Le vol de données

Phishing- Smishing

Notre cabinet spécialisé en droit des nouvelles technologies vous conseille et vous informe sur les solutions adaptées pour vous protéger du vol de données à caractère personnel.

Nos prestations

Solutions

Le cabinet Avomedias vous proposera des solutions adaptées afin de protéger vos données personnelles sur Internet.

Accompagnement

L’un de nos avocats vous accompagnera dans vos démarches auprès des juridictions que vous soyez la victime ou l’auteur d’un détournement ou d’un vol de vos données personnelles.

I. Le vol des données personnelles

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Elle peut être identifiée directement, par son nom ou prénom, mais aussi indirectement par un numéro de téléphone, un numéro de sécurité sociale, une adresse postale.

Le vol est prévu à l’article 311-1 du Code Pénal qui dispose : « Le vol est la soustraction frauduleuse de la chose d’autrui. »

Depuis un arrêt de 2105 rendu par la Chambre criminelle de la Cour de cassation, le téléchargement à distance de données est considéré comme un vol.

L’article 226-18 du Code pénal : « Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d'emprisonnement et de 300 000 euros d’amende. »

Cet article définit la détention de données par la soustraction frauduleuse de ces dernières.

Le vol de ces données à caractère personnel sur les systèmes informatique est prévu à plusieurs reprises par le Code pénal.

La loi du 24 juillet 2015 a modifié les sanctions des articles concernant les atteintes aux systèmes de traitement automatisé des données. Ces atteintes sont plus fortement sanctionnées.

L’article 323-1 du Code pénal relatif au système de traitement des données dispose : « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 € d’amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 100 000 € d’amende.

Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans d'emprisonnement et à 150 000 € d’amende. »

Le vol de ces données personnelles sur les réseaux informatique est de plus en plus fréquent. Ce phénomène est dû à l’émergence des techniques de hacking sur Internet. Que ce soit par l’introduction de logiciels malveillants, de détournement d’information grâce au phishing, ou plus communément par le détournement des systèmes de sécurité informatique.

II. Qu est ce que le phishing ?

A. Définition

Le phishing, ou hameçonnage en français, est défini comme : « “vol d'identités ou d'informations confidentielles (codes d'accès, coordonnées bancaires) par subterfuge : un système d'authentification est simulé par un utilisateur malveillant, qui essaie alors de convaincre des usagers de l'utiliser et de communiquer des informations confidentielles, comme s'il s'agissait d'un système légitime” » (ANSSI, glossaire, ).

Le « phishing » est la contraction de deux mots anglais :

  • «Fishing » : qui veut dire pêcher
  • : qui se définit comme l’utilisation frauduleuse des lignes téléphoniques.

Le phishing est souvent réalisé par un hacker afin d’amener les utilisateurs à divulguer leurs informations personnelles par des manœuvres frauduleuses et des procédés déloyaux.

Le phishing est réalisé par l’envoi de courriels mais peut aussi être fait par l’envoi de SMS, appelé alors smishing.

Le smishing est l’envoi d’un SMS proposant à la personne visée d’effectuer une manipulation à partir de son smartphone. Que ce soit un paiement, un changement d’identifiant, connexion à un compte. Ces SMS renvoient généralement à un lien hypertexte qui dirige les victimes vers des faux sites.

Il faut donc être vigilant lorsque l’on reçoit un SMS d’un numéro inconnu, ou lorsque l’on reçoit un SMS provenant d’une entreprise connue. Il faut vérifier les différentes informations et ne jamais cliquer sur le lien si l’on n’est pas sur de son contenu.

Pour détecter le sms frauduleux, il peut exister plusieurs indices :

  • Le numéro est à 4 chiffres, probablement un message envoyé à partir d’une adresse email.
  • Le message provient d’une entreprise dont vous n’êtes pas client.
  • Le message contient un lien ou un numéro à contacter.
  • Vous fait savoir « l’urgence » de la situation.

Il faut donc être attentif afin de ne pas communiquer de vos données via l’intermédiaire de ces procédés frauduleux.

La réalisation de l’infraction :

Les « cyber-escrocs » envoient des courriels aux utilisateurs composés d’un lien afin de réorienter les utilisateurs sur un site frauduleux, d’une pièce jointe à télécharger, d’envoyer des informations ou même parfois d’effectuer un virement. Toutes ces manœuvres sont réalisées dans un seul but : accéder aux données à caractère personnel des utilisateurs.

Le phishing est de plus en plus pratiqué pour les fraudes à la carte bancaire. Elle représente 97% des transactions frauduleuses.

Cette fraude à la carte bancaire s’opère par deux moyens :

  • L’installation de logiciels malveillants sur ordinateur ou sur téléphone portable. Le logiciel va capter et enregistrer les numéros sans que l’utilisateur ne le sache ou ne s’en aperçoive.
  • Le phishing est réalisé par l’envoi de mails provenant d’entreprises dites de confiance en vous demandant de réaliser une mise à jour, de réinitialiser vos identifiants, ou de mettre à jour vos coordonnées bancaires. La victime va retranscrire ces données sur un site frauduleux qui permettra à l’hacker de récupérer ces informations afin de s’en servir en exécutant des transactions frauduleuses sur Internet.

B. Les différentes infractions réalisées par l’utilisation du phishing.

Le phishing n’est pas directement sanctionné par le Code pénal, or plusieurs infractions sont effectuées lorsqu’une personne réalise un phishing :

  • L’usurpation d’identité sur Internet, prévu à l’article 226-4-1 du Code pénal. Cette infraction a été ajoutée par la loi LOPPSI II du 14 mars 2011. Elle est définie : « Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d'un an d'emprisonnement et de 15 000 € d’amende. Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne. »
  • L’introduction dans un système de traitement automatisé des données (STAD) : Elle peut être réalisée grâce à l’usurpation d’identité. L’infraction est caractérisée par le fait d’usurper frauduleusement des adresses électroniques d’expéditeurs et d’en faire l’usage par l’envoi de courriels pour piéger les utilisateurs. Cette infraction est punie de deux ans d’emprisonnement et de 60 000 euros d’amende, conformément à l’article 323-1 du Code pénal.
  • L’escroquerie : l’article 313-1 du Code pénal dispose : « L'escroquerie est le fait, soit par l'usage d'un faux nom ou d'une fausse qualité, soit par l'abus d'une qualité vraie, soit par l'emploi de manoeuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d'un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge ». Le phishing est une escroquerie, c’est une méthode frauduleuse qui contribue à détourner les données personnelles des personnes visées. L’escroquerie est punie de cinq ans d’emprisonnement et de 375 000 euros d’amende.
  • La contrefaçon de marque : pour être crédible aux yeux des utilisateurs, l’auteur du phishing peut reproduire un faux site internet. Le « phisheur » peut être sanctionné pour usage de la marque sur le fondement de la contrefaçon. C’est ce que le Code de la propriété intellectuelle prévoit à l’article L713-2 : "Est interdit, sauf autorisation du titulaire de la marque, l'usage dans la vie des affaires pour des produits ou des services : 1° D'un signe identique à la marque et utilisé pour des produits ou des services identiques à ceux pour lesquels la marque est enregistrée ; 2° D'un signe identique ou similaire à la marque et utilisé pour des produits ou des services identiques ou similaires à ceux pour lesquels la marque est enregistrée, s'il existe, dans l'esprit du public, un risque de confusion incluant le risque d'association du signe avec la marque ». Et à l’article L713-3 du présent Code qui dispose : « Est interdit, sauf autorisation du titulaire de la marque, l'usage dans la vie des affaires, pour des produits ou des services, d'un signe identique ou similaire à la marque jouissant d'une renommée et utilisé pour des produits ou des services identiques, similaires ou non similaires à ceux pour lesquels la marque est enregistrée, si cet usage du signe, sans juste motif, tire indûment profit du caractère distinctif ou de la renommée de la marque, ou leur porte préjudice ». Ce délit est passible de trois ans d’emprisonnement et 300 000 euros d’amende.
  • L’usage frauduleux d’un moyen de paiement : l’article L163-3 du Code monétaire et financier sanctionne de cinq ans d’emprisonnement et de 375 000 euros d’amende le fait de contrefaire ou de falsifier un moyen de paiement mais aussi d’en faire usage. Et l’article L163-4, quant à lui, punit de sept ans d’emprisonnement et de 750 000 euros d’amende le fait pour une personne de « fabriquer, d'acquérir, de détenir, de céder, d'offrir ou de mettre à disposition des équipements, instruments, programmes informatiques ou toutes données conçus ou spécialement adaptés pour commettre les infractions prévues à l'article précédent ».
  • La collecte de données à caractère personnel : L’article 226-18 du Code pénal dispose : « Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal, ou illicite est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ». Le phishing étant un moyen frauduleux pour récupérer des données personnelles, l’auteur pourra donc être sanctionné.

III. Comment se protéger contre le phishing ?

Le site de la cybermalveillance (https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/hameconnage-phishing) liste des mesures préventives de manière à se protéger contre le phishing :

  • Ne pas communiquer des données personnelles au téléphone ou sur une messagerie
  • Vérifier avant de cliquer sur un site en plaçant le curseur sur le lien.
  • Vérifier le nom du site, si quelque chose vous semble suspect il est probablement frauduleux.
  • -Utiliser des mots de passes complexe et les changer régulièrement.
  • Vérifier les horaires de connexion à vos comptes.

Il existe des techniques d’anti-phishing en installant sur vos ordinateurs des logiciels qui vont analyser les mails reçus et repérer les tentatives de phishing.

IV. Que faire si vous êtes victime d’un vol de vos données personnelles ?

Si vous êtes victime de phishing, il est important de :

  • Signaler phishing : faire un signalement des sites frauduleux sur : https://phishing-initiative.fr/contrib/.
  • Faire aux oppositions auprès de votre banque si vous avez renseigné vos données personnelles telle que RIB, numéro de carte bleue.
  • Conserver les preuves : faites des captures d’écrans des messages reçues, des pièces envoyées et même des sites sur lesquels vous avez été redirigés.
  • Changer les mots de passe de vos comptes sur Internet et vos applications.
  • Dans un cadre professionnel, le responsable de traitement doit notifier cette violation à la CNIL

Procédure de notification à la CNIL :

Si vous êtes victime d’une violation de données à caractère personnel, il faudra immédiatement prévenir votre prestataire informatique, afin que ce dernier vérifie l’ampleur des dégâts. Afin de pouvoir rendre un rapport complet lors de votre notification à la CNIL.

En cas de violation de ces données personnelles, le responsable de traitement doit le notifier à la CNIL, conformément à l’article 33 du RGPD.

Cette notification doit être faite dans les 72 heures à compter de la découverte de la violation.

Cette obligation de notifier doit dépendre de l’impact que cela va avoir sur les utilisateurs :

  • Si la violation n’entraine pas de risque : le responsable de traitement doit seulement documenter la violation sans pour autant le notifier à la CNIL.
  • Si la violation entraine un risque : le responsable du traitement doit le documenter et le notifier à la CNIL dans un délai de 72 heures.
  • Si la violation entraîne un risque élevé : le responsable doit le documenter, le notifier à la CNIL et le notifier aux personnes concernées.

L’article 33 du RGPD indique les éléments qui doivent être retranscrits dans la notification :

  • « a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;
  • b) communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues
  • c) décrire les conséquences probables de la violation de données à caractère personnel ;
  • d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. »

Après toutes ces étapes, il est conseillé de déposer une plainte auprès du commissariat ou de la gendarmerie la plus proche. Vous pouvez remplir une pré-plainte en ligne (https://www.pre-plainte-en-ligne.gouv.fr/).

Vous pouvez déposer plainte directement au Procureur de la République, en lui adressant une lettre rédigée à l’aide d’un avocat détaillant les faits et en lui fournissant toutes les preuves récoltées au préalable. Le cabinet Avomedias mettra à votre disposition l’un de ces avocats pour vous accompagner lors de ces démarches.

Me Steve OUTMEZGUINE

Me Steve OUTMEZGUINE

Fondateur du Cabinet Avomedias

Contactez nous

contact@avomedias.law
01 84 14 52 02

Notre adresse

47 Avenue Hoche
75008 Paris

Premier rendez-vous gratuit

Prenez rendez-vous par téléphone
Du lundi a vendredi de 9h a 17h

Nous écrire

Contactez-nous

Notre cabinet vous accompagne sur toutes les problématiques liées aux données personnelles et propriété intellectuelle

01 84 14 52 02

Avec votre consentement nous utilisons des cookies pour faciliter votre expérience avec nos services et analyser notre trafic. Vous pouvez gérer ou retirer votre consentement à tout moment. Vous pouvez paramétrer les cookies en cliquant sur le bouton ci-dessous. Pour plus d’informations sur l’utilisation des cookies, vous pouvez consulter notre Politique des cookies.