Accéder au contenu Cybermalveillance.gouv.fr Assistance et prévention du risque numérique

Comment réagir en cas de fuite ou violation de données personnelles ?

Publié le 07 Déc 2022

Temps de lecture : 14 min

Une fuite ou violation de données personnelles est l’accès et/ou la divulgation non autorisés d’informations personnelles détenues par un tiers. Que faire en cas de fuite ou violation de données personnelles ? Contacter le service ou l’organisme concerné, changer votre mot de passe, déposer plainte…

1. Qu’est-ce qu’une fuite ou violation de données personnelles ?

Une fuite ou violation de données personnelles est l’accès ou la divulgation non autorisés d’informations personnelles détenues par un tiers (sites Internet, services en ligne, entreprises, associations, collectivités, administrations). L’origine de la fuite peut être accidentelle ou malveillante, interne ou externe à l’organisation qui détient ces données.

Une donnée personnelle désigne une information susceptible d’identifier directement ou indirectement une personne (nom, adresse postale, adresse de messagerie, numéro de téléphone, numéro de sécurité sociale…).

Selon les cas et la nature des informations divulguées, et si elles sont récupérées par des
cybercriminels, une fuite de données personnelles peut avoir de multiples conséquences
possibles
pour la personne qui en est victime : hameçonnage ciblé ou tentative d’escroquerie,
fraude, extorsion, atteinte à l’image ou la réputation, usurpation d’identité, cyberharcèlement, ou
encore tentatives de piratage des comptes en ligne lui appartenant.

But recherché

Les informations personnelles divulguées (identité, mot de passe, données bancaires…) peuvent être récupérées par des cybercriminels pour en faire un usage frauduleux ou pour les revendre à d’autres cybercriminels qui les utiliseront.

2. Comment se prémunir contre les fuites de données personnelles ?

  • Ne communiquez que le minimum d’informations nécessaires

    sur les sites ou services en
    ligne.

  • Ne communiquez pas de documents d’identité de manière inconsidérée

    (pièce d’identité,
    fiche de paie, avis d’imposition, RIB, etc.).

  • N’enregistrez pas vos coordonnées de carte bancaire

    pour des achats ponctuels sur un site
    Internet. Si vous les avez enregistrées, supprimez-les.

  • Utilisez des mots de passe différents et complexes pour chaque site et application

    utilisés pour éviter, si un compte est piraté, que les cybercriminels puissent accéder aux autres comptes accessibles avec ce même mot de passe.

  • Activez la double authentification

    pour augmenter le niveau de sécurité d’accès à vos comptes lorsque le site ou le service le permettent.

  • Désabonnez-vous ou supprimez les comptes (services, applications, sites Internet) que vous n’utilisez plus

    pour limiter les risques de violation ou de fuite de vos données.

  • Faites valoir votre droit de suppression de vos données personnelles

    auprès des organismes et services avec lesquels vous n’avez plus de relation. La CNIL propose un modèle de courrier à adresser au responsable de l’organisation concernée et peut être saisie en cas de difficulté.

3. Que faire en cas de fuite ou violation de données personnelles ?

  1. Si vous êtes informé d’une possible violation de vos données personnelles, contactez au besoin le service ou organisme concerné pour la confirmer et savoir quelles informations ont pu être compromises. 

  2. Changez au plus vite votre mot de passe sur les sites ou services concernés par la fuite de données ainsi que sur tous les autres sites ou comptes sur lesquels vous pouviez l’utiliser.

  3. Si vos coordonnées bancaires figurent dans la fuite de données, prévenez immédiatement votre banque et faites au besoin opposition aux moyens de paiement concernés. Contrôlez régulièrement vos comptes pour détecter toute opération anormale.

  4. Signalez les pages, les comptes, les messages divulguant vos informations personnelles auprès des plateformes sur lesquelles elles sont diffusées et demandez leur suppression. Exemples de liens de signalement pour les principaux réseaux sociaux : Facebook, Twitter, LinkedIn, Instagram, Snapchat, YouTube. Contactez directement le service concerné s’il ne figure pas dans cette liste.

  5. Demandez à ce que vos données personnelles divulguées ne soient plus référencées par les moteurs de recherche lorsqu’elles y apparaissent. Exemple de formulaire de demande de suppression de données personnelles pour les principaux moteurs de recherche : Bing, Qwant, Google, Yahoo, autres. En savoir plus avec la CNIL.

  6. Si, un mois après votre demande de suppression, vos données personnelles sont toujours accessibles sur la plateforme concernée, vous pouvez adresser une réclamation (plainte) à la CNIL par le biais de son téléservice de plainte en ligne (https://www.cnil.fr/fr/plaintes/internet).

  7. En cas d’utilisation frauduleuse de vos données personnelles divulguées, conservez toutes les preuves (messages, adresse du site web, captures d’écran…) et déposez plainte au commissariat de police ou à la brigade de gendarmerie ou encore par écrit au procureur de la République du tribunal judiciaire dont vous dépendez.

  8. Engagez au besoin une action de groupe ou un recours collectif qui permet aux victimes de demander la cessation de la violation de données personnelles et la réparation du préjudice.

4. Violation de données personnelles, que dit la loi ?

En fonction du cas d’espèce, les infractions suivantes peuvent être retenues :

– Escroquerie (article 313-1 du Code pénal) : l’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. Délit passible d’une peine d’emprisonnement de cinq ans et de 375 000 euros d’amende.

– Usurpation d’identité (article 226-4-1 du Code pénal) : le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est passible d’une peine d’un an d’emprisonnement et de 15 000 euros d’amende.

– Collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite (article 226-18 du Code pénal) : une telle collecte constitue un délit passible d’une peine d’emprisonnement de cinq ans et de 300 000 euros d’amende.

– Contrefaçon et usage frauduleux de moyen de paiement (articles L163-3 et L163-4 du Code monétaire et financier) : délit passible d’une peine d’emprisonnement de sept ans et de 750 000 euros d’amende.

– Accès frauduleux à un système de traitement automatisé de données (article 323-1 du Code pénal) : le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est passible de trois ans d’emprisonnement et de 100 000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine encourue est de cinq ans d’emprisonnement et de 150 000 euros d’amende.

 Atteinte au secret des correspondances (article 226-15 du Code pénal) : infraction passible d’une peine d’emprisonnement d’un an et de 45 000 euros d’amende.

5. Nos supports sur la fuite ou violation de données personnelles

Fuite ou violation de données personnelles
Fuite ou violation de données personnelles

Téléchargez notre fiche réflexe sur la fuite ou violation de données personnelles au format PDF afin d’adopter les bonnes pratiques en matière de sécurisation numérique et savoir réagir si vous en êtes victime.

Publié le 26/06/2023PDF 166 KoTéléchargerLire

Pour informer et sensibiliser les publics sur les menaces numériques, Cybermalveillance.gouv.fr met à disposition divers contenus thématiques : des supports variés pour comprendre les cybermenaces et savoir comment y réagir, ainsi que des bonnes pratiques à adopter pour assurer votre sécurité numérique.
Consulter la liste de l’ensemble des ressources mises à disposition par le dispositif.

Avez-vous trouvé cet article intéressant et utile ?
* le commentaire ne sera pas visible aux yeux de tous

Autres Fiches réflexes

AIDE RECOMMANDEE

QUESTIONS REPONSES - Contextualisées

QUESTIONS GENERALES