Les atteintes aux systèmes de traitements automatisés de données par intrusion non autorisée au système.
Une entreprise emblématique du secteur de la construction informatique et du multimédia a été victime d’intrusions non autorisées dans plusieurs de ses systèmes de traitements automatisés de données.
Il est possible d’analyser cette affaire sous l’angle des différentes personnes concernées par un piratage.
Les atteintes aux systèmes de traitements automatisés
S’agissant de la plate-forme victime de l’introduction frauduleuse, cette dernière subit un dommage économique et une atteinte à son image important. Elle pourrait agir sur le fondement des articles 323-1 et suivants du Code pénal, qui répriment les atteintes aux systèmes de traitement automatisé de données.
Toutefois, la désignation de la personne à l’origine de ces introductions frauduleuses nécessite des investigations longues et coûteuses. En outre, le contexte international de l’affaire rend difficile la détermination :
- de la loi applicable et
- des juridictions compétentes pour connaître de ces atteintes.
La question de la responsabilité de la plate-forme victime se pose également. Le système de traitement automatisé de données comporte en effet des données personnelles. Or, le responsable d’un traitement automatisé de données est soumis à une obligation légale de sécurisation afin d’empêcher que les données ne soient déformées, endommagées ou que des tiers non autorisés y aient accès.
Les actions possibles
L’utilisateur potentiellement victime de l’extraction de ses données personnelles dispose de trois actions pour se protéger. Il pourrait, tout d’abord, écrire à la plate-forme pour se faire reconnaître comme personne concernée par l’extraction frauduleuse.
Des données bancaires pouvant faire partie des données extraites, l’utilisateur pourrait également alerter sa banque, à titre préventif. Cette dernière pourrait vérifier qu’aucun débit suspect n’ait été enregistré sur son compte bancaire. Les données personnelles extraites lors d’une atteinte d’un système de traitement automatisé se vendent généralement avec une grande facilité. Enfin, le cas échéant, l’utilisateur pourrait déposer plainte.
Il existe une controverse sur le manque de réactivité de la plate-forme. Cette controverse repositionne, au moins en France, le débat autour de la proposition de loi n° 2387 du 24 mars 2010, visant à mieux garantir le droit à la vie privée à l’heure du numérique, dont l’un des objectifs principaux, en plus du renforcement de l’obligation de sécurité du responsable de traitement des données qu’ils traitent, est d’obliger le responsable de traitement à notifier sans délai toute faille de sécurité à la Cnil et aux personnes concernées.
Les autorités de protection de données personnelles sont les derniers acteurs concernés. Elles peuvent intervenir pour vérifier l’efficacité des mesures de sécurité mises en place par le responsable du traitement.