La Commission nationale de l’informatique et des libertés (Cnil) a annoncé, le 21 avril, avoir infligé à l’éditeur de logiciels Dedalus une lourde amende de 1,5 million d’euros, pour ses manquements en matière de sécurité. Des failles qui ont conduit, comme CheckNews l’a révélé en février 2021, au vol de données de 500 000 patients français détenues par Dedalus, alors sous-traitant des laboratoires médicaux français touchés par la fuite.

Pour le gendarme du numérique, le dossier est clos. Mais pour les victimes qui subissent chaque jour les conséquences de cet acte cybercriminel, l’affaire est loin d’être terminée : le volet pénal est encore en cours d’instruction et des actions de groupes sont toujours possibles, bien que complexes.

Au sein des groupes Facebook qui rassemblement plusieurs milliers de victimes présentes dans le fichier, l’amende n’a pas apaisé les frustrations. Sous les articles de presse, les messages oscillent entre interrogation et colère : «A ce jour, aucune nouvelle de nos plaintes», regrette une membre du groupe. «Nous sommes les plumés, ceci ne nous apporte rien», réagit une autre.

Les victimes ont bien été notifiées par leurs différents laboratoires (ceux qui ont récolté les données et dont Dedalus était le sous-traitant) qu’elles étaient concernées par l’incident. Des enquêtes ont été ouvertes et des milliers de plaintes ont été déposées. Mais l’accompagnement des victimes s’est arrêté là, alors que le fichier continue de circuler. Comme a pu le constater CheckNews, il suffit de quelques recherches en ligne pour le retrouver, sans même se rendre sur le Dark Web, la partie du web qui n’est pas indexée ou accessible par des moyens standards.

Cette base de données contient jusqu’à 60 informations différentes sur une même personne, allant du numéro de Sécurité sociale à l’adresse en passant par le numéro de téléphone portable et le médecin prescripteur. Un commentaire précise parfois l’état de santé. «Grossesse» revient souvent. Dans certains cas, des traitements médicamenteux ou des pathologies sont précisés : «Levothyrox», «tumeur au cerveau», «séropositif HIV». Diffusée gratuitement en ligne, elle représente une vraie mine d’or pour les pirates et les arnaqueurs en tout genre. Et une vraie vulnérabilité pour les 500 000 personnes présentes dans le fichier, comme l’a soulevé la Cnil dans sa décision (paragraphe 77 et 78).

Dans les différents groupes Facebook des victimes, ces dernières alertent sur la multitude de messages mal intentionnés qu’elles reçoivent. Philippe, retraité et modérateur d’un des groupes Facebook des victimes du Morbihan, lui-même présent dans la base de données volées, raconte qu’il reçoit quotidiennement des mails d’hameçonnage personnalisés avec ses informations : «C’est tous les jours depuis que ça a fuité, et ça continue. Même moi qui ai mis des systèmes de protection payants, j’en reçois 3 ou 4 par jours. […] Honnêtement, c’est très lourd. C’est du temps et de la vigilance, mais ça ne suffit pas.» Propositions de formations véreuses, fausses convocations de la gendarmerie pour des méfaits fictifs ou encore des mutuelles peu scrupuleuses, les exemples sont nombreux. Plusieurs membres du groupe témoignent avoir été piratées, d’autres évoquent même des usurpations d’identités.

Face à ces tentatives d’arnaques et d’actes malveillants, les victimes se sentent bien seules. Philippe raconte : «[les gendarmes] nous ont donné un conseil au moment du dépôt de plainte et Océalab (un des laboratoires concernés, ndlr) nous a demandé de changer nos mots de passe. Mais sinon, on n’a pas eu de suivi, on s’est débrouillé tout seul pour informer les victimes, notamment avec les journaux locaux ou sur notre groupe Facebook. On est laissé-pour-compte. Des gens me demandent quelles démarches on pourrait faire, mais je n’en sais rien. On reste des bénévoles, des personnes qui ont été touchées, mais on pense qu’on doit absolument faire quelque chose.»

Que peuvent espérer ces victimes ? Contrairement à ce que certaines imaginaient, elles ne doivent pas s’attendre à des réparations de la Cnil, même après l’amende d’un million et demi d’euros. «L’indemnisation ne fait pas partie de nos missions», explique le gendarme du numérique à CheckNews. Comme c’est le cas pour toutes les amendes, l’argent récolté est en effet reversé au Trésor public. Mais les victimes ne sont pas sans recours pour autant.

Le parquet de Paris confirme que l’enquête pénale, confiée à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), se concentre sur les chefs «d’accès et maintien frauduleux dans un système de traitement automatisé de données et extraction, détention et transmission frauduleuse de données contenues dans un tel système». Concrètement, les enquêteurs se concentrent sur la recherche des cybercriminels qui ont volé, commercialisé et diffusé le fichier. Dans cette procédure, les victimes pourraient demander des dommages et intérêts à ces pirates en se constituant parties civiles une fois que l’enquête aura avancé. Mais dans les dossiers de ce genre, complexes et impliquant souvent des réseaux internationaux, la recherche des auteurs peut prendre plusieurs années. Sans forcément aboutir.

Une autre option est d’initier une action collective à travers une procédure judiciaire au civil contre les responsables des traitements de données, à savoir les laboratoires et surtout contre leur sous-traitant Dedalus. En droit des données à caractère personnel, ce type de procédure peut avoir deux finalités : «Faire cesser le manquement au droit des données personnelles ou obtenir réparation d’un éventuel préjudice lié à un tel manquement», résume Suzanne Vergnolle, docteure en droit et spécialisée en droit du numérique.

Comme CheckNews le mentionnait en mars 2021, il existe deux types de procédures collectives. D’abord, les actions en représentation collective (ou conjointe), qui existent depuis des années. Elles permettent aux personnes de mandater certains organismes – notamment des associations de consommateurs – pour mener l’action judiciaire en leur nom. Ces organismes n’ont toutefois pas le droit de faire de la publicité pour obtenir ces mandats.

L’autre possibilité est une action de groupe. Leur fonctionnement diffère : il faut qu’un organisme reconnu (une association de consommateurs agréée au niveau national ou une association déclarée depuis au moins cinq ans et dont l’objet statutaire est la protection de la vie privée et des données personnelles) introduise un recours. «Le juge doit alors déterminer si le défendeur est responsable et, le cas échéant, quelles personnes peuvent rejoindre l’action de groupe et combien de temps elles ont pour le faire», poursuit Suzanne Vergnolle.

Reste que l’encadrement très complexe de ces procédures rend leur aboutissement difficile. «C’est compliqué et peu adapté, résume Suzanne Vergnolle. Dans les faits, ces procédures n’ont quasiment pas d’existence pratique. Le législateur a érigé tellement de barrières pour empêcher les dérives que les associations préfèrent se focaliser sur d’autres actions». Et rappelle que, quand des victimes ont subi une situation similaire comme c’est le cas ici, «pour engager la responsabilité d’un organisme sur le fondement du droit des données à caractère personnel, il faut établir l’existence de trois éléments : une faute, un dommage et un lien de causalité».

Néanmoins, la décision de la Cnil reste importante car elle soulève tous ces éléments dans sa délibération : une faute de la part de Dedalus (que l’entreprise reconnaît d’ailleurs), un dommage pour les victimes ainsi qu’un lien de causalité clair entre les graves manquements de sécurité de l’entreprise et les préjudices subis par les personnes présentes dans le fichier, notamment l’exposition aux campagnes d’arnaques (paragraphes 75 et 77).

L’obtention d’une réparation n’a donc rien d’évident pour les victimes de cette fuite de données. Mais de fait, des moyens existent et la décision de la Cnil pourrait, indirectement, contribuer à faciliter ces actions et être un premier pas vers une indemnisation des centaines de milliers de personnes dont les informations sensibles ne disparaîtront jamais du web.