Le cabinet Avomedias vous proposera des solutions adaptées afin de protéger vos données personnelles sur Internet.

L’un de nos avocats vous accompagnera dans vos démarches auprès des juridictions que vous soyez la victime ou l’auteur d’un détournement ou d’un vol de vos données personnelles.

En 2020, les données personnelles d’environ 1,4 million de personnes ayant effectuées un dépistage du Covid-19 ont été volées à la suite d’une cyberattaque visant les hôpitaux publics. Une plainte a été déposée par l’Assistance publique-Hôpitaux de Paris (AP-HP) et le ministère de la Santé. Ces données incluent l’identité, le numéro de sécurité sociale, les coordonnées des personnes testées, l’identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé.

La multiplication des cyberattaques s’explique par la valeur considérable des données personnelles. Le Forum Économique Mondial 2021 a estimé que le marché des données personnelles pourra potentiellement générer 500 milliards de dollars d’ici 2024.

Selon la Commission nationale de l’informatique et des libertés (CNIL), une donnée personnelle désigne toute information se rapportant à une personne physique identifiée ou identifiable.

Le vol de données désigne une fuite par transfert ou stockage illégal de toute information de nature confidentielle, personnelle ou financière.

Ce vol de données qui touche les particuliers et les professionnels peut s’effectuer par des techniques de phishing, smishing mais aussi par des logiciels malveillants généralement connus sous le nom de malwares.

Aussi appelé « hameçonnage », le phishing est une technique frauduleuse destinée à tromper le destinataire pour l’inciter à communiquer des données personnelles (mots de passes, comptes d’accès…) et/ ou bancaires en se faisant passer pour un tiers de confiance.

Le phishing peut prendre la forme d’un courriel frauduleux, d’un faux SMS, d’un faux appel téléphonique d’une banque, d’un fournisseur d’énergie, d’une administration.

La finalité est de récupérer des informations sensibles personnelles ou professionnelles pour les utiliser frauduleusement.

Il s’agit généralement d’un message volontairement alarmiste (impayé, remboursement, compte expiré…) d’un site ou organisme qui vous ai familier (banque, caf, impôt) qui vous incitera à cliquer sur une page pour renseigner vos données personnelles.

Puis, l’auteur du phishing récupérera ces données à des fins frauduleuses notamment par des opérations de virement bancaire.

Le phishing n’est pas directement sanctionné par le Code pénal, or plusieurs infractions sont effectuées lorsqu’une personne réalise un phishing :

• L’usurpation d’identité sur Internet, prévu à l’article 226-4-1 du Code pénal. Cette infraction a été ajoutée par la loi LOPPSI II du 14 mars 2011. Elle est définie : « Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d'un an d'emprisonnement et de 15 000 € d’amende. Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne. »
• L’introduction dans un système de traitement automatisé des données (STAD) : Elle peut être réalisée grâce à l’usurpation d’identité. L’infraction est caractérisée par le fait d’usurper frauduleusement des adresses électroniques d’expéditeurs et d’en faire l’usage par l’envoi de courriels pour piéger les utilisateurs. Cette infraction est punie de deux ans d’emprisonnement et de 60 000 euros d’amende, conformément à l’article 323-1 du Code pénal.
• L’escroquerie : l’article 313-1 du Code pénal dispose : « L'escroquerie est le fait, soit par l'usage d'un faux nom ou d'une fausse qualité, soit par l'abus d'une qualité vraie, soit par l'emploi de manoeuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d'un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge ». Le phishing est une escroquerie, c’est une méthode frauduleuse qui contribue à détourner les données personnelles des personnes visées. L’escroquerie est punie de cinq ans d’emprisonnement et de 375 000 euros d’amende.
• La contrefaçon de marque : pour être crédible aux yeux des utilisateurs, l’auteur du phishing peut reproduire un faux site internet. Le « phisheur » peut être sanctionné pour usage de la marque sur le fondement de la contrefaçon. C’est ce que le Code de la propriété intellectuelle prévoit à l’article L713-2 : "Est interdit, sauf autorisation du titulaire de la marque, l'usage dans la vie des affaires pour des produits ou des services : 1° D'un signe identique à la marque et utilisé pour des produits ou des services identiques à ceux pour lesquels la marque est enregistrée ; 2° D'un signe identique ou similaire à la marque et utilisé pour des produits ou des services identiques ou similaires à ceux pour lesquels la marque est enregistrée, s'il existe, dans l'esprit du public, un risque de confusion incluant le risque d'association du signe avec la marque ». Et à l’article L713-3 du présent Code qui dispose : « Est interdit, sauf autorisation du titulaire de la marque, l'usage dans la vie des affaires, pour des produits ou des services, d'un signe identique ou similaire à la marque jouissant d'une renommée et utilisé pour des produits ou des services identiques, similaires ou non similaires à ceux pour lesquels la marque est enregistrée, si cet usage du signe, sans juste motif, tire indûment profit du caractère distinctif ou de la renommée de la marque, ou leur porte préjudice ». Ce délit est passible de trois ans d’emprisonnement et 300 000 euros d’amende.
• L’usage frauduleux d’un moyen de paiement : l’article L163-3 du Code monétaire et financier sanctionne de cinq ans d’emprisonnement et de 375 000 euros d’amende le fait de contrefaire ou de falsifier un moyen de paiement mais aussi d’en faire usage. Et l’article L163-4, quant à lui, punit de sept ans d’emprisonnement et de 750 000 euros d’amende le fait pour une personne de « fabriquer, d'acquérir, de détenir, de céder, d'offrir ou de mettre à disposition des équipements, instruments, programmes informatiques ou toutes données conçus ou spécialement adaptés pour commettre les infractions prévues à l'article précédent ».
• La collecte de données à caractère personnel : L’article 226-18 du Code pénal dispose : « Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal, ou illicite est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ». Le phishing étant un moyen frauduleux pour récupérer des données personnelles, l’auteur pourra donc être sanctionné.

L’hameçonnage par SMS : le smishing

Le smishing ou hameçonnage par SMS constitue une forme de phishing.

Cette pratique malveillante consiste à envoyer un SMS convaincant pour inciter le destinataire à cliquer sur le lien présent dans le SMS et à envoyer à l’attaquant des informations ou à télécharger des programmes malveillants sur un smartphone.

L’attaquant n’hésite pas à faire mention dans le SMS d’informations privées vous concernant comme votre identité ou vos coordonnées pour rendre le message d’autant plus convaincant.

Les informations obtenues par l’attaquant peuvent être :

• Des données bancaires qui peuvent servir de revente sur le marché noir, de fraude ou de vol.
• Des informations privées qui peuvent servir à une fraude ou une usurpation d’identité.