Une fuite de données peut avoir de graves conséquences pour les citoyens et les entreprises. Que pouvez-vous faire en tant que citoyen, et que vous doit l’entreprise responsable ?
L’incident récent chez le fournisseur de télécoms néerlandais Odido le montre une fois de plus : une fuite de données peut arriver à n’importe qui. Nous laissons constamment des traces lorsque nous achetons des produits ou des services auprès d’entreprises. Les entreprises souhaitent collecter autant de données que possible sur nous afin d’avoir une idée précise de qui sont leurs clients.
En tant que citoyens, nous ne pouvons qu’espérer que ces données soient traitées avec soin, mais la pratique montre malheureusement que ce n’est pas toujours le cas. Les données à caractère personnel ont une grande valeur pour les cybercriminels afin de faire pression sur les entreprises ou, pire encore, d’usurper votre identité. Mais que pouvez-vous faire si vous êtes victime d’une fuite de données ? Nous avons posé les quatre premières questions que tout le monde devrait se poser lors d’une fuite de données à l’Autorité de protection des données (APD) belge.
Comment se protéger contre le phishing et la fraude ?
Les risques d’une fuite de données dépendent du contexte de la fuite et du type de données divulguées. Dans la plupart des cas, en tant que citoyen, vous serez une cible privilégiée pour le phishing, surtout lorsque les auteurs rendent les données publiques ou les mettent en vente dans le milieu criminel.
lire aussi
Des pirates publient une première partie des données volées d’Odido sur le dark web
« Restez vigilant face aux e-mails, SMS, appels téléphoniques ou messages suspects sur les applications. Les criminels combinent les données divulguées avec des informations accessibles au public pour envoyer des e-mails de phishing ciblés et convaincants ou pour se faire passer par téléphone pour un employé de banque », prévient Aurélie Waeterinckx, porte-parole de l’Autorité de protection des données belge, dans une réponse écrite.
L’APD donne quelques conseils concrets pour vous protéger :
- Raccrochez si une institution vous appelle ou vous envoie un message de manière inattendue.
- Ne partagez jamais d’informations en dehors des canaux officiels.
- Limitez la visibilité de vos profils sur les réseaux sociaux.
- Vérifiez l’adresse e-mail de l’expéditeur pour détecter des modifications subtiles dans le domaine (par ex. « 0 » au lieu de « o »).
- Soyez sceptique quant au contenu et ne cliquez pas sur les liens, surtout s’ils contiennent des offres exclusives ou des demandes urgentes.
Avec une bonne hygiène de mots de passe et de comptes, vous limitez le risque que des données de connexion divulguées soient utilisées pour pirater des comptes. Les règles classiques consistent ici à ne pas réutiliser les mots de passe, à les changer si nécessaire et à activer la MFA dès que possible. Grâce à des outils gratuits tels que HaveIBeenPwned.com, vous pouvez vérifier si vos données figurent dans une base de données compromise.
Quelles données les entreprises peuvent-elles conserver sur vous ?
« En principe, tous les types de données à caractère personnel peuvent être traités par des organisations pour atteindre un objectif spécifique et légitime, et si une base juridique existe à cet effet », explique Mme Waeterinckx. Pour les catégories dites « particulières » de données, des règles supplémentaires s’appliquent, comme pour les données biométriques et les données pouvant être lues directement sur une carte d’identité.
Mme Waeterinckx : « Le principe de minimisation des données s’applique ici : aucune donnée ne peut être traitée au-delà de ce qui est nécessaire pour atteindre l’objectif poursuivi. En outre, le principe de limitation de la conservation s’applique également, ce qui signifie que les entreprises ne peuvent pas conserver ces données plus longtemps que nécessaire. »
Si vous allez à l’hôtel, vous ne pouvez plus vous enregistrer aujourd’hui sans faire scanner votre carte d’identité. Des règles strictes et spécifiques s’appliquent également aux données des cartes d’identité en raison de leur sensibilité en cas de fuite. L’APD conseille d’être également prudent avec votre propre carte d’identité. « Ces copies sont souvent bien conservées, mais pas toujours. Si des services demandent tout de même votre carte d’identité pour en faire une copie, rendez les informations inutiles illisibles », écrit la porte-parole.
Si vous ne vous sentez pas à l’aise avec les données que les entreprises détiennent sur vous, sachez qu’en vertu du RGPD, vous avez le droit d’exiger la suppression de ces données. Les entreprises sont tenues de répondre à de telles demandes « dans un délai raisonnable ». Prenez-en l’habitude : plus une organisation traite de données vous concernant, plus le risque de fuite, et donc de préjudice, est grand.
Les entreprises sont-elles obligées de vous contacter ?
Si vos données ont été compromises lors d’une fuite, vous préférez sans doute en être informé le plus rapidement possible. Dans ce cas, vous préféreriez probablement recevoir un message personnel d’excuses de la part de l’entreprise responsable plutôt que d’apprendre la fuite dans les actualités. Le RGPD prévoit des directives claires sur les situations dans lesquelles les entreprises doivent informer personnellement leurs clients.
lire aussi
Que faire en cas de fuite de données ? 4 questions et réponses
En premier lieu, les entreprises doivent avertir l’autorité locale, comme l’APD en Belgique, dans les 72 heures si la fuite « est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées », précise Mme Waeterinckx. « Si la fuite présente un risque élevé pour les personnes concernées, l’entreprise doit également communiquer le plus rapidement possible avec les personnes elles-mêmes, afin qu’elles puissent prendre des mesures de protection ». C’est particulièrement essentiel lorsqu’il s’agit de données sensibles pouvant mener à une fraude à l’identité, à de la discrimination, ou à un préjudice financier ou de réputation.
Il est probable qu’une entreprise vous informe, mais il se peut aussi que vous découvriez une fuite de données qui n’est pas encore connue. Dans ce cas, informez immédiatement l’entreprise en question, de préférence par e-mail avec des captures d’écran comme preuves. Le DPO (Data Protection Officer) est alors la personne à contacter.
Les institutions publiques et les organisations qui traitent des données à caractère personnel de manière « systématique et à grande échelle » sont tenues, en vertu du RGPD, de nommer un DPO. Entre-temps, de nombreuses organisations qui n’y sont pas légalement tenues ont également un DPO sur leur liste de paie. Une étude du CEPD, l’organisme de protection de la vie privée de l’Union européenne, publiée en 2024, a toutefois conclu que les DPO doivent souvent composer avec un temps et des ressources limités.
Avez-vous droit à une indemnisation ?
Odido ne s’est pas fait apprécier en indiquant clairement dans sa communication que les clients concernés ne devaient s’attendre à aucune indemnisation. L’entreprise a fait valoir que les données divulguées ne présentaient pas de risque « direct ». En tant qu’autorité de contrôle, l’APD n’a pas de jugement définitif à rendre sur ce point, précise Mme Waeterinckx.
« L’APD est une autorité indépendante qui exerce un contrôle sur l’application du RGPD et d’autres dispositions relatives à la vie privée. » Les citoyens peuvent introduire une demande de médiation ou une plainte formelle auprès de l’autorité s’ils estiment qu’une entreprise est responsable d’une fuite de données ou n’a pas respecté ses obligations. L’autorité ouvrira alors une enquête et, si une infraction est constatée, imposera une éventuelle sanction appropriée.
Pour ceux qui souhaitent obtenir des dommages et intérêts, le recours au tribunal civil reste nécessaire. Celui-ci statuera sur la faute, le dommage et le lien de causalité. « L’APD n’est pas un tribunal civil habilité à exiger des dommages et intérêts », ajoute Mme Waeterinckx.
Une fuite de données n’est agréable pour aucun citoyen ni aucune organisation. Les victimes ont tout intérêt à agir rapidement et avec discernement : signalez la fuite si nécessaire, sécurisez immédiatement vos comptes et redoublez de vigilance face au phishing. Le principe de base reste le suivant : traitez les données à caractère personnel avec parcimonie et soin, car il vaut toujours mieux prévenir que guérir.