Par Haas Avocats
Après SFR, le bien connu opérateur téléphonique et fournisseur d’accès à internet Free a été victime en cette fin octobre d’une violation de données personnelles et plus précisément d’une cyberattaque.
Free a annoncé le 26 octobre que les données de 19 millions de ses clients ont été dérobées, dont plus de 5 millions d’IBAN à ce qu’il semblerait.
Cette violation concerne notamment les données suivantes :
Dans leur communication, il est précisé que les mots de passe ne seraient pas concernés (ouf !).
Ce qui fait la singularité de cette violation, c’est essentiellement le périmètre de cette dernière. Le fait qu’elle ait touché non seulement les données d’identité habituelles, mais aussi une donnée qui pourrait être considérée, non comme une donnée sensible au sens du RGPD[1], mais comme une donnée dite hautement personnelle[2].
Dès lors, cette violation a été l’occasion pour la « communauté » de mettre en avant la sensibilité du RIB qui, bien qu’il soit couramment utilisé dans les échanges professionnels ou personnels, demeure un document « sensible » dont la diffusion non contrôlée peut engendrer divers risques.
Le RIB contient, en effet, des informations précises sur un compte bancaire : le numéro IBAN (International Bank Account Number), le BIC (Bank Identifier Code), ainsi que l’identité et les coordonnées de l’établissement bancaire. Ces données permettent d’initier des opérations financières, comme des virements. Bien qu’en théorie, ces opérations nécessitent le consentement du titulaire du compte, certains malfaiteurs peuvent exploiter ces informations pour réaliser des actions frauduleuses, notamment dans des contextes où les contrôles de sécurité sont insuffisants ou défaillants.
| RISQUES | DESCRIPTION |
| Usurpation d’identité bancaire | Si une personne malveillante obtient un RIB, elle peut tenter de se faire passer pour le titulaire du compte auprès d’organismes ou d’entreprises pour effectuer des prélèvements frauduleux; |
| Tentative de prélèvement non autorisé | Bien que les banques exigent souvent une autorisation préalable pour tout prélèvement, certaines fraudes exploitent des failles administratives ou le manque de vigilance des entreprises pour débiter un compte sans le consentement du titulaire. |
| Escroqueries ciblées |
Les informations du RIB peuvent être utilisées dans des schémas de phishing ou d’arnaques. Par exemple, un fraudeur pourrait créer une facture fictive en utilisant un RIB pour induire une victime en erreur. |
| Exploitation dans des activités illégales | Dans certains cas, le RIB d’un particulier ou d’une entreprise pourrait être utilisé pour blanchir de l’argent ou pour d’autres transactions illicites. |
La cyberattaque subie par Free illustre une fois de plus les défis croissants liés à la sécurité des données personnelles dans un contexte propice aux cyberattaques. Au-delà du volume impressionnant des informations compromises, c’est la nature des données dérobées, incluant des références bancaires comme les IBAN, qui interpelle particulièrement. Bien que les mots de passe n’aient pas été concernés, la fuite de RIB expose les victimes à des risques financiers et administratifs significatifs.
Cet incident souligne l’importance de protéger les données hautement personnelles et de sensibiliser le public aux précautions à prendre pour limiter les risques. Il est alors impératif pour les entreprises d’investir davantage dans des systèmes de sécurité robustes et pour les particuliers de redoubler de vigilance quant à la sécurisation de leurs informations « sensibles ».
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Article 9 du RGPD
[2] Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement (UE) 2016/679, 4 octobre 2017,