19 millions de comptes clients piratés, des données personnelles dérobées puis revendues en ligne… Le cauchemar de tout entreprise est devenu réalité pour Free. Suite à une cyberattaque d’ampleur, l’opérateur télécoms doit désormais faire face à de lourdes conséquences, tant financières que réputationnelles. Mais au-delà du préjudice subi, Free risque-t-il des poursuites judiciaires pour cette fuite massive de données ?
Une faille de sécurité exploitée par les pirates
C’est la douloureuse découverte faite par Free il y a quelques jours : ses systèmes informatiques ont été la cible d’une cyberattaque sophistiquée, aboutissant au vol des données personnelles de millions de ses abonnés. Noms, prénoms, adresses, numéros de téléphone… Au total, les informations de 19 millions de comptes clients auraient été dérobées par les pirates, avant d’être mises en vente sur le darknet.
Si Free assure avoir rapidement colmaté la brèche, le mal est fait. L’opérateur a certes porté plainte, mais il n’en reste pas moins exposé à de sérieux risques juridiques. Car lorsqu’une telle fuite de données se produit, la responsabilité de l’entreprise peut être engagée si des manquements sont constatés dans la sécurisation et la protection des informations sensibles de ses clients.
L’épée de Damoclès des sanctions de la CNIL
En matière de données personnelles, les entreprises ont une obligation de moyens, mais pas de résultats. Autrement dit, elles doivent mettre en œuvre toutes les mesures appropriées pour protéger les informations de leurs clients, sans pour autant avoir l’obligation d’empêcher toutes les cyberattaques, par définition imprévisibles.
Mais gare à celles qui auraient failli à leurs devoirs ! La CNIL, le gendarme français des données personnelles, peut en effet infliger de lourdes sanctions en cas de négligence avérée. C’est elle qui déterminera si Free avait correctement sécurisé son système d’information ou si des failles exploitables existaient.
Plus les données sont sensibles, plus le niveau de sécurité attendu est élevé. Les sanctions de la CNIL peuvent atteindre 2% du chiffre d’affaires annuel mondial.
Suzanne Vergnolle, Docteure en droit du numérique
Un risque d’actions judiciaires des clients
Au-delà du volet CNIL, Free pourrait également avoir à répondre d’éventuelles actions en justice initiées par ses propres clients. Sur le fondement de la responsabilité civile cette fois : si un abonné s’estime lésé du fait de cette fuite de données et qu’une faute est démontrée, il pourrait réclamer l’indemnisation de son préjudice.
Un scénario peu probable cependant selon les experts. D’une part parce que les montants des réparations resteraient faibles au regard du temps et de l’argent à investir dans une telle procédure. D’autre part parce qu’il faudrait démontrer que Free n’a pas fait le nécessaire pour se prémunir du risque cyber. Un exercice délicat, alors que les pirates se montrent toujours plus habiles et inventifs.
Parfois, l’entreprise fait de son mieux, mais se retrouve face à des hackers très bons. Ce n’est pas qu’elle est fautive, juste que l’adversaire était meilleur.
Baptiste Robert, expert en cybersécurité
La nécessaire prise de conscience des entreprises
Plus qu’un enjeu juridique, c’est un électrochoc pour les entreprises. Car le risque cyber n’épargne personne, pas même les géants du numérique. Dans un monde toujours plus connecté, la sécurité des données est un défi permanent, qui appelle une vigilance de tous les instants et des investissements majeurs.
Sensibilisation des collaborateurs, audits réguliers, tests d’intrusion, mise à jour des failles… Autant de réflexes à intégrer pour limiter les risques. Car une cyberattaque ne se résume pas à un préjudice financier immédiat. C’est aussi et surtout un enjeu d’image et de réputation, qui peut durablement entacher la confiance des clients et partenaires. Un capital immatériel précieux, que toutes les entreprises ont le devoir de protéger.