Fuites de données à répétition : ça suffit !

Boulanger, Bayard, Cultura, Sofinco, Meilleurtaux, Avis… C’est avec une certaine forme d’incrédulité, mais aussi de colère, que nous assistons, semaine après semaine, à la dissémination de nos données personnelles “dans la nature” (ou plutôt, sur le dark web). Les cybercriminels qui pénètrent le système d’information de ces entreprises s’en donnent à cœur joie. Jusqu’à présent, nos données bancaires (IBAN) semblaient avoir été épargnées, mais avec les fuites de données les plus récentes, celles de SFR et de Free, ce n’est plus le cas. Les pirates disposent désormais de la panoplie quasi-intégrale des informations leur permettant de procéder à des arnaques sophistiquées : phishing ultra-ciblé, prélèvements frauduleux, souscription en notre nom à des services payants…

Ces entreprises “passoires” auraient-elles oublié les obligations qui pèsent sur elles ? L’article 32 du RGPD rappelle pourtant que le responsable du traitement et ses sous-traitants doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Les sanctions prévues par le RGPD pour non-conformité ne semblent pas empêcher ces organisations d’être négligentes. Certaines d’entre elles ont d’ailleurs déjà écopé par le passé d’amendes infligées par la CNIL pour d’autres motifs. Gageons que les sanctions financières prévues par la directive NIS2 seront plus dissuasives. Pour mémoire, elles peuvent atteindre jusqu'à 2 % du chiffre d'affaires mondial total pour les entités essentielles et 1,4 % pour les entités importantes. Les impacts en termes d’image ne semblent pas faire bouger les directions générales de ces sociétés. Espérons qu’en les touchant au portefeuille, elles prendront les mesures adéquates, enfin.