Fuites de données : pourquoi les organismes qui se font pirater sont rarement poursuivis en justice ?

Vos informations personnelles sont-elles suffisamment protégées ? Avec la multiplication des fuites de données, vous vous demandez peut-être si les opérateurs, les assureurs, les établissements de santé ou les administrations ne font pas preuve de négligence dans la gestion de vos renseignements.

Pas une semaine ne passe sans qu’un organisme n’alerte ses utilisateurs que leurs données ont été compromises dans un piratage. Certains ont un impact considérable. Rien qu’avec les attaques subies par Free et France Travail ces derniers mois, les données de quasiment 60 millions de personnes ont été potentiellement volées.

Pour les victimes, qui doivent ensuite composer avec des risques d’arnaques et d’usurpation d’identité au quotidien, ces cyberattaques posent la question de la responsabilité des entreprises dans la protection de leurs informations personnelles. Mais aussi celle des autorités chargées de faire respecter la loi. 

Une obligation de transparence et de conformité, pas de résultats

Ces questions sont un sujet complexe. Et très récent, puisqu’il est encadré par un règlement européen qui date seulement de 2018. En résumé, ce texte impose à l’entreprise responsable du traitement des données une obligation de transparence : elle doit prévenir les autorités nationales compétentes dans les 72h après une fuite de données. Pas question de dissimuler l'incident pour préserver sa réputation. Et si l’incident implique un risque pour leur vie privée, les usagers doivent aussi être notifiés individuellement. Ce que les entreprises ont pris l'habitude de faire par mail ces dernières années.

La loi impose en outre une obligation de moyen : l’entreprise doit faire le nécessaire pour se protéger au mieux des risques de piratage. En revanche, elle n’a pas d’obligation de résultat. Elle doit prouver qu’elle a mis en œuvre les techniques et les mesures organisationnelles nécessaires pour garantir la sécurité des données. Mais elle peut très bien avoir été victime d’une attaque qui passe outre ces dispositions. En clair : le droit n’impose pas d’éviter les cyberattaques, mais de faire le maximum pour se protéger.

Pour qu'une entreprise soit poursuivie et condamnée, il faut prouver sa négligence

À chaque fuite de données, des voix s’élèvent pour réclamer des poursuites à l’encontre des établissements piratés. Et beaucoup se demandent pourquoi ils ne sont pas plus lourdement condamnés devant les tribunaux.

Pour qu’une entreprise soit poursuivie et condamnée, il faut apporter la preuve que la fuite de données est due à une négligence de sa part. Cela n’est pas toujours facile à établir. Car les piratages peuvent aussi être le fruit d’une erreur d’un prestataire, comme dans le cas de la fuite de données de 1,4 million de patients de l'APHP à l'été 2020, d’une attaque sophistiquée ou, plus fréquemment, du vol des identifiants d’un employé, comme ce fut le cas dans la plupart des affaires récentes, notamment les piratages de France Travail en mars et des opérateurs de tiers-payant Almerys et Viamedis en février. 

Pour faire la lumière sur ces points, une instance comme la CNIL, le gendarme des données personnelles, peut diligenter des contrôles. Ce fut notamment le cas après l’annonce du piratage de Free cet automne. Et lorsque la responsabilité de l’entité est démontrée, elle peut prononcer des sanctions. Ces dernières peuvent aller jusqu’à 10 millions d’euros d’amende ou jusqu’à 2% du chiffre d’affaires mondial. Sauf s’il s’agit d’un établissement public, auquel cas la CNIL se contentera d’un simple rappel à se mettre en conformité. Car on imagine mal un organisme public régler une amende au Trésor public. La liste des sanctions prononcées par la CNIL est consultable sur son site Internet.

Il convient aussi d'avoir à l'esprit que tout citoyen qui estime qu'une entreprise a manqué à ses obligations en matière de traitement de ses données personnelles a le droit de le signaler à la CNIL. Il existe un formulaire dédié sur son site. L’instance décidera ensuite, ou non, de réaliser un contrôle.

Des actions en justice souvent initiées par les entreprises piratées

En parallèle aux enquêtes de la CNIL, des actions peuvent aussi être menées en justice. Elles sont généralement initiées par les entreprises piratées elles-mêmes, qui se considèrent comme des victimes. Free, par exemple, a porté plainte au pénal, après la fuite de données qui a touché 20 millions de ses clients. Ce fut aussi le cas de France Travail après la violation des informations de 43 millions de demandeurs d’emploi l’année d’avant. 

Dans ces situations, une enquête est confiée à la police. Et les victimes ont la possibilité de porter plainte aux côtés des organismes. Mais seulement si elles ont constaté un préjudice qu’elles estiment lié au vol de leurs données. Car une plainte au pénal implique des preuves matérielles qui n’existent généralement pas dans l’immédiat. Si l’idée est simplement d’acter le vol de vos données pour prévenir un préjudice futur, comme une usurpation d’identité, il peut être préférable de déposer une main courante car il n'est pas toujours certain que votre plainte sera acceptée.

Pour faciliter le traitement des dossiers dans les affaires de grande ampleur, les autorités proposent aussi parfois un formulaire de plainte en ligne pour que les dépositions soient ajoutées à l’enquête sans avoir à recevoir les victimes en commissariat ou gendarmerie. Ce fut le cas après le vol des données des patients testés positifs au Covid en 2020 à l'APHP. Mais aussi après la fuite de données subie par France Travail en 2023 ou celle qui a visé les opérateurs de tiers-payant Viamedis et Almerys en février. De façon étonnante, les victimes du piratage de Free n'ont pas eu cette possibilité, a priori en raison d’un désaccord avec le parquet de Paris.

Enfin, sachez que les victimes peuvent tout à fait prétendre à des dédommagements de la part d’une entreprise piratée. Mais il faut pour cela que la justice prouve qu’elle est coupable d’une faille de sécurité, que les victimes aient porté plainte et qu’elles aient prouvé un lien de causalité entre la fuite de leurs données et un préjudice matériel, lié à une usurpation d’identité, par exemple.

Des actions collectives sont possibles mais complexes à coordonner

En résumé, les affaires de piratages et de fuites de données sont encore très récentes à l’échelle de la jurisprudence. Comme les démarches judiciaires peuvent être longues et coûteuses, elles finissent très rarement devant les tribunaux. Les actions collectives pourraient être une option. Deux actions sont d'ailleurs menées en France contre Facebook et Google. Mais elles impliquent une coordination complexe à mettre en œuvre entre les victimes. Et vu les faibles montants qu’elles pourraient escompter au titre des réparations, ces dernières renoncent la plupart du temps à initier des actions et se contentent de porter plainte au côté des établissements qui se sont fait pirater.

Retrouvez "La règle d'or numérique", chaque dimanche, dans le flux "Ça peut vous arriver"

Retrouvez chaque semaine (l’inimitable) "Règle d’or" en podcast… et désormais son pendant Numérique consacré aux problèmes du quotidien en ligne. Comment naviguer en toute sécurité sur Internet ? Quelles sont les réglages à paramétrer pour protéger vos données personnelles ? Comment repérer les arnaques en ligne avant de tomber dans le panneau… Benjamin Hue, journaliste à RTL, répond ici aux questions que vous vous posez tous les jours sur les nouvelles technologies.

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

Je créé mon compte Se connecter

S’abonner à la Newsletter RTL Info