La digitalisation croissante de nos activités révèle l'importance capitale de la protection des données personnelles. Il est possible de constater l'augmentation rapide du volume de données dans les systèmes de traitement automatisé (STAD), les risques de sécurité associés, et les conséquences potentiellement graves des cyberattaques, telles que l'usurpation d'identité et l'escroquerie.
La Règlementation Générale sur la Protection des Données (RGPD) de l'UE est présentée comme une mesure clé contre ces menaces. Des exemples d'attaques récentes sur des institutions françaises (FFF, France Travail, etc.) illustrent la vulnérabilité des systèmes. Le document souligne l'importance des mesures préventives, tant pour les individus que pour les organisations, afin de protéger efficacement les données personnelles et sensibles.
Une gestion du risque pénal et une mise en conformité RGPD, accompagnés d’un système de cybersécurité efficace, permettent de réduire les risques d’atteintes aux STAD.
Alors que nos activités se digitalisent davantage chaque jour, la protection de nos données personnelles est devenue l’un des enjeux majeurs, tant à titre personnel que pour les organisations. En effet, la quantité de données, personnelles ou non, stockées sur les systèmes de traitement automatisé de données (STAD) s’accroit à une vitesse vertigineuse. Si la digitalisation de nombreuses activités présente de nombreuses opportunités, elle s’accompagne de risques significatifs et de menaces sérieuses à la sécurité des systèmes, des organisations et des individus.
Les répercussions d’une intrusion dans les STAD et du téléchargement de données peuvent être dévastatrices, allant de l’usurpation d’identité à l’escroquerie, en passant simplement par une perte de confiance. Dans ce contexte, la Règlementation Général sur la Protection des Données (RGPD) de l’Union européenne joue un rôle clé dans la définition des standards de protection des données et dans la réponse aux violations.
Récemment, plusieurs affaires d’envergure ont mis en lumière la vulnérabilité de certains systèmes informatiques face aux attaques ciblés, soulignant ainsi l’importance d’être vigilant et d’agir au stade préventif. Des institutions comme la Fédération Française de Football (FFF), France travail (ex-Pôle emploi), et diverses mutuelles ont été victimes de cyberattaques, entrainant une fuite de données massive. Ces incidents servent de rappel sur les risques associés à la sécurité des données et mettent en évidence l’urgence à adopter des mesures préventives efficaces.
Les STAD représentent l’ensemble des infrastructures informatiques et les logiciels permettant le stockage, le traitement et la transmission d’informations sous forme numérique. Ces systèmes sont omniprésents dans notre vie personnelle et professionnelle, soutenant des activités telles que les transactions bancaires en ligne, la gestion des dossiers médicaux, les espaces en ligne, les diverses communications.
Les atteintes aux STAD peuvent être commis via un piratage informatique simple visant à accéder à des données sans autorisation. Il peut également s’agir d’attaques plus élaborées, rançons via des rançongiciels qui chiffrent les données de l’utilisateur et exigent une rançon pour le déchiffrement et la restitution de l’accès au système. Le paiement de cette rançon ne garantit nullement que les données sont restituées (voire, elles le sont rarement) et ne garantit pas non plus la restitution de l’accès au système. L’objectif de ces intrusions peut être financier, mais peut par ailleurs être lié à du sabotage ou à un espionnage industriel.
Ce type d’attaque a de fortes répercussions pouvant inclure des dommages à la réputation des organisations concernées, entrainant une perte de confiance des parties prenantes, ainsi que des sanctions financières notamment liées au RGPD.
Les atteintes aux STAD ou la compromission des données personnelles et sensibles, est une menace sérieuse pour les individus, car les données compromises peuvent être utilisées à d’autres fins infractionnelles et particulièrement dans le cadre d’usurpation d’identité ou d’escroquerie.
Concernant les organisations victimes d’un vol de données, outre la sanction financière et le risque lié à la réputation, il y a de fortes perturbations opérationnelles, notamment des interruptions d’activité nécessitant le déploiement de ressources importantes pour la remédiation et la restauration des systèmes. Il y a également un risque de divulgation des secrets commerciaux ou des informations portant sur des innovations, pouvant compromettre l’avantage compétitif de l’organisation. Il y a enfin un coût important pour faire face à des actions en justice, en particulier la procédure pénale.
Le RGPD, entré en vigueur en mai 2018, joue un rôle crucial dans la protection des données personnelles au sein de l’UE puisqu’il impose aux organisations des obligations strictes en matière de gestion et de protection des données personnelles. Cela inclut la nécessité de mettre en place des mesures techniques et organisationnelles appropriées pour sécuriser les STAD contre les atteintes. Le RGPD confère aussi aux individus des droits sur leurs données, spécialement le droit d’accès, de rectification et d’effacement.
En cas de violation des données, notamment liée à une intrusion dans les STAD, le RGPD oblige les organisations à notifier l’autorité de protection des données compétentes (la CNIL), dans les 72 heures suivants la découverte de la violation, si celle-ci est susceptible de représenter un risque pour les droits et libertés des personnes physiques. Les organisations doivent également informer les individus affectés sans retard injustifié si la violation est susceptible d’entrainer un haut risque pour leurs droits et libertés.
Les sanctions pour non-conformité au RGPD peuvent s’élever jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial.
Pour les personnes physiques, lorsque vous découvrez que vos données personnelles ont été compromises à la suite d’une atteinte aux STAD, il convient de changer immédiatement les mots de passe, en commençant parles comptes les plus sensibles comme les comptes bancaires, les messageries électroniques ou les réseaux sociaux. Si des données bancaires ont été compromises, informez votre banque pour demander la mise en place d’une surveillance des activités suspectes. Vous pouvez enfin déposer plainte auprès de la police, plus particulièrement lorsque les données ont servi pour une usurpation d’identité ou une escroquerie.
Pour les organisations, veillez à prévenir les futures atteintes en sensibilisant sur les meilleures pratiques en matière de cybersécurité, en s’assurant de bloquer les emails dangereux, en utilisant des logiciels sécurisés. Veillez également à sécuriser vos systèmes.
S’agissant des rançongiciels, il peut être pertinent de prendre une assurance. En cas d’attaque, l’assurance ne pourra être mise en œuvre que si une plainte est déposée dans les 72 heures.