Des millions de Français, clients Free, sont concernés par une fuite de données personnelles subie par l’opérateur.
Des désagréments qui posent la question de la responsabilité de l’entreprise, elle-même victime puisqu’elle a subi une cyberattaque.
Dans ce type de cas, une entreprise s’expose à des sanctions s’il est prouvé qu’elle a fait preuve de négligence ou n’a pas correctement sécurisé les données de ses clients.
Suivez la couverture complète
Informations examinées par les commissaires aux comptes
Il y a quelques jours, l’opérateur et fournisseur d’accès Internet Free a informé ses clients qu’il était victime d’une cyberattaque. (nouvelle fenêtre). Cela a entraîné une fuite de données personnelles, qui ont été immédiatement mises en vente par des cybercriminels. Au total, pas moins de 19 millions de comptes seraient concernés (nouvelle fenêtre)avec les noms, prénoms, adresses et même numéros de téléphone des abonnés volés. Quelque 5 millions d’IBAN ont également été volés, faisant craindre une multiplication des tentatives d’arnaques bancaires.
Les clients gratuits concernés par une éventuelle tentative de fraude pourront effectuer un signalement ou déposer une réclamation via un formulaire en ligne accessible sur le site cybermalveillance.gouv.fr (nouvelle fenêtre). Une manière d’ajouter leurs déclarations à l’enquête sans nécessiter un déplacement dans un commissariat ou une gendarmerie.
Pour autant, peuvent-ils alors se retourner contre l’opérateur ? En ligne, les voix s’élèvent (nouvelle fenêtre) réclamer « poursuites » contre Free et même son directeur Xavier Niel, pour que cela se produise, il faudrait démontrer une faute de l’entreprise dans la sécurité des données et de ses systèmes informatiques.
Une obligation de moyens, mais pas de résultats
Du côté de Free, nous nous considérons avant tout comme des victimes. L’entreprise, visée par une cyberattaque, a par ailleurs annoncé avoir déposé une plainte pénale suite à la fuite de données survenue ces derniers jours. Peut-elle en même temps faire l’objet de poursuites, et par extension toute autre entreprise se trouvant dans une situation similaire ? Pour le savoir, TF1info a contacté Suzanne Vergnolle, docteur en droit et maître de conférences en droit du numérique au Cnam.
Lorsqu’un individu subit un cambriolage et que sa porte est forcée, ce n’est pas lui qui est poursuivi au motif qu’il aurait dû avoir un accès renforcé à son domicile avec un blindage. Mais dans le cas des entreprises, la situation n’est pas identique, estime le spécialiste : « Si vous faites l’analogie avec un cambriolage, toute la question sera de savoir si la porte était fermée, si elle avait été correctement verrouillée, mais aussi si un lingot d’or a été laissé sur le seuil juste devant la porte d’entrée. ». Concernant les données personnelles des clients, il s’agit d’un « dite obligation de moyens » qui prévaut. En clair, une entreprise doit faire le nécessaire pour se protéger au mieux des risques auxquels elle pourrait être confrontée.
-
Lire aussi
Vol de données chez Free : les informations personnelles des clients (déjà) vendues, annonce le hacker
-
Lire aussi
Fuite massive de données chez Free : comment réagir si vous êtes concerné ?
Free, comme toute autre entreprise stockant des données clients, n’a cependant aucune obligation de résultat. « La loi n’impose pas d’éviter toutes les cyberattaques »poursuit Suzanne Vergnolle, mais l’enjeu sera de savoir si « l’entreprise a fait tout son possible pour éviter la violation dont elle a été victime ». La première série de questions auxquelles il faudra répondre sera alors la suivante : « Cela aurait-il pu être évité grâce à une meilleure sécurité des bases de données ? Y a-t-il eu une erreur humaine ? »
Pour trancher sur ces points, une institution comme la Commission nationale de l’informatique et des libertés (Cnil) est en première ligne. Rapidement alertée par Free, comme l’exige la loi dans de tels cas, elle peut procéder à une enquête et établir – le cas échéant – des sanctions. En général, « Plus les données sont sensibles, plus la norme de sécurité des données attendue sera élevée »résume l’expert du Cnam. Si des failles de sécurité sont découvertes, des sanctions sont attendues : une amende pouvant aller jusqu’à 10 millions d’euros. Une majoration encore plus importante n’est pas à exclure : la CNIL peut en effet prononcer une astreinte dont le montant est calculé en fonction du chiffre d’affaires annuel global de l’entreprise. Jusqu’à 2% maximum du total, ce qui peut représenter des sommes considérables dans le cas de multinationales ou d’entreprises générant des bénéfices importants.
Des affaires qui finissent rarement devant les tribunaux
Parallèlement aux procédures engagées par la CNIL, des actions peuvent également être intentées devant les tribunaux. Alors qu’une enquête est en cours dans le cadre de la cyberattaque visant Free, a confié (nouvelle fenêtre) Selon la brigade cybercriminalité (BL2C) de la préfecture de police de Paris, les clients pourraient se retourner contre l’opérateur. Là encore, l’enjeu serait de mettre en lumière les failles dans la manière dont les données personnelles ont été sécurisées. « Il y a parfois des situations où l’on fait de son mieux, tout en faisant face à de mauvais acteurs qui se révèlent très bons. »L’expert en cybersécurité Baptiste Robert raconte à TF1info. « Ce n’est pas nécessairement que nous avons mal fait, mais simplement que celui d’en face était meilleur. »
Une fois une plainte déposée, on bascule vers le système judiciaire, constate Suzanne Vergnolle. « Les particuliers peuvent agir sur le fondement de la responsabilité civile : à partir du moment où une personne commet une faute, il lui appartient d’assumer tout le préjudice qui en résulte et d’en réparer les conséquences ». Le docteur en droit observe cependant qu’il est très rare que de tels dossiers, fréquents à la CNIL, soient portés devant les tribunaux. Ceci s’explique par le fait que « les litiges juridiques coûtent cher et prennent beaucoup de temps »mais aussi par les petites sommes que pouvaient espérer les plaignants. En général, « nous ne sommes pas confrontés à des montants importants en termes de réparations ».
Précisons enfin que si une fuite de données concerne une administration publique et non une entreprise privée, les procédures sont généralement similaires. À quelques précisions : tout d’abord, la CNIL ne pourra pas prononcer de sanctions financières, se contentant – en cas de négligence – de rappels à l’ordre ou de demandes de mise en conformité. Ensuite, de la part des particuliers, des actions en justice resteront possibles, mais dans cette situation elles devront être portées devant les tribunaux administratifs.
Vous souhaitez nous poser des questions ou soumettre des informations que vous ne jugez pas fiables ? N’hésitez pas à nous écrire à lesverifiers@tf1.fr. Retrouvez-nous également sur X : notre équipe y est présente derrière le compte @verif_TF1LCI.