Le piratage informatique a été au cœur de l’actualité de ces derniers mois. L’occasion nous est donc donnée de faire un état des lieux des risques juridiques qu’un piratage fait peser sur l’entreprise.
Le 24 novembre 2014, Sony Pictures a été victime d’une attaque informatique de grande ampleur. A la suite du piratage de son réseau, quatre longs métrages qui n’étaient pas encore sortis en salle ont été diffusés sur le réseau BitTorrent. La perte pour Sony Pictures ne s’est pas arrêtée là. Des centaines de boîtes mail de salariés de Sony Pictures, dont celles des dirigeants, ont également été corrompues, des informations financières et marketing ont été diffusées. Selon les informations largement propagées sur Internet, le piratage de Sony Pictures révéla que de nombreuses informations confidentielles, comme des mots de passes de comptes twitter et facebook ou de comptes bancaires, étaient tout simplement stockées en clair dans des documents textes sur le réseau de l’entreprise.
Plus proche de nous, le 2 janvier, le piratage du site tf1.fr était révélé. Selon les informations diffusées sur internet, les pirates auraient récupéré les données de plus d’un million neuf cent mille comptes utilisateur. Dans ces informations figurent parfois des données bancaires comme des RIB. A la suite de ce piratage, TF1 a fourni quelques explications en indiquant que les comptes qui avaient été piratés n’étaient pas sous son contrôle mais sous celui d’une société partenaire, Viapresse. Dans son communiqué de presse, TF1 indique : « TF1 a référencé sur son portail un partenaire commercial qui propose des abonnements presse à ses clients. Le site proposant ces abonnements, bien que référencé sous l’URL de tf1.fr[1], est placé sous le contrôle exclusif de ce partenaire et ce indépendamment de la gestion du site tf1.fr par les équipes de TF1 ». S’agissant des RIB, Viapresse a indiqué que « les RIB de ces clients sont stockés dans une base de données cryptée non accessible ».
Une obligation légale de sécurité des données
La personne dépositaire d’une donnée dont la divulgation est susceptible de causer un dommage à un tiers, engage sa responsabilité délictuelle vis-à-vis de ce tiers et devra donc indemniser la victime du dommage que lui causerait cette divulgation. Les textes fondateurs de notre droit de la responsabilité trouvent ici pleinement à s’appliquer : l’article 1382 du code civil, lorsque cette divulgation est volontaire ou l’article 1383 du code civil, si cette divulgation résulte d’une négligence ou d’une imprudence, ce qui sera le cas de figure le plus habituel.
Dans les relations dématérialisées, la sécurité des données bancaires est concernée au premier chef. Si de telles données sont « hackées », avec un degré de précision suffisant pour permettre au pirate d’effectuer des paiements frauduleux, la responsabilité du site dépositaire à l’origine de la fuite de données se trouvera engagée.
A cet égard, une question de preuve surgit qui vient tempérer cette conclusion automatique. Il faudra que la victime soit en mesure de prouver que les paiements frauduleux réalisés l’ont été grâce aux données en provenance du site piraté, une preuve qui ne s’annonce pas simple à apporter.
Soulignons également qu’en France, le Code Monétaire et Financier prévoit dans son article L133-18 un mécanisme protecteur des détenteurs de carte bancaire. En cas de vol de leurs données entraînant un paiement non autorisé, l’établissement bancaire doit rembourser immédiatement au payeur le montant de l’opération non autorisée. Ce faisant, ce mécanisme protecteur – corolaire certainement indispensable à l’essor du commerce électronique – limite les risques de préjudice pour les détenteurs de cartes.
On est frappé par la masse d’informations divulguées à la suite d’un piratage tel celui subi par Sony Pictures. Cependant, si l’on exclut les données bancaires et parfois quelques données sensibles comme celles relatives à la santé, considéré au niveau de chaque individu, le préjudice constituer par la divulgation de ses données est le plus souvent très limité voire inexistant. Si l’on en juge par les informations fournies concernant le piratage de tf1.fr, les données en question sont des noms, prénoms, adresse et e-mail. Leur simple divulgation ne suffit pas, en soi, à constituer un préjudice pour les personnes en question. Le risque provient de l’usage ultérieurement potentiel de ces données dans le cadre d’une opération de phishing mais le lien de causalité entre la fuite des données et le dommage tend alors à s’atténuer.
Lorsque les données considérées sont des données personnelles, l’article 34 de la loi du 6 janvier 1978 informatique et libertés impose clairement à la charge du responsable du traitement des données une obligation de sécurité. Celui-ci dispose : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Le non-respect de cet article est assorti d’une sanction pénale de cinq ans d’emprisonnement et de 300 000 € d’amende, jamais appliquée à ce jour.
Au fondement de cet article, la Cnil prescrit aux responsables des traitements un certain nombre d’obligations liées à la sécurité des données personnelles ainsi que nous l’illustrerons ci-dessous.
Mais où est la faute ?
Nous l’avons dit, les articles 1382 et 1383 du code civil imposent à toute personne ayant commis une « faute » ou une « négligence » à réparer le dommage qu’elle a causé.
En la matière, où se situe la faute ou la négligence de Sony Picture, TF1 ou Viapress ? Un système d’information est basé sur de multiples technologies logicielles dont la plupart présentent des failles de sécurité. Ces failles ne sont pas de la responsabilité des entreprises utilisatrices des technologies en question mais de celles qui les conçoivent. Si l’on peut attendre d’une entreprise qu’elle veille à corriger les failles de sécurité dès qu’un correctif est rendu disponible, si l’on peut également exiger d’une entreprise qu’elle déploie les ressources et les moyens pour protéger au maximum son système d’information, il est illusoire de penser qu’une sécurité absolue sera atteinte, d’autant plus que les moyens à mettre en œuvre peuvent être hors de proportion avec la nature des données devant être protégées. En d’autres termes, aucun système d’information ouvert sur l’internet ne sera jamais absolument sécurisé.
On peut donc penser que la faute pour une entreprise est de ne pas mettre en œuvre une sécurité à l’état de l’art ou encore insuffisante au regard de la nature des données concernées et des risques liés aux technologies employées. Il est plus difficile à envisager qu’on puisse exiger une inviolabilité du système d’information. D’ailleurs, dans l’affaire Sony Pictures, selon les autorités américaines, il s’agissait d’une attaque particulièrement sophistiquée et le FBI a déclaré que 90% des systèmes d’information des entreprises privées n’auraient pas résisté à l’attaque.
Un réseau étant par nature pénétrable, il est essentiel que les entreprises veillent à préserver la sécurité de leurs données confidentielles par des mesures complémentaires. On est frappé par le fait que dans de nombreuses affaires, l’affaire Sony Pictures mais également l’affaire Orange, les données personnelles ou confidentielles stockées sur les systèmes de l’entreprise ou de ses prestataires n’étaient pas protégées par des dispositifs cryptographiques. C’est certainement là, un manquement à une règle de prudence de base.
En avril 2014, Orange a en effet été victime d’une intrusion frauduleuse conduisant à la fuite de données de 1,3 millions de personnes. En l’espèce, il avait suffi de modifier l’URL d’un lien de désabonnement figurant dans un mailing pour permettre aux fraudeurs de retrouver sur des serveurs des fichiers clients utilisés par un prestataire assurant l’envoi des mailings. A la suite de cette affaire, la Cnil a rendu public un avertissement à l’encontre de l’opérateur. Au titre des reproches adressés, la Cnil a retenu que la société n’avait pas fait réaliser d’audit de sécurité avant d’utiliser la solution technique de son prestataire alors que, selon elle, cette mesure aurait permis à Orange d’identifier la faille de sécurité. La Cnil a également souligné qu’Orange avait envoyé de manière non sécurisée à ses prestataires les mises à jour de ses fichiers clients.
A qui la faute ?
Toute entreprise a recours à des tiers pour l’organisation, l’exploitation et le maintien de son système d’information. L’affaire du piratage du site tf1.fr, et plus précisément de la partie du site tf1.fr dédiée aux abonnements presse, tout comme celle d’Orange, montre que les entreprises doivent concevoir la sécurité des données dans un cercle dépassant leurs propres systèmes mais englobant aussi celui de leurs prestataires ou partenaires avec lesquels elles échangent des données.
En cas d’atteinte aux données, qui sera responsable tant des dommages causés aux tiers que des sanctions que la Cnil, voire les tribunaux, peuvent-être amenés à prononcer ?
La loi du 6 janvier 1978 répond à cette question en définissant le responsable du traitement des données personnelles. Le responsable du traitement est celui qui définit les caractéristiques et finalités du traitement réalisé. Dans l’affaire Orange, le fait que la faille de sécurité ait pour origine le système du prestataire d’e-mailing n’a pas dédouané Orange du respect de ses obligations. Le prestataire d’e-mailing est clairement qualifié par la Cnil de « sous-traitant » au sens de la loi du 6 janvier 1978, alors même, d’ailleurs, qu’il n’est pas « sous-traitant » au sens de la loi du 31 décembre 1975 sur la sous-traitance. Le sous-traitant est celui qui assure des opérations techniques sur les données à la demande du responsable du traitement et selon ses directives.
Dans l’affaire TF1, la situation est différente puisqu’il semble que ce soit Viapresse qui était en relation juridique directe avec les internautes pour la prise et la gestion de leurs abonnements presse. Le fait que tf1.fr permette l’accès à Viapresse ne fait pas automatiquement de l’éditeur du site tf1.fr le responsable du traitement.
A cet égard, l’attention du responsable du traitement est appelée sur le contrat qui l’unit à son sous-traitant. Dans l’affaire Orange, la Cnil a souligné qu’aucune clause de sécurité et de confidentialité des données n’avait été prévue entre les parties.
Le contrat est aussi un moyen de mettre le sujet de la sécurité des données échangées au cœur des préoccupations des parties. Au-delà d’une clause mettant une obligation générale de sécurité et de confidentialité à la charge du prestataire, le responsable du traitement doit interroger son prestataire sur les mesures de sécurité qu’il met en œuvre voir prendre des dispositions (audits de sécurité, visite des installations, etc…) afin de s’assurer de l’effectivité de ces mesures. Enfin, le contrat permettra au responsable de traitement de se retourner contre le prestataire afin de se faire indemniser du préjudice subi du fait de la défaillance du système de sécurité mis en place par ce dernier.
