Cybercriminalité : Orange, Sarenza, les intrusions de trop

Par - Publié le

,

,

,

Olivier Roux, Avocat associé cabinet Carakters
Olivier Roux, Avocat associé cabinet Carakters

Comme en février 2014, Orange a subi le 18 avril une nouvelle intrusion dans son système d'information conduisant à un vol de données personnelles. L'attaque portait sur 800 000 données en février et 1 300 000 en avril. Fort heureusement, les données bancaires ne sont a priori pas concernées par cette affaire. Ces cyberattaques sont désormais de plus en plus nombreuses, notamment contre de grandes entreprises internationales telles que Sony en 2011, ou Adobe en 2013.

Un risque émergent

L'entreprise, en tant que « responsable du traitement », a l'obligation, sous peine de sanction pénale, de notifier sans délai à la Cnil la violation des données personnelles résultant d'une faille de sécurité. Elle ne devra informer les personnes concernées que si la Cnil constate, après une vérification pouvant prendre deux mois, que, préalablement au vol, elle n'avait pas pris les mesures pour crypter les données. Ce délai est cependant difficile à prendre en compte dès lors que le vol des données est largement diffusé dans les médias.

Cette obligation d'information ne doit pas faire oublier que tout responsable du traitement a une « obligation de garantir la sécurité et la confidentialité des données traitées » (article 34 de la loi informatique et libertés), sous peine de sanction pénale (article 226-17 du code pénal). De son côté, la Cnil peut procéder à des contrôles de sécurité et infliger des amendes.

Sarenza a été jugée comme ayant contribué à la réalisation de son préjudice en sécurisant de façon insuffisante l'accès aux données de ses 4,7 millions d'adresses e-mail.

Sur le plan civil, une affaire jugée le 21 février 2013 par le tribunal de grande instance de Paris mérite d'être citée. La société Sarenza, qui disait détenir plus de 4,7 millions d'adresses e-mail de clients et prospects, a été victime d'un piratage. Elle a été jugée comme ayant « contribué à la réalisation de son préjudice en sécurisant de façon insuffisante l'accès aux adresses électroniques de ses clients et prospects ». En conséquence, le tribunal devait réduire l'indemnisation de cette société d'un tiers de son montant, la considérant ainsi comme en partie coresponsable de ce piratage.

La violation de la loi informatique et libertés résulte souvent d'actes positifs (telle la collecte déloyale de Google dénoncée par la Cnil en février 2014). Elle existe également en cas de négligence quant à la sécurité des données.

Une nouvelle contrainte européenne

Au niveau européen, une nouvelle législation portant sur la protection des données est en préparation. Elle s'imposera à tous les pays de l'Union, avec un seul organisme chargé de la surveillance de son application, mais également à tous les secteurs d'activité et à l'ensemble des grandes entreprises intervenant en Europe, quelle que soit leur nationalité. Les amendes pourraient atteindre jusqu'à 2 % du chiffre d'affaires dans la limite de 1 million d'euros.

 



Effectuer une autre recherche

Rechercher

article extrait de l’argus de l’assurance

Tous les vendredis, l’information de référence
des institutionnels et des réseaux
 Contactez la rédaction
 Abonnez-vous