Une actualité 2014 qui ne semble pas ralentir en 2015…
D’une part TF1 a été victime de pirates informatiques, Linker Squad, qui auraient volé des données à caractère personnel de près de 2 millions d’abonnés à TF1. Il s’agirait a minima de noms, prénoms, coordonnées mais probablement aussi de données bancaires voir de profils d’accès aux abonnements presse du groupe TF1.
D’autre part le piratage des bases de données de Sony Pictures Entertainment a également été dévoilé à la fin du mois d’octobre 2014, concernant près de 50 000 employés de Sony et leurs données personnelles (identité, coordonnées, fichiers confidentiels et correspondance privée dévoilée).
Autre exemple, aux Etats-Unis, la banque Morgan Stanley a été victime d’un vol de données concernant près de 350 000 clients et certaines données auraient même été publiées sur le net.
Pour rappel, en 2014 ont également été victimes de vols de données Snapchat (4,6 millions d’utilisateurs), Orange (1,3 million de clients/prospects), Target (40 millions de coordonnées et codes PIN de cartes bancaires) et Ebay. (150 millions d’utilisateurs).
Une sanction pénale du vol de données dans le contexte de BIG DATA et de valorisation des données des entreprises.
Victimes de pirates informatiques, de salariés ou de justiciers du web, les entreprises sont de plus en souvent soumises à des attaques sur les données personnelles qu’elles détiennent. Les objectifs des vols de données sont variés et mettent en avant le fait que les données sont la richesse des entreprises et qu’il leur revient de protéger ce patrimoine immatériel pour le valoriser.
Au-delà du caractère politico-économique entourant le vol de données, cette actualité nous permet de rappeler que la définition de vol de données reste complexe à qualifier pénalement car le vol est défini par la soustraction d’une chose, à sa disparition.
Afin de parer à cette difficulté et dans le prolongement d’une succession de jurisprudences divergentes, la loi du 13 novembre 2014 apporte une amélioration à la situation juridique. Ainsi, l’article 323-3 du Code Pénal, modifié le 13 novembre dernier réprime :
« Le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 75 000 euros d’amende.
Lorsque cette infraction a été commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à sept ans d’emprisonnement et à 100 000 € d’amende. »
Mais attention, les hackeurs ne sont pas les seuls soumis à des sanctions pénales…
Rappel de l’obligation de sécurité des entreprises
Pour rappel, ces entreprises, en qualité de responsable de traitement, doivent mettre en place des mesures de sécurité des données qui soient proportionnées et appropriées pour protéger leurs données clients et prospects. Il s’agit de mesures de gestion saine et d’anticipation des risques auxquelles tout dirigeant se doit de se conformer, d’autant que le principe en droit français reste que l’employeur est de plein droit responsable de l’activité de ses salariés.
Pour rappel, l’article 34 de la loi Informatique et libertés impose à tout chef d’entreprise collectant et traitant des données à caractère personnel de mettre en place des mesures de sécurité pour empêcher que ces données ne soient déformées, endommagées ou que des tiers non autorisés y aient accès.
A défaut, cela constitue une infraction pénale sanctionnée de cinq ans de prison et de 300 000 € d’amende (Article 226-17 du Code pénal). Pour les personnes morales la peine d’amende encourue est quintuplée, soit 1 500 000 euros.
Cette obligation de sécurité est d’ordre général et il n’existe pas de liste exhaustive de mesures à mettre en place. Cependant, l’employeur, en tant que responsable de traitement, peut voir sa responsabilité engagée du seul fait de la mauvaise identification des précautions à mettre en œuvre.