Vol de données: les bons réflexes

Le 19 mai, Easyjet annonçait que les noms, adresses électroniques et informations relatives aux voyages effectués entre le 17 octobre 2019 et le 4 mars 2020 de 9 millions de clients avaient été volés. Pour 2208 personnes, le détail de la carte de crédit était aussi concerné par ce piratage massif. Or, aussi scandaleux que cela soit en pareil cas, il revient au consommateur d’agir à titre personnel pour limiter les dégâts. Notre marche à suivre (lire encadré) vous fournit les mesures d’urgence à entreprendre.

Les 480 000 Suisses touchés sont priés d’être très vigilants face à d’éventuelles demandes non sollicitées.

Easyjet avait en fait découvert la faille en janvier, soit quatre mois avant de communiquer l’affaire publiquement. Soumise au respect du Règlement européen sur la protection des données (le RGPD), la compagnie aérienne aurait alerté les autorités britanniques compétentes sur-le-champ. En revanche, elle a tergiversé avant d’informer ses clients, les empêchant ainsi de prendre des mesures pour endiguer les risques. L’atteinte à la sécurité des données pourrait lui valoir une amende allant jusqu’à 4% du chiffre d’affaires, soit près de 300 millions de francs.
En Suisse, aucune obligation d’informer similaire n’existe. La révision de la Loi sur la protection des données actuelle (LPD), à laquelle la FRC a activement pris part, imposera de nouvelles directives aux responsables du traitement; le Préposé fédéral devra être notifié sans délai en cas de violation quant à la sécurité des données, parce qu’elle entraînerait vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux des personnes lésées. Lesquelles sont à leur tour informées uniquement lorsque cela est nécessaire à leur protection ou lorsque le Préposé l’exige.

La loi suisse sera toutefois, une fois de plus, moins intimidante que le RGPD: alors que l’avant-projet prévoyait une amende pénale allant jusqu’à 500 000 francs en cas d’absence de notification obligatoire, la nouvelle loi l’a plafonnée à 250 000 francs si le responsable du traitement, menacé au préalable par le Préposé, n’a pas annoncé la faille.

Pratique: marche à suivre

• Si vos données ont été piratées, commencez par modifier le mot de passe et changer l’adresse de connexion. Et ce même si, dans le cas Easyjet, les mots de passe n’ont pas été divulgués. Par ailleurs, si vous aviez enregistré votre moyen de paiement, supprimez-le.

• De manière générale, n’enregistrez jamais les données de votre carte de paiement et privilégiez l’utilisation d’une carte de crédit séparée pour les achats en ligne, voire une carte prépayée. Certaines permettent également d’activer ou non les paiements en ligne facilement depuis une
application mobile (Revolut, ZAK, etc.).

• En cas de piratage, les risques peuvent être limités en appliquant quatre principes cardinaux: ne jamais opter pour «se connecter avec Google/Facebook/Apple ID», etc.; utiliser une adresse e-mail «poubelle» (ou plusieurs) et un mot de passe différent pour chacune; créer un mot de passe fort et recourir à une double identification pour se connecter.

• Une fois le compte sécurisé, votre vigilance ne doit pas retomber. Les pirates peuvent tenter d’utiliser les données volées pour du phishing ciblé. Soyez attentif aux diverses tentatives de fraude et d’arnaque sur l’ensemble de vos comptes. Si vous utilisez les mêmes données de connexion que celles utilisées sur le compte piraté pour un autre service en ligne, modifiez-en l’adresse de connexion et le mot de passe.

Banques en ligne, mots de passe, phishing: frc.ch/donnees