Par Pierre-Emmanuel Audit, Maître de conférences en Droit privé à l’Université Paris-Panthéon-Assas

Quelles sont les obligations d’une société comme Free relativement à la sécurité des données à caractère personnel de ses clients ?

Tant le RGPD que la loi Informatique et Libertés (« LIL ») prévoient l’obligation, pour un responsable de traitement de données à caractère personnel tel que Free, d’assurer la confidentialité et l’intégrité des données dont il a décidé et organisé le traitement. L’existence d’une intrusion dans le système d’information du responsable de traitement ayant conduit à une copie non autorisée de données à caractère personnel constitue assurément un événement compromettant la confidentialité des données, bien qu’il ne suffise pas à lui seul à entraîner sa responsabilité. Par ailleurs, dans une hypothèse de « violation de données » telle qu’elle s’est produite chez Free, la loi impose à la société de notifier la CNIL de l’incident, ainsi que d’en informer les personnes dont les données sont concernées.

C’est ce qui explique que la société Free a adressé à ses abonnés Fibre, le 28 octobre 2024, un courrier (ses abonnés Mobile ayant reçu un courrier de même nature) les informant qu’elle a été « victime d’une cyberattaque ciblant un outil de gestion » ayant « entraîné un accès non autorisé à une partie des données personnelles associées à votre compte abonné : nom, prénom, adresses email et postale, numéro de téléphone, identifiant abonné, IBAN et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non) », le courrier précisant que cette attaque « a été notifiée à la Commission nationale de l’informatique et des libertés (CNIL) ».

A quelles conditions les abonnés de Free peuvent-ils engager la responsabilité de la société pour cette violation de données ?

L’article 82(1) du RGPD prévoit que « Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ». On y trouve ainsi le classique triptyque de la faute, du dommage et du lien de causalité entre ces deux éléments.

1/ La discussion relative à la violation du RGPD revient ici à se demander plus précisément dans quelle mesure la société a violé le principe de l’article 32 du règlement prévoyant que « Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque », cette adaptation devant être fonction « de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques ».

Il résulte de cet article que l’obligation pour le responsable de traitement d’assurer la sécurité des données n’est pas une obligation de résultat : il aura en effet satisfait à son obligation quand bien même une violation de données serait constatée, dès lors qu’il aura mis en œuvre les mesures que l’on pouvait légitimement attendre de sa part, eu égard à la nature des données et du traitement dont elles ont fait l’objet au regard de l’état de l’art sur la question. Les rédacteurs du RGPD se sont révélés ici pour une fois pragmatiques, car le « risque zéro », s’agissant de la protection des données contenues dans un système d’information, n’existe pas. Il en résulte, ainsi que l’a par exemple jugé la CJUE dans un arrêt du 14 décembre 2023 (C-340/21), que « le caractère approprié des mesures techniques et organisationnelles mises en œuvre par le responsable du traitement au titre [l’article 32] doit être apprécié par les juridictions nationales de manière concrète, en tenant compte des risques liés au traitement concerné et en appréciant si la nature, la teneur et la mise en œuvre de ces mesures sont adaptées à ces risques » (pt. 47). Cependant, le client jouira d’un avantage : « la charge de prouver que les données à caractère personnel sont traitées de façon à garantir une sécurité appropriée de ces dernières (…), incombe au responsable du traitement concerné » (pt. 52).

2/ A supposer que la violation du règlement soit établie, il faut encore que la victime puisse prouver un dommage. Le dommage le plus probable sera économique. Il suffit de songer, pour le cas de l’usurpation d’identité, à l’hypothèse dans laquelle les données sont utilisées pour faire souscrire à la victime de multiples crédits. Il y a toutefois ici deux écueils à l’action. Le premier est que ce dommage est encore hypothétique, puisqu’aucun client ne peut pour l’instant encore alléguer en avoir été victime, ni a fortiori chiffrer son dommage : celui-ci est donc à ce stade non-réparable. Le second est qu’à supposer qu’il se matérialise, il pourra être difficile pour le client de démontrer le lien de causalité, à savoir que c’est de la violation de données dont Free a été victime que sont provenues les données qui ont servi à réaliser cette usurpation d’identité. En effet, les violations de données sont aujourd’hui suffisamment répandues pour que les données utilisées dans le cadre de tels agissements puissent provenir de multiples sources. Souvent, cette détermination est faite par la police et notamment par la Brigade de Lutte Contre la Cybercriminalité (BL2C) de la Préfecture de Police qui analyse les grandes cyberattaques dont elle est informée par les plaintes, la CNIL ou la presse.

L’autre type de dommage que l’on peut envisager sera moral. Il y a tout d’abord le préjudice lié à l’angoisse suscitée par la connaissance de l’existence d’une violation de données, avec la délicate question de savoir dans quelle mesure ce préjudice pourra être jugé suffisamment caractérisé chez le demandeur pour mériter une réparation spécifique. La Cour de justice juge en effet que si la réparation d’un dommage moral consécutif à une violation du RGPD ne peut être subordonnée à aucun seuil de gravité (CJUE, 4 mai 2023, C-300/21, pt. 51), la personne n’est pas pour autant dispensée de démontrer que les conséquence négatives qu’elle subit sont constitutives d’un dommage moral (C-300/21, pt. 50). Une admission trop aisée conduirait en effet à ce que la simple violation du règlement soit automatiquement constitutive d’un dommage moral, en contravention avec le principe selon lequel « la simple violation des dispositions [du RGPD] ne suffit pas pour conférer un droit à réparation » (C-300/21, pt. 42). Il en résulte que « la juridiction nationale saisie doit vérifier que cette crainte peut être considérée comme étant fondée, dans les circonstances spécifiques en cause et au regard de la personne concernée » (C-340/21, pt. 85).

L’autre dommage de type moral auquel on peut songer est celui consécutif à l’existence d’une ou plusieurs usurpations d’identité avérées : il sera ici plus simple pour la personne de démontrer l’angoisse résultant de cette situation et de sa gestion, outre le préjudice réputationnel ainsi que l’angoisse d’être potentiellement exposée à de nouvelles occurrences d’usurpation.

Il reste qu’à ce stade, faute pour les abonnés de Free d’avoir été individuellement victimes d’agissements concrets pouvant s’analyser en un dommage économique avéré d’où serait susceptible de jaillir un préjudice moral spécifique, une action en responsabilité civile ne serait tout simplement pas possible ; sauf à ne demander réparation que du préjudice moral qui résulterait de conséquences négatives particulières liées à la seule connaissance de la violation de données, action dont l’issue est loin d’être certaine.

Toutefois, si les hypothèses d’usurpation d’identité devaient se multiplier chez les abonnés de Free, il serait possible à l’un des organismes visés à l’article 37 de la LIL d’entamer une action collective à laquelle les abonnés victimes pourraient se joindre, ce qui faciliterait grandement leur démarche d’indemnisation.

Est-ce à dire que faute de dommages avérés, la société Free ne souffrira aucune conséquence de cette fuite de données ?

Non, car l’essentiel du contentieux RGPD est un contentieux de la sanction, via les amendes parfois importantes que les autorités de contrôle ne se privent pas de prononcer à l’encontre des responsables de traitement dont il est considéré qu’ils ont violé le règlement, sans qu’il y ait un quelconque dommage à démontrer. Et l’on peut observer que, d’un point de vue sociologique, les personnes concernées se satisfont souvent du seul constat que le comportement défectueux d’un responsable de traitement est sanctionné par une amende. En 2023, la CNIL a effectué 117 contrôles ayant pour prisme un enjeu de cybersécurité et a prononcé 14 sanctions impliquant au moins un manquement relatif à la sécurité des données.