Le Cabinet Avomedias a fait de la protection des données un de ses principaux enjeux. Notre Cabinet vous conseille sur les bonnes conduites à adopter pour les protéger et vous assiste en cas de cyberattaque.

Nos prestations

Solutions

Le cabinet Avomedias vous proposera des solutions adaptées afin de protéger vos données personnelles sur Internet.

Accompagnement

L’un de nos avocats vous accompagnera dans vos démarches auprès des juridictions que vous soyez la victime ou l’auteur d’un détournement ou d’un vol de vos données personnelles.

Demandez un devis

L’équipe du Cabinet Avomedias répond à vos questions. Exposez-nous votre situation dans le cadre d'un premier rendez-vous afin d'auditer votre dossier et vous soumettre un devis précis.

En 2020, les données personnelles d’environ 1,4 million de personnes ayant effectuées un dépistage du Covid-19 ont été volées à la suite d’une cyberattaque visant les hôpitaux publics. Une plainte a été déposée par l’Assistance publique-Hôpitaux de Paris (AP-HP) et le ministère de la Santé. Ces données incluent l’identité, le numéro de sécurité sociale, les coordonnées des personnes testées, l’identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé.

La multiplication des cyberattaques s’explique par la valeur considérable des données personnelles. Le Forum Économique Mondial 2021 a estimé que le marché des données personnelles pourra potentiellement générer 500 milliards de dollars d’ici 2024.

Qu’est-ce que le vol de données ?

Selon la Commission nationale de l’informatique et des libertés (CNIL), une donnée personnelle désigne toute information se rapportant à une personne physique identifiée ou identifiable.

Le vol de données désigne une fuite par transfert ou stockage illégal de toute information de nature confidentielle, personnelle ou financière.

Ce vol de données qui touche les particuliers et les professionnels peut s’effectuer par des techniques de phishing, smishing mais aussi par des logiciels malveillants généralement connus sous le nom de malwares.

Le phishing, nouvelle forme d’escroquerie sur internet

Aussi appelé « hameçonnage », le phishing est une technique frauduleuse destinée à tromper le destinataire pour l’inciter à communiquer des données personnelles (mots de passes, comptes d’accès…) et/ ou bancaires en se faisant passer pour un tiers de confiance.

Le phishing peut prendre la forme d’un courriel frauduleux, d’un faux SMS, d’un faux appel téléphonique d’une banque, d’un fournisseur d’énergie, d’une administration.

La finalité est de récupérer des informations sensibles personnelles ou professionnelles pour les utiliser frauduleusement.

Il s’agit généralement d’un message volontairement alarmiste (impayé, remboursement, compte expiré…) d’un site ou organisme qui vous ai familier (banque, caf, impôt) qui vous incitera à cliquer sur une page pour renseigner vos données personnelles.

Puis, l’auteur du phishing récupérera ces données à des fins frauduleuses notamment par des opérations de virement bancaire.

Les différentes infractions réalisées par l’utilisation du phishing.

Le phishing n’est pas directement sanctionné par le Code pénal, or plusieurs infractions sont effectuées lorsqu’une personne réalise un phishing :

  • L’usurpation d’identité sur Internet, prévu à l’article 226-4-1 du Code pénal. Cette infraction a été ajoutée par la loi LOPPSI II du 14 mars 2011. Elle est définie : « Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d'un an d'emprisonnement et de 15 000 € d’amende. Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne. »
  • L’introduction dans un système de traitement automatisé des données (STAD) : Elle peut être réalisée grâce à l’usurpation d’identité. L’infraction est caractérisée par le fait d’usurper frauduleusement des adresses électroniques d’expéditeurs et d’en faire l’usage par l’envoi de courriels pour piéger les utilisateurs. Cette infraction est punie de deux ans d’emprisonnement et de 60 000 euros d’amende, conformément à l’article 323-1 du Code pénal.
  • L’escroquerie : l’article 313-1 du Code pénal dispose : « L'escroquerie est le fait, soit par l'usage d'un faux nom ou d'une fausse qualité, soit par l'abus d'une qualité vraie, soit par l'emploi de manoeuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d'un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge ». Le phishing est une escroquerie, c’est une méthode frauduleuse qui contribue à détourner les données personnelles des personnes visées. L’escroquerie est punie de cinq ans d’emprisonnement et de 375 000 euros d’amende.
  • La contrefaçon de marque : pour être crédible aux yeux des utilisateurs, l’auteur du phishing peut reproduire un faux site internet. Le « phisheur » peut être sanctionné pour usage de la marque sur le fondement de la contrefaçon. C’est ce que le Code de la propriété intellectuelle prévoit à l’article L713-2 : "Est interdit, sauf autorisation du titulaire de la marque, l'usage dans la vie des affaires pour des produits ou des services : 1° D'un signe identique à la marque et utilisé pour des produits ou des services identiques à ceux pour lesquels la marque est enregistrée ; 2° D'un signe identique ou similaire à la marque et utilisé pour des produits ou des services identiques ou similaires à ceux pour lesquels la marque est enregistrée, s'il existe, dans l'esprit du public, un risque de confusion incluant le risque d'association du signe avec la marque ». Et à l’article L713-3 du présent Code qui dispose : « Est interdit, sauf autorisation du titulaire de la marque, l'usage dans la vie des affaires, pour des produits ou des services, d'un signe identique ou similaire à la marque jouissant d'une renommée et utilisé pour des produits ou des services identiques, similaires ou non similaires à ceux pour lesquels la marque est enregistrée, si cet usage du signe, sans juste motif, tire indûment profit du caractère distinctif ou de la renommée de la marque, ou leur porte préjudice ». Ce délit est passible de trois ans d’emprisonnement et 300 000 euros d’amende.
  • L’usage frauduleux d’un moyen de paiement : l’article L163-3 du Code monétaire et financier sanctionne de cinq ans d’emprisonnement et de 375 000 euros d’amende le fait de contrefaire ou de falsifier un moyen de paiement mais aussi d’en faire usage. Et l’article L163-4, quant à lui, punit de sept ans d’emprisonnement et de 750 000 euros d’amende le fait pour une personne de « fabriquer, d'acquérir, de détenir, de céder, d'offrir ou de mettre à disposition des équipements, instruments, programmes informatiques ou toutes données conçus ou spécialement adaptés pour commettre les infractions prévues à l'article précédent ».
  • La collecte de données à caractère personnel : L’article 226-18 du Code pénal dispose : « Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal, ou illicite est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ». Le phishing étant un moyen frauduleux pour récupérer des données personnelles, l’auteur pourra donc être sanctionné.

L’hameçonnage par SMS : le smishing

Le smishing ou hameçonnage par SMS constitue une forme de phishing.

Cette pratique malveillante consiste à envoyer un SMS convaincant pour inciter le destinataire à cliquer sur le lien présent dans le SMS et à envoyer à l’attaquant des informations ou à télécharger des programmes malveillants sur un smartphone.

L’attaquant n’hésite pas à faire mention dans le SMS d’informations privées vous concernant comme votre identité ou vos coordonnées pour rendre le message d’autant plus convaincant.

Les informations obtenues par l’attaquant peuvent être :

  • Des données bancaires qui peuvent servir de revente sur le marché noir, de fraude ou de vol.
  • Des informations privées qui peuvent servir à une fraude ou une usurpation d’identité.

Comment se protéger contre le vol de données ?

Afin de se protéger contre le vol de données, il faut être particulièrement prudent avec l’utilisation des nouvelles technologies de l’information et de la communication.

Voici quelques conseils pour diminuer le risque d’un vol de données :

  • Détectez le fraudeur : il insiste souvent sur le caractère urgent (facture impayée…) ou sur un gain potentiel (remboursement, gain d’un produit…) et fait souvent des fautes d’orthographe ou de syntaxe. De plus, l’adresse du site sur lequel il vous redirige paraît suspecte.
  • Ne pas répondre à un message qui vous paraît frauduleux.
  • Ne pas ouvrir les pièces jointes et les liens présents dans les phishings ou smishings.
  • Vérifiez l’adresse URL de l’expéditeur en l’écrivant manuellement dans le navigateur.
  • Utilisez des mots de passe différents et complexes pour chaque site et application.
  • Contactez l’organisme officiel pour vérifier qu’il est à l’origine de l’appel ou SMS reçu.
  • Ne communiquez pas vos données sensibles par SMS ou appel téléphonique.
  • Installez un logiciel anti-spam.
  • Installez un anti-virus sur votre ordinateur.

Que faire en cas de tentative de phishing ?

En signalant une tentative de phishing, vous pouvez empêcher que d’autres internautes soient victimes de cette fraude.

Vous pouvez signaler la tentative de phishing sur :

  • La plateforme Phishing Initiative France par laquelle environ 500 URLs sont signalées chaque jour. Chaque internaute peut transmettre sur la plateforme l’adresse d’un site de phishing francophone qui sera ensuite analysée par des analystes en cyberdefense.
  • La plateforme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements (PHAROS) créée par le ministère de l’intérieur.
  • La plateforme Signal Spam,
  • Votre boîte mail directement sur le mail frauduleux en cliquant sur « Signaler comme hameçonnage ».

Les sanctions à l’encontre de l’auteur du phishing

L’auteur d’un phishing pourra être poursuivi pour plusieurs infractions :

  • Collecte frauduleuse de données à caractère personnel : l’article 226-18 du Code pénal dispose que « le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende ».
  • Escroquerie : l’article 313-1 du Code pénal dispose que « L'escroquerie est le fait, soit par l'usage d'un faux nom ou d'une fausse qualité, soit par l'abus d'une qualité vraie, soit par l'emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d'un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. L'escroquerie est punie de cinq ans d'emprisonnement et de 375 000 euros d'amende. »
  • Usurpation d’identité : sur le fondement de l’article 434-23 du Code pénal qui sanctionne « le fait de prendre le nom d’un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales, est puni de cinq ans d’emprisonnement et de 75 000 euros d’amende » et de l’article 226-4-1 du Code pénal qui sanctionne depuis la loi LOPSI II, l’usurpation d’identité numérique d’au maximum 1 an d’emprisonnement et de 15 000 euros d’amende.
  • Atteinte à un système de traitement automatisé de données: l’article 323-3 du Code pénal dispose que « Le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 150 000 € d'amende. Lorsque cette infraction a été commise à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à sept ans d'emprisonnement et à 300 000 € d'amende. »
  • Contrefaçon de droits de propriété intellectuelle et industrielle : le code de la propriété intellectuelle sanctionne toute contrefaçon non autorisée d’une œuvre de l’esprit, et notamment la reproduction similaire ou identique d’un signe d’une marque en vertu de ses articles L. 713-2 et L. 713-3.

Que faire en cas de vol de vos données ?

En cas de vol de vos données, il est recommandé de changer les mots de passes des comptes en question et de signaler le phishing sur les plateformes prévues à cet effet.

Si le vol de vos données concerne un préjudice financier, la victime d’un phishing, appelée « phishé » doit bloquer ses comptes bancaires.

La victime peut sous treize mois suivant la date du prélèvement indésirable, demander à sa banque une indemnisation à hauteur des perte subies.

L’article L. 133-18 du Code monétaire et financier dispose que « En cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu. 

Le payeur et son prestataire de services de paiement peuvent décider contractuellement d'une indemnité complémentaire. »

À cet égard, le banquier dispose d’une obligation de faire droit à votre demande même s’il précise que les conditions générales de la banque ne prévoient pas cela.

Toutefois, l’article L. 133-19 du Code monétaire et financier prévoit que le payeur peut supporter les pertes occasionnées si :

  • Elles résultent d’un agissement frauduleux de sa part
  • Le payeur a intentionnellement ou par négligence grave rompu son obligation de préserver la sécurité des dispositifs de sécurité personnalisés et d’informer le prestataire en cas de perte, de vol, de détournement ou de toute utilisation non autorisée.

Dans un arrêt en date du 25 octobre 2017 (Cass. Com., 25 oct. 2017, n°16-11.644), la Cour de cassation a précisé qu’en cas de phishing, il convient d’apprécier si la victime aurait pu avoir conscience que le courriel était frauduleux. Si la victime a procédé au paiement alors qu’elle aurait pu avoir conscience du caractère frauduleux du phishing, elle se rend coupable d’une négligence grave qui ne pourra pas conduire au remboursement de ses pertes.

Afin de protéger vos droits en justice et de poursuivre l’usurpateur vous pouvez porter plainte pour collecte frauduleuse de données à caractère personnel sur le fondement de l’article 226-18 du Code pénal, mais également si vous en êtes victime pour escroquerie, usurpation d’identité, contrefaçon d’un droit de propriété intellectuelle ou atteinte à un système automatisé de données.

À cet égard, le Cabinet Avomedias avec pour dominante le droit des données personnelles, vous assiste devant les juridictions pénales et civiles en constituant un dossier solide pour sanctionner les atteintes dont vous avez été victimes lors du vol de vos données.

Me Steve OUTMEZGUINE

Me Steve OUTMEZGUINE

Fondateur du Cabinet Avomedias

Contactez nous

contact@avomedias.law
01 84 14 52 02

Notre adresse

47 Avenue Hoche
75008 Paris

Prendre rendez-vous

Prenez rendez-vous par téléphone
Du lundi a vendredi de 9h a 19h

Nous écrire

Contactez-nous

Notre cabinet vous accompagne sur toutes les problématiques liées aux données personnelles et propriété intellectuelle

Le vol de données

Phishing- Smishing

01 84 14 52 02

Avec votre consentement nous utilisons des cookies pour faciliter votre expérience avec nos services et analyser notre trafic. Vous pouvez gérer ou retirer votre consentement à tout moment. Vous pouvez paramétrer les cookies en cliquant sur le bouton ci-dessous. Pour plus d’informations sur l’utilisation des cookies, vous pouvez consulter notre Politique des cookies.