Data protection day : le 28 janvier 2018 est le jour de la protection des données personnelles (fr)

Un article de la Grande Bibliothèque du Droit, le droit partagé.


France > Droit privé > Droit du numérique > Protection des données personnelles 


Fr flag.png

Thierry Vallat : Avocat au Barreau de Paris
Janvier 2018




Le 28 janvier est depuis plus de 10 ans le jour de la protection des données, le Data protection (ou privacy) day. L'occasion de revenir sur un fléau qui touche particuliers et entreprises: les attaques par rançongiciels.


De nombreuses cyberattaques interviennent en effet quotidiennement et votre sécurité numérique repose essentiellement sur la bonne gestion et la bonne utilisation de vos mots de passe.


Attention donc aux ransomwares ou rançongiciels qui circulent de plus en plus souvent et tentent de vous cyber-escroquer, comme Locky, WannaCry ou Petya qui ont déferlé ces derniers temps de manière virale via l'internet.


Un rançongiciel est un programme malveillant, appelé cryptolocker, qui chiffre les données du poste compromis. Il va également cibler les partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise. Celui-ci est exécuté, dans le cas présent, par une action de l'utilisateur. La victime est ensuite invitée à verser de l'argent afin que l'attaquant déchiffre les fichiers ciblés.


Attention donc: pour éviter d'être infecté, il faut appliquer les mêmes règles de précaution que contre le "phishing" (hameçonnage de données personnelles) indiquées ci-dessous. (lire également notre article Arnaque du phishing )


Rappelons le principe du Ransomware:


Des cyber-escrocs envoient par courrier électronique (mail) une pièce jointe contenant le virus.

Une fois cette dernière ouverte :


  • Tous les fichiers du destinataire,
  • Tous les périphériques branchés (clés usb, disque durs externes, etc.),
  • Tous les répertoires partagés sur un réseau

sont rendus inaccessibles (cryptés) et leurs extensions modifiées en .locky , .mp3 ou .xxx


Ces données, désormais chiffrées, ne peuvent plus être récupérées et les cyber-escrocs vous demandent une rançon, désormais souvent en crypto-monnaies comme le bitcoin ou le monero, pour les débloquer.


Quels sont les bons réflexes à avoir:


  • Je vérifie l'origine du message électronique ;


En cas de doute, je n'ouvre pas la pièce jointe et je m'assure auprès de la personne qui me l'a envoyée qu'il s'agit bien de son document;

  • Je me tiens au courant de l'actualité, par exemple de faux messages circulent fréquemment ;
  • Je pense à maintenir mes équipements à jour (logiciels, antivirus, etc.);
  • Je fais des sauvegardes régulières de mes documents sensibles sur des disques externes.

Si j'ai ouvert la pièce jointe :


  • Je coupe l'accès à internet (je débranche le câble ethernet ou je désactive le wifi) ;
  • Je ne réponds pas aux sollicitations du cyber-escroc et ne paye pas les rançonneurs
  • Je le signale aux autorités via la plateforme de signalement "Pharos" (nouvelle fenêtre)
  • Je porte plainte


Rappelons que l'article 312-1 du code pénal relatif à l'extorsion qui est le fait d'obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d'un secret, soit la remise de fonds, de valeurs ou d'un bien quelconque punit ces manoeuvres de 7 années d'emprisonnement et 100.000 euros d'amende. Le chantage est pour sa part réprimé par l'article 312-10 du code pénal.


Selon la CNIL, il est du devoir de chaque entreprise d’assurer la sécurité des données de vos clients en toute circonstance. De nombreuses procédures de sanctions ont ainsi épinglé en France des sociétés défaillantes pour sécuriser les données clients, comme récemment Orange ou Uber.


Et rappelons qu'au 25 mai 2018 va s'appliquer le RGPD qui imposera au niveau européen, outre les obligations générales de sécurité applicables à tout responsable de traitement ou sous-traitant, que les violations de données à caractère personnel, à savoir les failles de sécurité en matière de données, fassent l’objet d’une gestion particulière et d 'une information.


C'est ainsi qu'en cas de faille de sécurité affectant des données à caractère personnel, le responsable de traitement devra mettre en œuvre un process spécifique en informant l'autorité de contrôle sous 72 heures et les personnes concernées par le piratage, dans les meilleurs délais (lire notre article Le RGPD entre en vigueur le 25 mai 2018: serez vous prêts ?