Comment réagir en cas de fuite ou violation de données personnelles ?
Une fuite ou violation de données personnelles est l’accès et/ou la divulgation non autorisés d’informations personnelles détenues par un tiers. Que faire en cas de fuite ou violation de données personnelles ? Contacter le service ou l’organisme concerné, changer votre mot de passe, déposer plainte…
- Qu’est-ce qu’une fuite ou violation de données personnelles ?
- Comment se prémunir contre les fuites de données personnelles ?
- Que faire en cas de fuite ou violation de données personnelles ?
- Violation de données personnelles, que dit la loi ?
- Nos supports sur la fuite ou violation de données personnelles
1. Qu’est-ce qu’une fuite ou violation de données personnelles ?
Une fuite ou violation de données personnelles est l’accès ou la divulgation non autorisés d’informations personnelles détenues par un tiers (sites Internet, services en ligne, entreprises, associations, collectivités, administrations). L’origine de la fuite peut être accidentelle ou malveillante, interne ou externe à l’organisation qui détient ces données.
Une donnée personnelle désigne une information susceptible d’identifier directement ou indirectement une personne (nom, adresse postale, adresse de messagerie, numéro de téléphone, numéro de sécurité sociale…).
Selon les cas et la nature des informations divulguées, et si elles sont récupérées par des
cybercriminels, une fuite de données personnelles peut avoir de multiples conséquences
possibles pour la personne qui en est victime : hameçonnage ciblé ou tentative d’escroquerie,
fraude, extorsion, atteinte à l’image ou la réputation, usurpation d’identité, cyberharcèlement, ou
encore tentatives de piratage des comptes en ligne lui appartenant.
But recherché
Les informations personnelles divulguées (identité, mot de passe, données bancaires…) peuvent être récupérées par des cybercriminels pour en faire un usage frauduleux ou pour les revendre à d’autres cybercriminels qui les utiliseront.
2. Comment se prémunir contre les fuites de données personnelles ?
3. Que faire en cas de fuite ou violation de données personnelles ?
- Si vous êtes informé d’une possible violation de vos données personnelles, contactez au besoin le service ou organisme concerné pour la confirmer et savoir quelles informations ont pu être compromises.
- Changez au plus vite votre mot de passe sur les sites ou services concernés par la fuite de données ainsi que sur tous les autres sites ou comptes sur lesquels vous pouviez l’utiliser.
- Si vos coordonnées bancaires figurent dans la fuite de données, prévenez immédiatement votre banque et faites au besoin opposition aux moyens de paiement concernés. Contrôlez régulièrement vos comptes pour détecter toute opération anormale.
- Signalez les pages, les comptes, les messages divulguant vos informations personnelles auprès des plateformes sur lesquelles elles sont diffusées et demandez leur suppression. Exemples de liens de signalement pour les principaux réseaux sociaux : Facebook, Twitter, LinkedIn, Instagram, Snapchat, YouTube. Contactez directement le service concerné s’il ne figure pas dans cette liste.
- Demandez à ce que vos données personnelles divulguées ne soient plus référencées par les moteurs de recherche lorsqu’elles y apparaissent. Exemple de formulaire de demande de suppression de données personnelles pour les principaux moteurs de recherche : Bing, Qwant, Google, Yahoo, autres. En savoir plus avec la CNIL.
- Si, un mois après votre demande de suppression, vos données personnelles sont toujours accessibles sur la plateforme concernée, ou si vous estimez que vos données personnelles n’ont pas été suffisamment protégées par l’entreprise ou l’entité à qui vous les aviez confiées, vous pouvez adresser une réclamation (plainte) à la CNIL par le biais de son téléservice de plainte en ligne (https://www.cnil.fr/fr/plaintes/internet).
- En cas d’utilisation frauduleuse de vos données personnelles divulguées, conservez toutes les preuves (messages, adresse du site web, captures d’écran…) et déposez plainte au commissariat de police ou à la brigade de gendarmerie ou encore par écrit au procureur de la République du tribunal judiciaire dont vous dépendez.
- Engagez au besoin une action de groupe ou un recours collectif qui permet aux victimes de demander la cessation de la violation de données personnelles et la réparation du préjudice.
4. Violation de données personnelles, que dit la loi ?
En fonction du cas d’espèce, les infractions suivantes peuvent être retenues :
– Escroquerie (article 313-1 du Code pénal) : l’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. Délit passible d’une peine d’emprisonnement de cinq ans et de 375 000 euros d’amende.
– Usurpation d’identité (article 226-4-1 du Code pénal) : le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est passible d’une peine d’un an d’emprisonnement et de 15 000 euros d’amende.
– Collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite (article 226-18 du Code pénal) : une telle collecte constitue un délit passible d’une peine d’emprisonnement de cinq ans et de 300 000 euros d’amende.
– Contrefaçon et usage frauduleux de moyen de paiement (articles L163-3 et L163-4 du Code monétaire et financier) : délit passible d’une peine d’emprisonnement de sept ans et de 750 000 euros d’amende.
– Accès frauduleux à un système de traitement automatisé de données (article 323-1 du Code pénal) : le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est passible de trois ans d’emprisonnement et de 100 000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine encourue est de cinq ans d’emprisonnement et de 150 000 euros d’amende.
– Atteinte au secret des correspondances (article 226-15 du Code pénal) : infraction passible d’une peine d’emprisonnement d’un an et de 45 000 euros d’amende.
5. Nos supports sur la fuite ou violation de données personnelles
Fuite ou violation de données personnelles
Téléchargez notre fiche réflexe sur la fuite ou violation de données personnelles au format PDF afin d’adopter les bonnes pratiques en matière de sécurisation numérique et savoir réagir si vous en êtes victime.
Publié le 26/06/2023PDF 166 KoTéléchargerLirePour informer et sensibiliser les publics sur les menaces numériques, Cybermalveillance.gouv.fr met à disposition divers contenus thématiques : des supports variés pour comprendre les cybermenaces et savoir comment y réagir, ainsi que des bonnes pratiques à adopter pour assurer votre sécurité numérique.
> Consulter la liste de l’ensemble des ressources mises à disposition par le dispositif.
Autres Fiches réflexes
Piratage de compte, que faire ?
Le piratage de compte désigne la prise de contrôle par un individu malveillant d’un compte (messagerie, réseau social…) au détriment de son propriétaire légitime. Il peut avoir différentes conséquences comme l’usurpation d’identité, le vol de données bancaires…
Que faire en cas de phishing ou hameçonnage ?
Le phishing ou hameçonnage est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles et/ou bancaires en se faisant passer pour un tiers de confiance.
Comment faire face à l’arnaque au faux support technique ?
Votre appareil semble bloqué et on vous demande de rappeler d’urgence un numéro de support technique ? Il s’agit probablement d’une arnaque au faux support technique. Que faire dans ce cas ? Ne pas appeler le numéro, redémarrer votre appareil, faire opposition, déposer plainte…