En janvier 2023, Deezer, un des acteurs majeurs du streaming musical, confirme la fuite de données de 250 millions d'utilisateurs en raison d'une violation subie par un de ses ancien fournisseurs en 2019. Or une fuite de données personnelles peut avoir de nombreuses conséquences néfastes pour la personne qui en est victime, telles que des tentatives d'escroquerie, de phishing, d'usurpation d'identité ou encore d'extorsion.
Qu'est-ce qu'une donnée personnelle ?
Selon la Commission Nationale de l'Informatique et des Libertés (CNIL), une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Si l'information en cause concerne une personne morale (entreprise, association, etc.), elle ne sera pas qualifiée de donnée personnelle.
Une donnée personnelle est avant tout une "information", quel qu'en soit l'origine, le support ou la voie de transmission (physique ou numérique). Classiquement, on distingue deux catégories de données personnelles :
- Celles qui permettent d'identifier directement une personne physique (nom, prénom)
- Celles qui permettent d'identifier indirectement une personne physique (une adresse postale, une date de naissance, un abonnement à tel ou tel magazine, un email, un numéro de sécurité sociale...)
Concrètement, il s'agit d'un élément phrase de la vie privée. Au regard de l'importance de telles données e de leur caractère "personnel", une réglementation était nécessaire pour lutter contre les abus de traitement et de collecte de données.
Quelle est la réglementation applicable aux données ?
Le traitement des données sur le territoire de l'Union européenne est strictment réglementé par le Règlement Général sur la Protection des données (RGPD). Ce règlement européen du 27 avil 2016, entré en application le 25 mai 2019, s'inscrit dans la continuité de la loi française Informatique et Libertés de 1978. Le RGPD, établissement des règles sur la collecte de l'utilisation des données, vise à renforcer le droit des citoyens quant à l'utilisation qui peut être faite des données les concernant ainsi qu'à responsabiliser les acteurs traitant des données.
Désormais dans l'ère du numérique et de la digitalisation, les données personnelles circulent en masse entre les différentes entités, qu'elles soient privées ou publiques. A ce titre, le RGPD fait peser sur les entreprises des obligations destinées à protéger la vie privée et les libertées individuelles des citoyens dont les données sont collectées. Par exemple, les entreprises sont soumises aux obligations suivantes :
- Obligation générale de sécurité et de confidentialité : des mesures de sécurité des locaux et des systèmes d'information doivent êtres mises en place par le responsable du traitement des données afin d'empêcher que les fichiers contenants lesdites données soient volés, déformés ou endommagés.
- Obligation d'information : à chaque collecte de données personnelles, l'entrprise doit informer la personne de la finalité du traitement, du fondement juridique, de l'identité du responsable du fichier, la durée de conservation des données, etc.
A cela s'ajoute la réalisation d'analyse d'impact dès lors que le traitement de données présente un risque pour les droits des personnes, la désignation d'un délégué à la protection des données (DPO) et la tenue d'un registre des traitements des données.
Malgré une réglementation stricte, les fuites de données sont encore nombreuses. En effet, les cyberattaques ne cessent d'augmenter, et ce dans tous les secteurs (hospitalier, automobile...).
Quelles solutions en cas de perte de données ?
La perte de données constitue une "violation de données" au sens du RGPD. En effet, on entend par violation de données personnelles une violation de la sécurité entraînant de manière accidentelle ou illicite, les destruction, la perte, l'altération, la divulgation non autorisée de donnée à caractère personnel transmises, conversées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. La perte renvoie à l'hypothèse selon laquelle les données pourraient toujours exister, mais le responsable du traitement a perdu tout contrôle ou tout accès à ces données, ou qu'il ne les a plus en sa possession. L'origine de la fuite peut être accidentelle ou malveillante.
Les obligations du responsable du traitement varient selon le risque soulevé par les violations. En cas de violation entraînant un risque élevé pour les droits et libertés des personnes concernées, l'entreprise aura l'obligation de la notifier la CNIL dans un délai maximal de 72 heures après avoir pris connaissance.
La victime n'est pas passive et peut agir pour défendre ses droits :
-
Recours devant la CNIL
Lorsqu'une personne est informée d'une violation de ses données personnelles, celle-ci peut entamer plusieurs démarches. Elle doit en priorité signaler les pages et comptes divulgant ses informations personnelles ayprès des plateformes concernées afin d'en demander la suppression. Des formulaires de demande de suppression de données personnelles sont proposées par les moteurs de rechecher pour que les données ligitieuses n'y soient plus référencées. Si les données visées par la demande n'ont pas été supprimées dans un délai d'un mois, il est possible d'adresser une réclamation en ligne à la CNIL.
-
Plainte pénale
Les données personnelles divulgées peuvent être récupérées par des escrocs. En cas d'utilisation frauduleuses des données ayant fuitées, la victime peut déposer plainte auprès du commissariat de police ou à la brigade de gendarmerie la plus proche de son domicile.
Par exemple, l'escroquerie, visée par l'article 313-1 du Code péna, est passible d'un peine d'emprisonnement de 5 ans et de 375 000 euros d'amende.
-
Action de groupe
Si une personne est lertée d'une perte de données la concernant, elle peut sous certaines conditions participer à une action de groupe, appelée recours collectif. Une action de groupe permet d'obtenir l'arrêt de la violation des données concernées, ainsi que la réparation du préjudice subi si les faits se sont produits après le 24 mai 2018. La victime doit alors contacter une association agréée ou certains syndicats.
Faire appel à un avocat spécialisé
En tout état de cause, il est conseillé de faire appel à un avocat spécialisé qui est habitué à ce type de procédure. Il saura mettre en place la meulleure stratégie juridique pour débloquer les fonds le plus rapidement possible.
Dossier complet répondant à mes questions