Une entreprise emblématique du secteur de la construction informatique et du multimédia a récemment été victime d’intrusions non autorisées dans plusieurs de ses systèmes de traitements automatisés de données. Il est possible d’analyser cette affaire sous l’angle des différentes personnes concernées par un piratage. S’agissant de la plate-forme victime de l’introduction frauduleuse, cette dernière subit un dommage économique et une atteinte à son image important. Elle pourrait agir sur le fondement des articles 323-1 et suivants du Code pénal, qui répriment les atteintes aux systèmes de traitement automatisé de données. Toutefois, la désignation de la personne à l’origine de ces introductions frauduleuses nécessite des investigations longues et coûteuses. En outre, le contexte international de l’affaire rend difficile la détermination de la loi applicable et des juridictions compétentes pour connaître de ces atteintes.

La question de la responsabilité de la plate-forme victime se pose également car le système de traitement automatisé de données comporte des données personnelles. Or, le responsable d’un traitement automatisé de données est soumis à une obligation légale de sécurisation afin d’empêcher que les données ne soient déformées, endommagées ou que des tiers non autorisés y aient accès.

L’utilisateur potentiellement victime de l’extraction de ses données personnelles dispose de trois actions pour se protéger. Il pourrait, tout d’abord, écrire à la plate-forme pour se faire reconnaître comme personne concernée par l’extraction frauduleuse. Des données bancaires pouvant faire partie des données extraites, l’utilisateur pourrait également alerter sa banque, à titre préventif, afin qu’elle vérifie qu’aucun débit suspect n’ait été enregistré sur son compte bancaire car les données personnelles extraites lors d’une atteinte d’un système de traitement automatisé de données se vendent généralement avec une grande facilité. Enfin, le cas échéant, l’utilisateur pourrait déposer plainte.

Il existe une controverse sur le manque de réactivité de la plate-forme. Cette controverse repositionne, au moins en France, le débat autour de la proposition de loi n° 2387 du 24 mars 2010, visant à mieux garantir le droit à la vie privée à l’heure du numérique, dont l’un des objectifs principaux, en plus du renforcement de l’obligation de sécurité du responsable de traitement des données qu’ils traitent, est d’obliger le responsable de traitement à notifier sans délai toute faille de sécurité à la Cnil et aux personnes concernées.

Le dernier acteur susceptible d’être concerné sont les autorités de protection de données personnelles, qui peuvent intervenir pour vérifier l’efficacité des mesures de sécurité mises en place par le responsable du traitement.