7.7.2020, Marine Stücklin / © shutterstock.com
Comment réagir lorsqu’une entreprise dont on est client se fait pirater? Explications et conseils.
Le 19 mai, Easyjet annonçait que les noms, adresses électroniques et informations relatives aux voyages effectués entre le 17 octobre 2019 et le 4 mars 2020 de 9 millions de clients avaient été volés. Pour 2208 personnes, le détail de la carte de crédit était aussi concerné par ce piratage massif. Or, aussi scandaleux que cela soit en pareil cas, il revient au consommateur d’agir à titre personnel pour limiter les dégâts. Notre marche à suivre (lire encadré) vous fournit les mesures d’urgence à entreprendre.
Les 480 000 Suisses touchés sont priés d’être très vigilants face à d’éventuelles demandes non sollicitées.
Easyjet avait en fait découvert la faille en janvier, soit quatre mois avant de communiquer l’affaire publiquement. Soumise au respect du Règlement européen sur la protection des données (le RGPD), la compagnie aérienne aurait alerté les autorités britanniques compétentes sur-le-champ. En revanche, elle a tergiversé avant d’informer ses clients, les empêchant ainsi de prendre des mesures pour endiguer les risques. L’atteinte à la sécurité des données pourrait lui valoir une amende allant jusqu’à 4% du chiffre d’affaires, soit près de 300 millions de francs.
En Suisse, aucune obligation d’informer similaire n’existe. La révision de la Loi sur la protection des données actuelle (LPD), à laquelle la FRC a activement pris part, imposera de nouvelles directives aux responsables du traitement; le Préposé fédéral devra être notifié sans délai en cas de violation quant à la sécurité des données, parce qu’elle entraînerait vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux des personnes lésées. Lesquelles sont à leur tour informées uniquement lorsque cela est nécessaire à leur protection ou lorsque le Préposé l’exige.
La loi suisse sera toutefois, une fois de plus, moins intimidante que le RGPD: alors que l’avant-projet prévoyait une amende pénale allant jusqu’à 500 000 francs en cas d’absence de notification obligatoire, la nouvelle loi l’a plafonnée à 250 000 francs si le responsable du traitement, menacé au préalable par le Préposé, n’a pas annoncé la faille.