La cyber-attaque dont a été victime Orange et ses clients est la deuxième en quelques mois. Que peuvent faire les clients?

Après le vol des données de 1,3 million de clients Orange détecté le 18 avril et rendu publique ce mardi 7 mai, on peut s’interroger, comme nous le fait remarquer un lecteur, sur la possibilité de résilier son contrat. Car un incident similaire a été identifié par Orange en janvier dernier, affectant 800.000 clients.

L’opérateur telecom est-il vulnérable aux attaques des pirates ? Peut-on mettre en doute sa capacité à protéger les données personnelles et à remplir ses obligations contractuelles de sécurité  ?

A priori, la loi l’autorise. “En cas de faute contractuelle, le droit général de la consommation permet à la victime d’obtenir soit l’exécution forcée du contrat – ce qui serait dur de faire – soit la rupture du contrat et le versement d’indemnités“, explique Amal Taleb, juriste à l’association de consommateurs UFC Que Choisir.

Mais deux problèmes se posent. “En saisissant la justice, le client devra être en mesure de quantifier son préjudice pour pouvoir l’invoquer“, souligne-t-elle. Or, on voit qu’il sera très difficile pour un abonné qui utilise Internet régulièrement de pouvoir à la fois évaluer et imputer un préjudice (une fraude bancaire par exemple) directement à son opérateur.

Par ailleurs, d’après la loi informatique et liberté, Orange comme les autres fournisseurs d’accès à Internet est tenu à une seule obligation de moyens en matière de sécurité. Le client aura donc du mal à se retourner contre son opérateur à moins qu’il prouve que ce dernier a commis une faute grave de sécurité.

Sans passer par la voie judiciaire, les abonnés peuvent se tourner vers la CNIL (la Commission Nationale de l’Informatique et des Libertés) qui est chargée de veiller à l’utilisation faite des données personnelles. C’est elle qui va enquêter sur le piratage des données personnelles des clients Orange. Elle dispose d’un pouvoir de sanction qu’elle a utilisé dernièrement, en infligeant une amende de 150.000 euros à Google en France, pour sa mauvaise politique de confidentialité des données.

La notification de la violation des données personnelles obligatoire

Si les moyens d’actions pour le consommateur restent finalement assez limités à son niveau, il dispose d’un droit d’information. Depuis 2012, le législateur impose aux opérateurs de rendre public la violation des données personnelles à la CNIL dans les 24H et s’il le faut aux clients.

Si la CNIL considère qu’il y a eu atteinte aux données personnelles ou à la vie privée ou si elle estime que le fournisseur n’a pas mis en place des mesures techniques qui ont permis de rendre incompréhensibles les données volées, l’opérateur devra en informer ses clients.

“Le vol de noms, prénoms, numéros de portables, constitue une atteinte aux données personnelles dont doit être informé les clients. Dans la cyber-attaque précédente d’Orange, l’opérateur avait envoyé un courrier nominatif à toutes les victimes“, précise Amal Taleb.

L’obligation de notification pourrait être étendue à toutes les entreprises

Un projet de règlement européen relatif à la protection des données, actuellement en discussion, prévoit d’étendre ce devoir de notification aux clients pour toutes les entreprises.

Le risque d’une mauvaise publicité faite par les médias et les clients les inciterait alors à renforcer leurs protections. En outre, les autorités compétentes comme la CNIL pourraient sanctionner sévèrement (100 millions d’euros ou 5% du chiffre d’affaires maximum) les entreprises récalcitrantes à ces règles.

• mots clés
• assurance cyber risque
• cyber attaque
• Cyber-risque
• orange piratage données
• protections données personnelles