Face au vol de données sur Internet, comme dans le cas d’Orange, comment les utilisateurs sont-ils couverts ?

800.000 clients de chez Orange ont été piratés, le 16 janvier 2014 à partir de la page “Mon Compte” de l’espace Client.

L’opérateur n’a pu le faire savoir à ses abonnés que dimanche 2 février. Orange a indiqué dans un courrier à ses clients que les mots de passe n’avaient pas été piratés. Mais les donnés personnelles comme les noms, prénoms et adresses postales, numéros de téléphone, email… dérobés peuvent être utilisés par les fraudeurs pour des attaques ultérieures de “phishing” (envoi de mail frauduleux usurpant l’identité de la banque ou de l’opérateur pour réclamer mot de passe ou compte en banque), met en garde Orange.

Cyber-risques : quelles protections?

Depuis la loi de 1978, créant la CNIL (Commission Nationale Informatique et Liberté), les entreprises ont une obligation renforcée de moyen pour assurer la sécurité des données clients. Les éditeurs de site sont surveillés et contrôlés par la CNIL qui peut appliquer des sanctions administratives et des amendes allant jusqu’à 150.000 euros et 300.000 euros en cas de récidive. Ces amendes sont perçues par le Trésor Public.

Ainsi, le 3 janvier 2014, Google a été sanctionné à hauteur de 150.000 euros pour sa politique de règles de confidentialité peu claire et fusionnée en un seule alors que Google offre à l’utilisateur de multiples services qui permettent la collecte et le traitement croisé des données (Google search, YouTube, Gmail, Picasa, Google Maps…)

La CNIL peut également saisir la justice pour des infractions graves. En cas de préjudice pour un internaute, la responsabilité civile de l’entreprise est engagée. L’assurance de l’entreprise aura donc la charge de dédommager les victimes si la faute de l’entreprise est démontrée.

A l’échelle du particulier, certains assureurs comme Axa proposent depuis peu des assurances Internet contre le violation de données personnelles. On peut s’interroger sur leur utilité compte tenu de la difficulté de récupérer des données volées et de la législation bancaire déjà existante.

Fraudes à la carte bleue

Depuis 2009, en cas d’utilisation frauduleuse des données bancaires (sans utilisation du code bancaire), les sommes débités avant et après l’opposition sont totalement remboursées par la banque (article L. 133-18 du Code monétaire et financier).

En cas de faute lourde du client et de perte de son code bancaire, il doit débourser une franchise de 150 euros. Depuis 2009, les assurances moyens de paiement sont devenues assez inutiles. Elles ne servent qu’à couvrir cette franchise ou offrent désormais d’autres services (assurance perte de clés, perte de portables…)

Cyber-attaques rendues publiques

Depuis l’adoption du “paquet télécom“, à l’été 2011, les fournisseurs Internet comme Orange ont désormais l’obligation de notifier dans les 24 heures toute perte de données causées par une attaque informatique à l’autorité nationale compétente (en France, la CNIL) et à ses abonnés.

La protection des consommateurs devrait être encore renforcée. “Le projet de règlement européen relatif à la protection des données à caractère personnel et à la libre circulation de ces données est actuellement en discussion. Il prévoit d’étendre cette obligation de publier les pertes données pour toutes les grandes entreprises”, rappelle Laure Zicry, responsable juridique du courtier en assurance Gras Savoye Willis. “Sa date prévisionnelle du vote au Parlement européen est fixée au 1er trimestre 2014 pour une entrée en vigueur prévue le 1er janvier 2016“, ajoute-t-elle.

Comme le montre le cas d’Orange, la protection des données personnelles est encore  friable, même au sein des opérateurs télécoms. S’appuyant sur différentes études, Gras Savoye rappelle qu’il faut en moyenne 243 jours aux entreprises pour détecter une attaque ciblée et que 63% d’entre-elles sont signalées par un tiers.