confidentialité des données vis-à-vis des prestataires ; (6) sécuriser le réseau local par la veille constante qui doit permettre leur mise à jour, l’utilisation de clés de chiffrement etc ; (7) sécuriser l’accès physique des locaux par le contrôle d’accès ou la vérification des habilitations ; (8) anticiper le risque de perte ou de divulgation des données ; (9) anticiper et formaliser une politique de sécurité du système d’information ; (10) sensibiliser les utilisateurs aux risques et à la loi.
Selon l’article 32 du RGPD, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Il y a comme recommandation la pseudonymisation et le chiffrement des données à caractère personnel ; des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique et une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
En ce qui concerne les données à caractère personnel relative à la santé des personnes sont des données sensibles, qu’elles soient recueillies ou produites à l’occasion d’activités de prévention, de diagnostic ou de soins. Les biologistes, les médecins ou encore les pharmaciens sont par conséquent responsables des données des patients qui relèvent du secret médical et s’exposent, en cas de violation, aux sanctions de l’article 226-13 du Code pénal.
A ce titre, l’article 110 de la loi du 26 janvier 2016 a inséré un nouvel article L1111-812 du Code de la santé publique prévoyant un nouveau dispositif de sécurité incombant aux établissements de santé et aux organismes et services exerçant lesdits activités. Ceux-ci ont l’obligation de signaler sans délai à l’Agence Régionale de Santé (ARS) les incidents graves de sécurité des systèmes d’information, à charge pour l’ARS de transmettre le signalement des incidents jugés significatifs aux autorités compétentes de l’Etat (l’ANSSI). Afin de garantir la sécurité de cette catégorie de données, leur hébergement doit être réalisé par un prestataire d’hébergement certifié dans les conditions fixées par le Code de la santé publique (CSP, Art. L.1111-8 s.) [5].
II. Fuite des données à caractère personnel : quel recours pour les victimes ?
D’abord, les cybercriminels sont difficiles à appréhender en raison de la dimension transnationale de l’internet [6].
Ensuite, selon l’article 33.1 du RGPD, en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.
En outre, lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais [7].
La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures.
Selon la lettre de l’article 323-1 du Code pénal :
« Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 60 000 euros d’amende.
Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 100 000 euros d’amende.
Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à cinq ans d’emprisonnement et à 150 000 euros d’amende ».
De plus, l’article 323-2 du Code pénal dispose que :
« le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 75 000 euros d’amende.
Lorsque cette infraction a été commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à sept ans d’emprisonnement et à 100 000 euros d’amende ».
Les victimes peuvent participer à une action de groupe appelée recours collectif.
Cette procédure permet d’obtenir l’arrêt de la violation de vos données. Elle permet aussi d’obtenir réparation du préjudice subi si les faits se sont produits après le 24 mai 2018. Les victimes doivent s’adresser à une association agréée ou à certains syndicats. L’association ou le syndicat met en œuvre l’action de groupe pour les personnes qui sont dans la même situation que vous [8]. Les victimes peuvent porter plainte individuellement aussi si elles constatent un préjudice qu’elles estiment en lien avec la violation de leurs données.
Selon plusieurs avocats que nous avons contactés, il est possible de déposer une plainte contre X notamment sur le fondement de l’article 226-17 du Code pénal qui précise que : « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites aux articles 24, 25, 30 et 32 du règlement (UE) 2016/679 du 27 avril 2016 précité ou au 6° de l’article 4 et aux articles 99 à 101 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende » pour manque de sécurisation des données.
Les laboratoires pointent du doigt la société Dedalus, éditrice du logiciel dont ils étaient équipés, mais l’enquête diligentée par le parquet de Paris saura en déterminer le responsable. Selon plusieurs spécialistes, les laboratoires pourraient eux aussi être mis en cause pour leur négligence.
Une forte vigilance des acteurs devra être observée pour protéger les données à caractère personnel recueillies auprès des personnes concernées bien vrai que la lutte contre le fléau de la cybercriminalité reste pour l’heure un « chemin de croix ».
Discussions en cours :
Le fait qu’une entreprise a permis ou rendu possible la fuite de donnée confidentielles (confiés en toutes confiances), le fait est t’il condamnable et dommageable pour les utilisateurs piratés ? L’article ne le précise pas clairement.
Cordialement
@Kooalia, je suis d’accord avec vous. Ce qui m’intéresse surtout c’est de savoir quel est le dédommagement financier dont j’ai droit lorsque par exemple Free, qui a pris mes données personnelles et s’est engagé à les protéger, s’est fait pirater et en résultat, mes données font partie de celles qui ont été volée. Ils se sont engagé et ils ont pas su tenir l’engagement. Quelles en sont les raisons - ce n’est pas mon problème. J’estime que j’ai droit à un dédommagement financier de leur part. Un mail "excusez-nous" ne suffit pas, carrément !