La récente attaque informatique ayant ciblé Free a abouti à la fuite des données personnelles de près de 20 millions de clients. Ces derniers s’exposent de ce fait à un risque élevé d’escroquerie. Cette situation a incité un certain nombre d’entre eux à envisager une action en justice contre l’opérateur téléphonique.
Free peut-elle faire l’objet de poursuites judiciaires ?
D’après Suzanne Vergnolle, experte en droit du numérique,
La responsabilité de Free pourrait être engagée si l’enquête révélait une négligence dans la sécurisation de son système d’information et de sa base des données. Dans ce cas, elle ferait l’objet d’une poursuite judiciaire et serait condamnée au versement d’une amende de plusieurs millions d’euros.
Suzanne Vergnolle
Important Plus précisément, ce montant pourrait aller jusqu’à 10 millions d’euros, auquel s’ajouterait la pénalité financière imposée par la CNIL (Commission nationale informatique et libertés), qui correspond à 2 % du chiffre d’affaires annuel de la société (au maximum).
En revanche, si l’entreprise avait tout mis en œuvre pour bloquer les tentatives d’intrusion, aucune sanction ne devrait être appliquée.
Obligation de prévenir la CNIL
La loi prévoit que toute entreprise en France victime d’une cyberattaque est tenue d’aviser immédiatement cette institution . Suzanne Vergnolle a précisé que
Le niveau de standard de la sécurisation des données exigé est élevé pour les sociétés qui stockent des informations sensibles sur leurs clients.
Suzanne Vergnolle
En plus des solutions techniques, l’intervention d’un expert cybersécurité est également requise. Ce professionnel se charge non seulement de la mise en place des dispositifs de sécurité, mais aussi de la détection et de la correction des failles, et de l’anticipation des intrusions, et assure la continuité des activités en cas d’attaque réussie.
Il s’agit ainsi d’une obligation de moyens : prendre toutes les précautions nécessaires pour limiter au minimum les risques demeure un impératif absolu.
La CNIL pourrait également vérifier si l’incident est survenu suite à une erreur humaine. L’entreprise ne peut pas néanmoins être tenue responsable du piratage de son système informatique par des cybercriminels s’il a fait tout son possible pour protéger sa base des données.
Les clients peuvent-ils porter plainte ?
Dans le cas de Free, ses clients peuvent déposer plainte sur le site gouvernemental « Cybermalveillance » s’ils sont la cible d’une tentative d’escroquerie. Pour cela, il leur suffit de remplir le formulaire disponible.
Et si l’enquête révèle que l’entreprise n’a pas pris toutes les dispositions nécessaires pour sécuriser les données, les clients sont autorisés à engager une action en responsabilité civile contre elle et demander réparation.
Toutefois, d’après l’experte en droit du numérique,
La procédure judiciaire peut prendre du temps et s’avère être coûteuse, alors que dans la plupart des cas, le montant de l’indemnisation versé aux plaignants est assez modique. Ces affaires sont ainsi rarement portées devant les tribunaux.
Aucune sanction financière n’est prévue pour une institution publique
Si la victime de la cyberattaque impliquant une fuite des informations sensibles est une institution publique, la législation ne prévoit pas de sanction financière à son encontre. La CNIL se limite à des rappels à l’ordre ou exige la mise en conformité des mesures de sécurité du SI et de la base de données.
Pour leur part, les utilisateurs peuvent engager des actions auprès du tribunal administratif s’ils souhaitent porter plainte contre l’entité concernée.
