Article réalisé pour Croissance Investissement par Maître Alexandre Lazarègue – Fondateur de Lazarègue Avocats et avocat spécialisé en droit du numérique
Le 1er février, Viamedis et Almerys, deux importants opérateurs de gestion du tiers payant pour les complémentaires santé, ont alerté leurs 33 millions de bénéficiaires d’une cyberattaque d’envergure qui a entraîné la fuite de données sensibles. Parmi ces données figurent l’état civil, la date de naissance, le numéro de Sécurité sociale, le nom de l’assureur santé ainsi que les détails des garanties des contrats souscrits.
Alors que Viamedis et Almerys ont annoncé le dépôt d’une plainte, le vendredi 9 février dernier, le procureur de la République a fait savoir l’ouverture d’une enquête pénale.
Parallèlement, la plateforme Cybermalveillance a publié un modèle de plainte à l’intention des 33 millions de victimes potentielles. Cela leur permet, pour l’heure, de se manifester et de réclamer des comptes, non seulement à l’encontre des auteurs de la fraude mais également de Viamedis et Almerys. En effet, bien que victimes apparentes, ces dernières pourraient aussi voir leur responsabilité engagée dans cette affaire.
Affaire Viamedis et Almerys : des failles de sécurité ?
D’après les informations divulguées par la presse, la cyberattaque dont a été victime Viamedis et Almerys a été rendue possible par l’usurpation d’identifiants et de mots de passe de professionnels de santé, ce qui a facilité l’intrusion frauduleuse dans leur système d’information.
En application du Règlement Général sur la Protection des Données (RGPD) régulant le droit des données personnelles, ces entités avaient l’obligation d’informer les personnes affectées par la fuite de données afin qu’elles puissent prendre des mesures préventives. C’est dans ces conditions que 33 millions de français ont été informés de la circulation de leurs données dans l’espace public.
La facilité avec laquelle les hackers ont pu s’introduire dans le système d’information de ces opérateurs de tiers payant suggère l’existence d’importantes failles de sécurité chez ces deux organismes.
Ceux-ci étaient pourtant tenus à l’obligation de respecter des règles strictes en matière de cybersécurité. L’article 32 du RGPD impose en effet aux organismes traitant des données sensibles de manière aussi massive d’adopter des mesures telles que la pseudonymisation ou encore le chiffrement des données personnelles et de mettre en place des moyens garantissant leur confidentialité.
Certes, ces obligations ne constituent pas des obligations de résultat tant on sait qu’il ne peut y avoir de sécurité informatique absolue. Cependant ces organismes avaient le devoir de prendre des mesures de sécurité proportionnée à leur niveau de risque lequel était particulièrement élevé étant donné l’ampleur des données traités.
Un contrôle de la CNIL pouvant conduire à des amendes administratives importantes
Sur le plan judiciaire, il incombe désormais à la CNIL, chargé de contrôler le respect du droit des données personnelles des organismes, de vérifier le respect de la réglementation par ces entités. En cas de manquement caractérisé, les sanctions administratives pourraient être significatives.
Le RGPD prévoit une amende pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé. Cependant, de telles sanctions sont uniquement administratives et ne vise pas l’indemnisation des millions de victimes potentielles de ces mêmes manquements.
Ces dernières pourront toutefois agir devant les juridictions aussi bien civiles que pénales pour être indemnisés par le dommage subi.
Des droits à réparation moraux et matériels pour les victimes
Selon la Cour de justice de l’Union européenne (CJUE), chaque individu victime d’une fuite de ses données peut obtenir réparation du préjudice moral subi.
La CJUE a e effet estimé, dans une décision du 14 décembre 2023 concernant une attaque subie par l’agence nationale des recettes publiques bulgare, que la crainte d’un usage abusif de ses données personnelles par des tiers constitue en soi un dommage moral pouvant justifier réparation.
Les bénéficiaires de ces organismes pourraient, par conséquent, envisager de poursuivre ces derniers pour obtenir réparation des préjudices moraux. Comment évaluer le préjudice moral résultant de la peur de voir son identité usurpée ou d’être victime de fraude par des individus malveillants, facilité par un acte de piratage ? Ce préjudice qui ne doit pas être sous-estimé ne pourra être réduit à une simple valeur symbolique.
Chaque jour, des millions de Français sont victimes d’escroqueries en ligne ou de tentatives d’arnaque par des groupes criminels tentant de leur extorquer des fonds en utilisant des moyens sophistiqués pour accéder à leurs données personnelles. L’INSEE nous informe à ce sujet que 56 % des Français ont déclaré avoir été victimes d’un cyberdélit en 2021.
Conscients du danger et régulièrement exposés à des menaces par phishing, fraude à la carte bancaire ou encore usurpation d’identité, les Français mesurent pleinement l’impact que peut avoir une telle fuite de données les concernant, ce qui peut donc constituer un préjudice moral significativement important au quotidien.
Ajoutons que, dans l’hypothèse où une personne affectée par la fuite des données serait victime d’un cyberdélit directement lié à la fuite de données subit par Viamedis et Almerys, le préjudice serait également matériel. Les organismes responsables seraient alors tenus de compenser directement la perte financière subie par la victime. Toutefois, il sera nécessaire de démontrer un lien de causalité direct entre le préjudice subi et la fuite de données, ce qui est les plus souvent impossible.
Des hackeurs difficiles à identifier
Le procureur de la république a indiqué ouvrir une enquête préliminaire pour identifier les auteurs de cette attaque malveillante, qui par l’introduction frauduleuse dans un système d’information dans le but d’extraire des données constitue une infraction caractérisée.
Or, sans vouloir pêcher par pessimisme, force est de constater que les cybercriminels se révèlent difficiles à identifier. À ce jour, les récentes attaques d’envergure ciblant des institutions, ont rarement permis d’identifier les auteurs de ces méfaits.
Vers une responsabilité pénale pour Viamedis et Almerys ?
Cependant, Viamedis et Almerys, qui ont déposé plainte, s’exposent également à un risque pénal dans cette affaire.
L’article 226-17 du Code pénal prévoit en effet que « le fait de procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures de sécurité (prescrites à l’article 32 du RGPD) est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ».
Par conséquent, en cas de manquements caractérisés en matière de sécurité des données, les deux entités pourraient voir leurs responsabilités pénales engagées.
Ajoutons que lorsque les personnes morales sont déclarées coupables d’une telle infraction, la sanction financière prévue est une amende dont le montant peut atteindre 54 millions d’euros.
À moyen terme, le procureur pourrait choisir de confier l’enquête à un juge d’instruction qui désignera des experts en vue d’évaluer la conformité des pratiques de ces organismes avec les règles de cybersécurité et recevoir les plaintes des 33 millions de français qui auront accès au dossier et pourront demander des comptes. Le cas échéant, le juge pourra décider de renvoyer les deux organismes devant le tribunal correctionnel.
Une procédure judiciaire en France inadaptée pour les préjudices collectif
Cependant, organiser une action judiciaire impliquant 33 millions de victimes représente assurément un défi pour notre institution judiciaire alors que la France accuse un retard important en matière d’action de groupe.
A ce stade, elles ne sont possibles que dans le domaine du droit de la consommation et ne peuvent à être exercées uniquement par des associations existantes depuis au moins cinq ans.
Alors que le numérique est un domaine où les actions collectives vont se multiplier et il serait judicieux de revoir d’urgence les procédures en la matière.
La création d’une association chargée de représenter l’ensemble les victimes pourrait être une solution, mais les juges répressifs sont réticents à accepter l’action de ce type d’association formée spontanément pour la cause, estimant qu’elle n’a pas été directement victime du préjudice invoqué et n’a donc pas d’intérêt à agir.
Pour sortir de cette impasse, les avocats pourraient se mobiliser pour représenter utilement les victimes, interagir avec le juge d’instruction désigné et, le cas échéant, plaider en faveur de la cause de tous.
A long terme, il reviendra à notre système juridique de trouver des solutions innovantes pour faciliter l’accès à la justice dans les affaires impliquant un grand nombre de victimes par l’introduction de mécanismes d’actions collectives flexible qui rendent possibles pour les victimes de faire valoir leurs droits et d’obtenir réparation pour les préjudices subis.
Quels sont les risques et les conséquences pour les victimes ?
Les personnes victimes de la fuite de données encourent plusieurs risques significatifs, notamment :
- Usurpation d’identité : Avec l’accès à des informations telles que l’état civil, la date de naissance, et le numéro de Sécurité sociale, des individus malveillants peuvent facilement usurper l’identité des victimes. Ceci peut inclure l’ouverture de comptes frauduleux, l’obtention de crédits, ou d’autres activités illégales sous le nom de la victime tel que la commission d’infraction routière.
- Fraudes financières : Le nom de l’assureur santé et les détails des garanties des contrats souscrits peuvent être utilisés pour des escroqueries ciblées, telles que des demandes de paiement frauduleuses auprès des assureurs ou des tentatives de récupération indue d’indemnités.
- Phishing et escroqueries : Les données personnelles peuvent être exploitées pour mener des campagnes de phishing ciblées, où les victimes sont incitées à fournir des informations supplémentaires comme des données bancaires ou des mots de passe, sous prétexte de vérifier ou de restaurer l’accès à leurs comptes.
- Atteinte à la vie privée : La divulgation d’informations personnelles sensibles peut entraîner une violation de la vie privée des individus, avec des répercussions potentielles sur leur vie professionnelle et sociale.
- Répercussions à long terme : Même après avoir résolu les problèmes immédiats liés à la fuite de données, les victimes peuvent continuer à faire face à des risques d’exploitation de leurs informations pendant des années, car une fois que les données sont compromises, elles peuvent circuler indéfiniment sur le dark web ou d’autres forums malveillants.
Quelles sont les mesures de prévention recommandées ?
Pour atténuer ces risques, il est crucial que les victimes prennent des mesures préventives, telles que :
- Surveillance des comptes : Surveiller activement les relevés bancaires et les comptes en ligne pour détecter rapidement toute activité suspecte ou transaction non autorisée.
- Alertes de fraude : Mettre en place des alertes de fraude avec les banques et les agences de crédit pour être immédiatement informé en cas de tentative d’ouverture de compte ou de demande de crédit suspecte.
- Changement de mots de passe : Modifier immédiatement les mots de passe des comptes en ligne, en particulier ceux utilisant des identifiants similaires à ceux potentiellement compromis.
- Vigilance accrue face au phishing : Être particulièrement vigilant face aux emails et aux communications suspectes demandant des informations personnelles ou financières, qui pourraient être des tentatives de phishing exploitant les données fuitées.
- Utilisation de services de surveillance d’identité : Envisager l’utilisation de services de surveillance d’identité qui peuvent aider à détecter l’utilisation non autorisée des informations personnelles.
- Mise à jour des informations de sécurité : Mettre à jour les questions de sécurité et les réponses associées qui pourraient être devinées ou déduites à partir des informations fuitées.
- Surveillance des comptes : Surveiller activement les relevés bancaires et les comptes en ligne pour détecter rapidement toute activité suspecte ou transaction non autorisée.
- Alertes de fraude : Mettre en place des alertes de fraude avec les banques et les agences de crédit pour être immédiatement informé en cas de tentative d’ouverture de compte ou de demande de crédit suspecte.
- Changement de mots de passe : Modifier immédiatement les mots de passe des comptes en ligne, en particulier ceux utilisant des identifiants similaires à ceux potentiellement compromis.
- Vigilance accrue face au phishing : Être particulièrement vigilant face aux emails et aux communications suspectes demandant des informations personnelles ou financières, qui pourraient être des tentatives de phishing exploitant les données fuitées.
- Utilisation de services de surveillance d’identité : Envisager l’utilisation de services de surveillance d’identité qui peuvent aider à détecter l’utilisation non autorisée des informations personnelles.
- Mise à jour des informations de sécurité : Mettre à jour les questions de sécurité et les réponses associées qui pourraient être devinées ou déduites à partir des informations fuitées.
CABINET D’AVOCAT DÉDIÉ AU DROIT DU NUMÉRIQUE
Fondé en 2016, notre cabinet d’avocats spécialisé dans le droit du numérique se distingue par son expertise approfondie et sa passion pour les défis juridiques liés au numérique. Composée de trois collaborateurs dédiés et d’un associé, notre équipe s’associe également à un partenaire expert en cybersécurité pour offrir une gamme complète de services juridiques. Nous nous spécialisons dans la résolution de problématiques judiciaires complexes du numérique, en accordant une attention particulière à la défense des intérêts des personnes morales, des PME, des TPE, ainsi que des grandes entreprises. Nous représentons également les particuliers, comprenant l’importance de protéger les droits individuels dans l’espace numérique en constante évolution. Notre approche est fondée sur la collaboration étroite avec nos clients, en veillant à comprendre leurs besoins spécifiques et en les conseillant avec créativité et innovation. Nous sommes profondément investis dans l’espace public numérique, cherchant constamment à exploiter notre expertise pour soutenir l’innovation et aider les entreprises à naviguer avec succès dans le paysage numérique complexe, notamment dans le développement et la protection de projets connectés et innovants.
Notre cabinet est reconnu pour son engagement envers l’excellence, sa capacité à s’adapter aux nouvelles tendances technologiques et juridiques, et son désir de contribuer activement à l’avancement du droit numérique. Que vous soyez confronté à des enjeux de propriété intellectuelle, de cybersécurité, de protection des données personnelle sou à tout autre défi juridique du numérique, notre équipe est prête à vous accompagner avec expertise et détermination.
Dans le domaine du droit numérique, l’avocat joue un rôle crucial et se doit de rester constamment à jour sur les évolutions législatives et jurisprudentielles, tant au niveau national qu’international. Cela lui permet d’anticiper les changements et d’offrir des conseils avisés à ses clients. De plus, une compréhension approfondie des technologies numériques est essentielle pour saisir les problématiques uniques rencontrées par ses clients et aborder efficacement les questions de cybersécurité, de protection des données, d’intelligence artificielle, et plus encore.
Pour guider les entreprises dans le développement et la mise en œuvre de leurs projets innovants, il est donc impératif d’être ouvert sur le monde des technologies et de cultiver une veille jridique permanente.
EXPERTISES:
Protection de la propriété intellectuelle: droits d’auteur, base de données, logiciels, brevets, marques, noms de domaine, Droit pénal des affaires, Régulation du commerce électronique, Conditions générales de vente, Cybercriminalité, Règlementation de la publicité en ligne Cabinet est référencé comme un cabinet deréférence par le magazine Décideurs en Droit pénal des affaires et Droit des Nouvelles Technologie