Depuis que Free s’est fait voler fin octobre les données personnelles de 19,2 millions de ses abonnés, dont 5,1 millions de coordonnées bancaires, la question juridique est de savoir comment les clients concernés par cette fuite massive peuvent porter plainte contre l’opérateur télécoms.
« Il est toujours possible d’engager une action de groupe à l’encontre de l’opérateur télécoms, via une association de consommateurs agréée. Mais il n’y a aucune certitude que Free soit condamné : se faire cambrioler ne signifie pas nécessairement qu’on a été négligent ! », a expliqué le 31 octobre à l’association 60 Millions de Consommateurs Jean-Jacques Latour (photo), directeur expertise cybersécurité pour Cybermalveillance.gouv.fr, qui assiste entre autres les victimes de hacking. Ce jour-là cet expert avait indiqué qu’un formulaire allait être mis en ligne sur ce site gouvernemental. « Le remplir permettra aux victimes d’avoir une preuve officielle à présenter à leur banque, si jamais elle rechigne à rembourser en cas d’opération non consentie », avait-il annoncé. La Commission nationale de l’informatique et des libertés (Cnil), qui a indiqué le 12 novembre que « le dossier est désormais en cours d’instruction » après « un contrôle chez l’opérateur » la semaine précédente (1), expliquait, elle aussi, – dans la version initiale d’une page web dédiée à la fuite de données chez Free et mise en ligne le 30 octobre – qu’un formulaire de plainte allait être accessible sur le site Cybermalveillance.gouv.fr.
A défaut de formulaire sur Cybermalveillance.gouv.fr, une class action ?
Cette « lettre plainte » devait permette aux clients victimes de la fuite massive de données personnelles, intervenue en octobre (2) chez l’opérateur télécoms fondé par Xavier Niel, de faire une déposition en ligne : « Si vous avez été avisés de la violation de vos données, à la suite de la cyberattaque visant l’opérateur de téléphonie Free, vous avez la possibilité de porter plainte via un formulaire en ligne sans vous déplacer en commissariat ou en brigade de gendarmerie. Ce formulaire sera prochainement disponible depuis le site cybermalveillance.gouv.fr », promettait le gendarme des données personnelles. Ce formulaire en ligne devait apparaître le 31 octobre… jour de la fête d’Halloween. Mais, sans explications, il n’en a rien été. Il n’y aura donc pas de formulaire. Se contentant de retirer la mention de ce formulaire en ligne de sa page web dédiée (3), la Cnil n’a donné aucune explication aux médias qui l’interrogeaient sur ce revirement. Contacté par la suite par Edition Multimédi@, Jean-Jacques Latour nous précise : « Le formulaire ne nous a pas été transmis par le ministère de l’Intérieur. Je n’ai pas à m’exprimer sur ses raisons et vous renvoie vers lui ». Mais la Place Beauvau (où se situe le ministère de l’Intérieur) n’a pas répondu à notre demande. Egalement contactée par nos soins, l’autorité administrative indépendante qu’est la Cnil ne nous a pas répondu non plus. (suite)
Le directeur expert cybersécurité de Cybermalveillance.gouv.fr, programme gouvernemental en partenariat public-privé piloté par le groupement d’intérêt public GIP Acyma (« action contre la cybermalveillance »), avait néanmoins confirmé auprès de nos confrères de 01net que le formulaire en ligne « n’était plus d’actualité », mais sans donner les raisons de l’abandon de cette « lettre plainte » qui aurait pu faciliter les démarches d’un potentiel de 19,2 millions de clients de Free. L’ampleur des plaintes à traiter, même en ligne, a sans doute fait reculer et la Cnil et l’administration française. Le risque d’un afflux de plaintes et d’usine à gaz ont amené la Cnil, la préfecture de police ou encore le ministère public (magistrat), décisionnaires dans ce type de démarche, à faire volte-face. Pourtant, créé par l’Etat en octobre 2017 dans le cadre de la stratégie nationale pour la sécurité du numérique, Cybermalveillance.gouv.fr – dont la Cnil est membre via le GIP Acyma – a vocation à « porter assistance aux victimes d’actes de cyber malveillance » (4). A défaut de « lettre plainte », les abonnés de Free n’auront-ils que leurs yeux pour pleurer la violation de leurs données personnelles ? Bien sûr que non : qu’il y ait exploitation frauduleuse de leurs coordonnées bancaires, usurpation d’identité (dont la fraude à la carte SIM ou « SIM swapping »), hameçonnage (phishing par SMS, e-mail ou téléphone), les clients de Free peuvent toujours porter plainte. Et il peuvent le faire de deux manières :
• Auprès de la Cnil, à partir de son service de plainte en ligne (5) ou par courrier postal (6), si la victime estime que ses données personnelles n’ont pas été suffisamment sécurisées par Free.
Plaintes : Cnil, police et gendarmerie
D’autant que cette violation massive de données personnelles – censées être protégées sans failles – concerne notamment : les noms, prénoms, adresses e-mail et postales, dates et lieux de naissance, numéros de téléphone, identifiants d’abonné et données contractuelles (offres souscrites, dates de souscription, abonnements actifs ou non). Et pour 5,1 millions d’abonnés, sur les 19,2 millions, les références du compte bancaire ou Iban (International Bank Account Number). Les mots de passe ne seraient pas concernés. Mais le gendarme des données personnelles peut « uniquement effectuer des investigations sur des problématiques relevant de la protection des données personnelles ». Et si des manquements sont avérés du côté de Free, il peut alors décider des « mesures correctrices tels que rappels à l’ordre, des mises en demeure ou des sanctions financières ». En revanche, la Cnil ne peut en aucun cas exercer les droits du plaignant à sa place ni être son mandataire et encore moins obtenir des dommages et intérêts et constater les préjudices subis.
Class action à venir contre Free ?
• Auprès de la police ou de la gendarmerie si la personne est victime d’une usurpation d’identité, d’une arnaque ou de paiements frauduleux. Cela suppose donc pour le plaignant de se déplacer physiquement pour se rendre dans le commissariat de police ou la brigade de gendarmerie de proximité. Pour trouver leur adresse, le ministère de l’Intérieur a créé un site web (7) permettant de géolocaliser les établissements les plus proches du domicile de la personne concernée. Le site Cybermalveillance.gouv.fr indique, lui, que déposer plainte en cas d’utilisation frauduleuse de vos données personnelles divulguées peut se faire non seulement dans un commissariat de police ou une gendarmerie, mais aussi par courrier postal à la Brigade de lutte contre la cybercriminalité (BL2C) de la Préfecture de police de Paris (36, rue du Bastion, 75017 Paris). Les infractions relèvent du code pénal, avec des peines d’emprisonnement allant d’un an à sept ans et de 15.000 euros à 750.000 euros d’amende (8).
Mais ce que ne dit pas la Cnil, c’est que les abonnés de Free concernés peuvent se regrouper pour engager une action de groupe (class action) ou un recours collectif, afin de demander la cessation de la violation de données personnelles et la réparation du préjudice. De class action, il en est question du côté de Cybermalveillance.gouv.fr qui, parmi ses conseils prodigués aux personnes concernées, suggère « d’engager au besoin une action de groupe ou un recours collectif qui permet aux victimes, représentées par une association de protection de la vie privée et des données personnelles ou une association de défense des consommateurs agréée au niveau national, de saisir la justice pour demander la cessation de la violation de données personnelles et la réparation du préjudice » (9).
Ces associations de consommateurs agréées en France pour défendre les consommateurs sont : l’UFC-Que Choisir, la CLCV, l’ULCC, l’Unaf, etc. (10). Elles aident à régler les litiges de la vie quotidienne, soit à l’amiable, soit par l’action en justice pour défendre l’intérêt collectif des consommateurs ou pour intenter des actions de groupe, et à demander réparation des préjudices subis par les consommateurs. Free avait par exemple déjà fait l’objet d’une action de groupe engagée en mars 2019 par l’UFC-Que Choisir pour obtenir l’arrêt et le remboursement des facturations injustifiées dont avaient été victimes les consommateurs au moment de la restitution de leur téléphone portable loué auprès de l’opérateur télécoms (11). Le 13 décembre 2022, le tribunal judiciaire de Paris avait déclaré irrecevable cette action de groupe. Mais l’Union fédérale des consommateurs Que Choisir a fait appel du jugement et l’affaire est toujours pendante devant la cour d’appel de Paris (12). « Après avoir plaidé pendant des décennies pour l’instauration d’une action de groupe, seule procédure permettant l’indemnisation, en un seul procès, des victimes de litiges de masse, l’UFC-Que Choisir a obtenu la création de cette procédure en 2014, rappelle l’association. Si certaines ont pu faire l’objet de transactions aboutissant à l’indemnisation des consommateurs, la plupart sont toujours en cours. L’association a engagé une dizaine d’actions depuis l’entrée en vigueur de la réforme ».
En effet, c’est la loi « Hamon » du 17 mars 2014 qui a introduit en France la class action, pratiquée depuis longtemps dans les pays anglo-saxons. L’Union européenne avait préparé le terrain avec la directive « Protection des intérêts des consommateurs » de 2009, laquelle fut abrogée par la directive « Actions représentatives visant à protéger les intérêts collectifs des consommateurs » du 25 novembre 2020 (13). Pour l’heure, une enquête préliminaire suit son cours du côté de la « cyberpolice » : elle a été diligentée sur les instructions de la section J3 du parquet de Paris et est ouverte à la BL2C (Brigade de lutte contre la cybercriminalité) de la direction de la police judiciaire de la Préfecture de police de Paris. Elle porte sur « les infractions d’atteintes à des systèmes de traitement automatisé de données, collecte frauduleuse de données à caractère personnel et recel de bien provenant d’un délit », comme l’indique Cybermalveillance.gouv.fr.
RGPD : Free (Iliad) risque une amende salée
De son côté, Free a mis en place un numéro vert (gratuit), disponible 7j/7 de 9h à 18h, pour toute question et demande de renseignement de ses clients : 0 805 921 100. A l’issue de l’enquête de la Cnil, épaulée par la police et la gendarmerie, les abonnés sauront si la responsabilité de la fuite de leurs données personnelles incombe à Free et s’il y a eu manquement au règlement général sur la protection des données (RGPD). L’opérateur télécoms, filiale du groupe Iliad dirigé par Thomas Reynaud (photo ci-dessus), risque une amende pouvant aller jusqu’à 7 % de son chiffre d’affaires, à laquelle pourrait s’ajouter par ailleurs des dommages et intérêts à ses clients en cas de préjudice reconnu par la justice. @
Charles de Laubier
Le règlement sur les services numériques – Digital Services Act (DSA) – du 19 octobre 2022 (
DoJ, FTC et Etats américains contre Google