1. Accueil
  2. Actu
  3. Tech
  4. Vol de données à l'APHP : plainte, action collective.. Quels recours pour les victimes ?
5 min de lecture

Vol de données à l'APHP : plainte, action collective.. Quels recours pour les victimes ?

Les victimes du vol de données à l'APHP sont invitées à porter plainte individuellement en cas de préjudice ou pour acter la compromission de leurs informations. Elles peuvent aussi se réunir dans une action collective. Les procédures s'annoncent longues et complexes.

Sécurité sociale : une carte vitale (illustration)
Sécurité sociale : une carte vitale (illustration)
Crédit : PHILIPPE HUGUEN / AFP
Benjamin Hue
Benjamin Hue

"Madame, Monsieur, Vous avez effectué un test de dépistage Covid-19 dont le compte-rendu a été validé mi-2020. Nous vous écrivons aujourd’hui afin de vous informer que le 12 septembre 2021, nous avons eu la confirmation d’une violation des données personnelles vous concernant. Sachez que nous en sommes vraiment désolés et nous vous prions de bien vouloir nous en excuser". 

Si vous avez reçu cette information de l'APHP-Hôpitaux de Paris, par mail ou par courrier, depuis vendredi dernier, vous faites partie des 1,4 million de Français qui ont réalisé des tests Covid à l'été 2020 dont les données ont été volées à l'organisme début septembre. Vous êtes désormais ce que l'on appelle une victime de piratage. Vos informations personnelles sont dans la nature, potentiellement entre de mauvaises mains. Il s'agit désormais de sécuriser vos comptes et d'exercer vos droits.

Le caractère sensible et authentique des données, qui comprennent les informations d'identité, de contact et le numéro de sécurité sociale en plus des résultats de tests Covid, vous expose à des approches malveillantes par téléphone, mail ou SMS pour vous soutirer d'autres données personnelles ou de l'argent. Cet incident vous fait aussi courir le risque d'être victime un jour d'une usurpation d'identité et de voir des prêts ou des abonnements contractés en votre nom à votre insu. Nous expliquons plus en détail comment réagir pour prévenir ces menaces dans cet article.

Des procédures longues et complexes

De plus en plus fréquents, ces vols de données suscitent généralement chez les victimes un sentiment d'impuissance. Mesurer l'ampleur des possibilités offertes aux cybercriminels par les informations volées n'est pas toujours évident. S'il est possible de faire preuve de vigilance face aux mails, aux appels et aux messages reçus au quotidien pour éviter de tomber dans le panneau des tentatives de phishing, par exemple, il est difficile de savoir si une personne emprunte son identité avant de constater les préjudices subis. Et les procédures qui sont proposées aux victimes s'annoncent longues et complexes, sans véritable perspective sur leurs chances d'aboutir car les précédents sont encore très récents.

À lire aussi

"Nous sommes dans la pire période, concède Suzanne Vergnolle, docteure en droit et chercheuse à l’institut suisse de droit comparé, jointe par RTL. Nos sociétés numérisent un nombre croissant de données et nous observons des failles avec un impact de plus en plus important. Même si ces pratiques se diffusent, elles sont encore assez récentes et l'on a encore du mal à savoir ce qui sera fait des données sur le long terme. On peut en imaginer des réutilisations illicites, mais à quel horizon et pour quelles finalités ? Difficile à savoir aujourd'hui". 

Une plainte individuelle si un préjudice est constaté

Comme la loi l'y oblige, l'APHP a signalé l'incident à la Commission nationale de l'informatique et des libertés (Cnil). Une enquête préliminaire est actuellement en cours à la Brigade de Lutte Contre la Cybercriminalité du Parquet de Paris. Dès à présent, les victimes peuvent porter plainte individuellement si elles constatent un préjudice qu'elles estiment en lien avec la violation de leurs données.

Dans cette optique, le gouvernement a publié jeudi un formulaire de plainte électronique à destination des personnes concernées qui seraient victimes d'une approche malveillante, par mail, par SMS, ou appel téléphonique impliquant leur numéro de sécurité sociale ou des informations contenues dans la fuite. Il suffit de télécharger et remplir le document, joindre une preuve de l'utilisation des données et l'envoyer à l'adresse mail indiquée.

Les victimes sont invitées à déposer plainte en ligne ou par courrier, sans se rendre dans un commissariat ou une gendarmerie. Les forces de l'ordre veulent ainsi éviter d'être submergées par les dépositions, comme ce fut le cas en Bretagne en début d'année après la fuite des données de santé de 500.000 patients de laboratoires d'analyses.

Si l’usurpation est confirmée, les victimes peuvent aussi solliciter auprès de la CNIL une consultation du fichier des comptes bancaires (FICOBA) afin de savoir si des comptes ont été ouverts à leur nom.

Une plainte pour acter le vol et anticiper un préjudice futur

Les spécialistes que nous avons interrogés sont plus partagés sur la possibilité de déposer une plainte visant à prévenir des préjudices futurs. "Il est possible de signaler un vol de données en amont dans l'hypothèse où l'on serait un jour victime d'une usurpation d'identité. On peut porter plainte pour prendre acte que les données ont été compromises et qu'elles peuvent être potentiellement utilisées dans le futur à des fins illicites", estime Suzanne Vergnolle. 

À l'inverse, Thierry Vallat, avocat au barreau de Paris, voit mal "le seul fait que des données aient été piratées pouvoir donner lieu à une plainte. Il faut pouvoir démontrer une faute de l'APHP et la lier au préjudice, car une plainte au pénal implique des éléments matériels. Mais on peut toujours imaginer une main courante pour acter le piratage des données".

Se réunir dans une action collective

Autre possibilité pour les victimes, se réunir dans une action collective, car les actions individuelles font moins le poids devant la Justice et sont difficiles à assumer financièrement. "Porter une action en Justice, ce n'est pas juste cocher des cases. de patience et de technicité juridique. Les affaires en droit des données personnelles sont souvent nébuleuses et les préjudices sont difficiles à évaluer. C'est pour ça qu'il y a peu de contentieux en la matière par rapport au droit de la consommation, par exemple", souligne Suzanne Vergnolle.

Les personnes concernées par le vol de données pourraient se réunir pour faire valoir les responsabilités suite aux dépôts de plainte, déterminer les préjudices et obtenir réparation. "On peut imaginer une action en représentation conjointe portée par une association de patients qui irait agir contre l'APHP pour manquement à l'obligation de sécurité des données personnelles ou une action de groupe portée par un organisme reconnu et agréé comme UFC-Que Choisir", résume Suzanne Vergnolle. Mais les victimes devront apporter la preuve d'une faute, d'un dommage, et d'un lien de causalité entre cette faute et ce dommage, ce qui peut prendre du temps dans cette affaire.

"Il est plus difficile de mobiliser les victimes quand le préjudice n'est qu'éventuel ou moral. Mais il y a des chances de succès, estime Suzanne Vergnolle. La seule problématique est de porter l'action. Depuis leur introduction dans le droit français, seules deux actions de groupe en données personnelles ont été lancées. C'est un chiffre très bas. Mais tant qu'on ne va pas solliciter les juges pour exercer nos droits, on a assez peu de chances de les voir mieux protégés". Sollicitée par RTL, l'association de défense des consommateurs UFC-Que Choisir a indiqué qu'aucune action n'était envisagée à ce stade mais qu'elle ne s'interdisait rien dans l'absolu.

La rédaction vous recommande

Commentaires

Afin d'assurer la sécurité et la qualité de ce site, nous vous demandons de vous identifier pour laisser vos commentaires.
Cette inscription sera valable sur le site RTL.fr.

Signaler un commentaire

En Direct
/