Viamedis et Almerys (opérateurs du tiers payant), Pôle Emploi (désormais « France Travail »), l’association Sidaction, le Groupe LDLC, les exemples – connus ou moins relayés – de cyberattaques ayant pour objectif ou pour effet le vol des données personnelles des utilisateurs ne cessent d’augmenter. A l’approche des Jeux Olympiques de Paris, les données de terrain révèlent, sans appel, une exposition accrue des organisations publiques et privées françaises au risque cyber. Parmi les objectifs recherchés par les cyberattaquants : le vol de données personnelles, monnayables, exploitables, échangeables…

L’intrusion dans les systèmes d’information des opérateurs Viademis et Almerys a par exemple déjà généré des milliers d’usurpations d’identité à partir des données (noms, prénoms, date de naissance, numéro de Sécurité Sociale, etc.) placées aux enchères sur le darkweb : plus de 200 000 usurpations recensées par France Verif à la fin du mois de février 2024.

Face à ces vols, comment les citoyens concernés peuvent-ils réagir ?

Avec le RGPD (UE) 2016/679, les justiciables européens disposent depuis quelques années d’un moyen de droit directement invocable devant les tribunaux nationaux. Invocable, par ailleurs, pour tenter de faire constater les manquements des responsables de traitement à leur obligation de mettre en œuvre les mesures adéquates en matière de sécurité, mais également, pour obtenir la réparation des préjudices résultant de ces manquements.

Mais saviez-vous, à cet égard, que la crainte d’un potentiel usage abusif de ses données par des tiers peut constituer, à elle-seule, un préjudice moral, condamnable, et donc, réparable ?

C’est l’un des apports significatifs de l’Arrêt de la Cour de Justice de l’Union Européenne du 14 décembre 2023 (Affaire n°340/21, « VB c/ Natsionalna agentsia za prihodite ») qui statuait sur plusieurs questions préjudicielles portées à elle par la Cour Administrative Suprême de Bulgarie. La Cour rappelle à cette occasion que la circonstance que le dommage a été provoqué par les agissements de tiers (cyber-attaquants) n’exonère pas le responsable de traitement de son obligation de réparer le dommage, le responsable devant pour ce faire prouver que le dommage ne lui est nullement imputable, et notamment : prouver qu’il avait pris les mesures de sécurité adéquates, et démontrer que le traitement était effectué en conformité avec les dispositions du Règlement européen.

Par ailleurs, et interrogée sur le point de savoir si la crainte d’un potentiel usage abusif de ses données personnelles par des tiers est susceptible, à elle seule, de constituer un « dommage moral » pour la personne concernée, la CJUE répond positivement, et ouvre à ce titre la possibilité d’en obtenir la réparation.

Internautes lésés par des données personnelles dérobées, une nouvelle voie de réparation vous est ouverte, y compris donc, directement, devant les tribunaux nationaux.

Laura PETIOT pour LP-CONSULTING

Tous droits réservés