Ce que vous pouvez vraiment faire après une fuite de données
Les médias rendent régulièrement compte de vols de données et de fuites informatiques, mais le silence retombe souvent très vite, même après la révélation d'affaires spectaculaires. Les responsables des entreprises concernées en disent généralement le moins possible, souvent sur recommandation de la police.
Les autorités appelées à intervenir dans ce type de dossiers restent, elles aussi, discrètes. Elles doivent préserver l'indépendance des enquêtes, respecter le secret de fonction et garantir les droits de l'ensemble des parties concernées.
Lorsqu'une fuite expose des données sensibles sur Internet ou que celles-ci tombent entre les mains de cybercriminels, les victimes entrent dans une période difficile et éprouvante. Mais quels sont leurs droits et leurs possibilités d'action? Et que faudrait-il changer sur le plan politique et législatif pour renforcer la cybersécurité en Suisse?
Un expert indépendant répond à ces questions.
Le contexte
Récemment, watson a révélé d'importantes fuites de données touchant des photographes scolaires suisses ainsi que des sociétés de surveillance des parkings. A partir de quand ne peut-on plus parler de malchance, mais de négligence grave en matière de sécurité informatique?
Martin Steiger: la loi exige que la sécurité des données soit adaptée aux risques encourus et garantie au moyen de mesures techniques et organisationnelles appropriées. En revanche, elle n'impose pas une sécurité absolue. La question de savoir si une entreprise a simplement été malchanceuse ou a fait preuve de négligence grave n'est que rarement examinée en détail. Et lorsqu'elle l'est, cela se déroule généralement à huis clos. Dans le meilleur des cas, l'entreprise survit à l'incident de sécurité et en tire les enseignements nécessaires pour l'avenir.
La loi impose certaines mesures destinées à protéger les données personnelles. Comment expliquer que des entreprises continuent d'exploiter des systèmes présentant des failles béantes, comme des interfaces de programmation non sécurisées ou des bases de données librement accessibles?
En Suisse, la sécurité des données repose encore largement sur le fameux principe de la responsabilité individuelle. Les pratiques varient donc fortement d'une entreprise à l'autre. La marge de manoeuvre offerte par la législation peut encourager certaines entreprises à reléguer la sécurité des données au second plan, voire à s'en désintéresser totalement. Cette question mérite une attention particulière dans le domaine de l'intelligence artificielle. Le «vibe coding» et les attaques visant les chaînes d'approvisionnement de l'industrie informatique conduisent à une nette augmentation des violations de la sécurité des données par rapport à il y a quelques années.
Les bases de la sécurité des données
Toute personne qui stocke des données personnelles sur des serveurs ou d'autres systèmes informatiques doit les protéger contre la perte, le vol ou les accès non autorisés. C'est ce qu'exige la loi fédérale sur la protection des données (LPD). Le terme technique utilisé est TOM, pour «mesures techniques et organisationnelles».
Les mesures techniques concernent l'infrastructure informatique, les logiciels et les dispositifs physiques destinés à protéger les données. Il s'agit notamment de la protection par mot de passe et du chiffrement, mais aussi de la sécurité des réseaux (pare-feu, antivirus, installation régulière des mises à jour) ainsi que les sauvegardes régulières.
Les mesures organisationnelles regroupent les règles et procédures qui encadrent les processus internes et le comportement des collaborateurs. En effet, le matériel et les logiciels les plus performants ne servent à rien si les utilisateurs manquent de vigilance. Les formations régulières permettant au personnel de reconnaître une tentative de phishing par e-mail en sont un exemple typique.
Les mesures à mettre en place dépendent du niveau de risque. Un cabinet médical qui conserve des informations sensibles dans les dossiers de ses patients doit naturellement prévoir des exigences de sécurité plus élevées qu'une association qui gère une simple liste de membres.
L'affaire des sociétés de surveillance de parkings
Dans l'affaire Funkwache et Unisecur, des données d'usagers de parkings ont été exposées, notamment des plaques d'immatriculation, des lieux et des horaires. La loi impose-t-elle à des sociétés privées de surveillance des exigences plus élevées qu'à l'exploitant d'une boutique en ligne classique?
Compte tenu du risque plus important, oui.
Les personnes concernées sont nombreuses à se demander pourquoi une société de surveillance de parkings conserve encore leurs données alors que les frais administratifs ont été réglés depuis longtemps. Le principe de minimisation des données et l'obligation de les supprimer automatiquement ne devraient-ils pas être appliqués de manière beaucoup plus rigoureuse?
Le principe déterminant est celui de la nécessité. Les données personnelles qui ne sont plus nécessaires à la finalité du traitement doivent être anonymisées ou détruites. Cela peut parfois s'avérer compliqué, mais ce n'est pas le cas pour des données structurées comme celles utilisées par les exploitants privés de parkings.
Les données sont pourtant restées dans les bases de données de ces entreprises pendant des mois, voire des années, après le paiement des frais administratifs. Lorsqu'une société privée conserve des données pendant des années sans raison apparente et qu'elles sont ensuite volées, n'y a-t-il pas, au-delà de la fuite elle-même, une violation manifeste du principe de finalité et de l'obligation de suppression?
Si ces données n'étaient plus nécessaires, oui. Il n'y a pas grand-chose à ajouter.
Comment sanctionner les entreprises fautives?
Contrairement au RGPD européen, le droit suisse ne sanctionne pas les entreprises par des amendes de plusieurs millions, mais les personnes physiques responsables – par exemple les membres de la direction – à hauteur de 250 000 francs au maximum. Dans la pratique, ce système fonctionne-t-il?
En théorie, une entreprise fautive peut également se voir infliger une amende pouvant aller jusqu'à 50 000 francs. Dans les faits, les procédures pénales fondées sur les dispositions de la législation sur la protection des données semblent extrêmement rares. Cela étant, selon les secteurs d'activité, la perspective d'une telle procédure suscite parfois une crainte étonnamment forte chez les personnes concernées. Mais ce phénomène touche avant tout les grandes entreprises qui disposent de spécialistes chargés des questions de protection des données.
La LPD ne sanctionne généralement que les actes commis intentionnellement, et non la négligence. Est-ce l'une des raisons pour lesquelles les fuites de données débouchent si rarement sur des sanctions?
C'est le vrai problème des personnes concernées. Souvent, elles ignorent qu'elles pourraient déposer une plainte pénale. Et lorsqu'elles le savent, elles jugent fréquemment la démarche trop lourde. Il ne suffit pas de déposer plainte:
Or, la plupart des personnes concernées ont besoin d'une assistance juridique, et cela demande du temps, de l'énergie et de l'argent. En fin de compte, dans le meilleur des cas, une seule personne responsable est condamnée à une amende, tandis que la victime doit assumer l'essentiel de ses propres frais. Dans le canton de Zurich, ce type de dossier n'est même pas traité par les ministères publics, mais par les préfectures de district, puisqu'il s'agit de simples contraventions. Or ces autorités n'ont pas l'habitude d'enquêter sur des affaires liées à la protection des données et aux données personnelles.
Quels éléments faut-il réunir pour qu'une entreprise soit poursuivie pénalement parce qu'elle a mal informé ses clients ou négligé la sécurité des données?
Les personnes concernées dépendent des investigations menées par les autorités de poursuite pénale. Encore faut-il qu'elles déposent une plainte pénale.
Cette année, par exemple, après une fuite de données médicales liée au «vibe coding», une plainte pénale déposée dans le canton de Zurich a été classée sans suite dès le départ. Cette affaire portant sur des données de patients et donc sur le secret médical, elle relevait de la compétence du ministère public. Sans qu'aucune mesure d'enquête visible ne soit menée, celui-ci a décidé de ne pas entrer en matière. En d'autres termes, il a estimé que le dossier ne contenait aucun indice susceptible de justifier une enquête.
Interrogés par watson, la Direction de la sécurité du canton de Zurich et l'Office cantonal de la circulation routière indiquent: «Nous prenons cet incident au sérieux et avons pris les mesures appropriées. Nous sommes en contact avec le PFPDT ainsi qu'avec la préposée cantonale à la protection des données.» En revanche, ils n'ont pas répondu à la liste de questions adressée par watson.
L'affaire de chantage visant l'entreprise allemande Portraitbox, révélée elle aussi par watson et touchant de nombreux photographes scolaires suisses, mobilise également le PFPDT. Des clients concernés ont déposé des plaintes formelles auprès de l'autorité fédérale et sont par ailleurs en contact avec les autorités cantonales compétentes.
Demandes de renseignements: quels sont vos droits?
Lorsque les responsables d'une entreprise concernée refusent de répondre aussi bien aux médias qu'aux personnes touchées, à partir de quand ce silence devient-il contraire au droit?
Les médias ne disposent d'aucun droit d'accès aux informations, contrairement aux personnes concernées, auxquelles une entreprise est tenue de répondre lorsqu'elles demandent des renseignements. Cette réponse peut être négative, mais ignorer purement et simplement une demande constitue une violation du droit d'accès aux données.
Après une cyberattaque, les personnes concernées ont-elles le droit de savoir si leurs données ont été compromises, ou une entreprise peut-elle se borner à annoncer qu'il y a eu une attaque et que tout le monde est potentiellement concerné?
Les personnes concernées peuvent exiger des informations si l'entreprise ne le fait pas spontanément. Lorsqu'une entreprise refuse de répondre, elles doivent toutefois faire valoir leur droit d'accès individuellement devant les tribunaux. Pour beaucoup, cet obstacle est trop important. Le droit suisse ne prévoit ni action collective ni droit de recours des organisations dans ce domaine.
Comment demander l'accès à ses données?
En Suisse, les entreprises sont tenues d'indiquer les données personnelles qu'elles détiennent. Lucien Jucker, responsable de la protection des données à la Fondation pour la protection des consommateurs, explique la marche à suivre pour adresser une demande écrite en ce sens:
«Les personnes concernées peuvent adresser à une entreprise une demande d'accès à leurs données. L'entreprise doit en principe y répondre dans un délai de 30 jours. Cela n'annule évidemment pas une fuite de données, mais les personnes concernées savent au moins quelles informations ont potentiellement été compromises. La réponse est généralement gratuite. Le délai de 30 jours peut toutefois être prolongé par le responsable du traitement des données.»
La fédération met à disposition un générateur de lettres types sur son site internet. Le site datenauskunftsbegehren.ch (en allemand uniquement) propose également cette possibilité. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) propose lui aussi un modèle de courrier.
Et si une personne souhaite obtenir la suppression des données conservées par une entreprise?
Là aussi, il est possible d'adresser une demande écrite. Contrairement à une demande d'accès aux données, qui doit être traitée dans la quasi-totalité des cas, une demande d'effacement suppose une pesée des intérêts en présence. Il peut donc arriver que certaines données ne puissent pas être supprimées.
Les personnes résidant dans l'Union européenne peuvent faire valoir les droits prévus par le Règlement général sur la protection des données (RGPD), plus strict que le droit suisse. «Les personnes concernées peuvent en principe utiliser nos lettres types, mais elles doivent les adapter à leur situation», précise le juriste de la fédération. Les personnes vivant dans l'UE peuvent également déposer une plainte auprès de leur autorité de surveillance nationale ou, le cas échéant, réclamer des dommages-intérêts.
En septembre 2025, le Parlement a enterré l'introduction des actions collectives. Les consommateurs suisses sont-ils, d'un point de vue juridique, pratiquement sans défense face aux vols ou aux fuites massives de données?
En tout état de cause, les consommateurs ne peuvent pas se défendre collectivement de manière efficace, surtout lorsqu'ils sont confrontés à de grandes entreprises, en Suisse ou à l'étranger. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) pourrait intervenir. Mais, à ma connaissance, cela reste rare. Encore faut-il qu'il soit informé d'une violation de la sécurité des données. Et même dans ce cas, il doit être prêt à engager les ressources nécessaires à une intervention. En raison de son indépendance, le PFPDT dispose d'une très grande liberté quant aux mesures qu'il décide de prendre... ou de ne pas prendre.
En période de crise, les entreprises répondent souvent aux demandes de renseignements par des formules automatiques et convenues. Quels sont les moyens de pression lorsque, passé le délai de 30 jours, les questions relatives à des données volées restent sans réponse?
Les personnes concernées peuvent essentiellement saisir la justice pour obtenir les renseignements demandés ou signaler le cas au PFPDT. Malheureusement, les personnes qui déposent un signalement auprès du PFPDT n'ont pas qualité de partie à la procédure.
Elles n'ont aucun moyen de l'y contraindre. Une action en justice visant à obtenir des renseignements est possible, mais elle est lourde et coûteuse. Il en va de même pour une plainte pénale.
Le fait d'ignorer les demandes des personnes concernées peut-il avoir des conséquences juridiques pour la direction d'une entreprise?
En l'état actuel du droit suisse, le fait d'ignorer une demande de renseignements n'est pas punissable. Le PFPDT peut toutefois intervenir et ordonner, sous la menace de sanctions pénales, la communication des informations demandées. Si l'entreprise refuse malgré tout de répondre, les personnes responsables s'exposent à des sanctions. Le PFPDT peut également exposer publiquement une entreprise fautive. L'an dernier, une banque suisse bien connue en a fait les frais. Cette mesure n'est toutefois efficace qu'à l'égard des entreprises qui ont une réputation à défendre.
Une action en justice vaut-elle la peine?
Lorsqu'une fuite concerne des données sensibles, le préjudice est souvent immatériel et difficile à chiffrer. Pour un particulier en Suisse, vaut-il la peine d'engager seul une action en dommages-intérêts ou en réparation du tort moral?
En règle générale, non. Dans certains cas particuliers, peut-être. Dans la plupart des cas, les personnes concernées risquent, au mieux, de se retrouver avec un préjudice financier.
Quels conseils pour les victimes?
Que recommandez-vous aux personnes dont les données ont manifestement fini entre les mains de criminels, voire sur le dark web, à cause de la négligence d'une entreprise? Quelles sont les mesures les plus importantes à prendre?
La première étape consiste toujours à obtenir des renseignements ou des informations sur la violation de la sécurité des données en question (lire plus haut). C'est ce qui permet aux personnes concernées de décider des mesures à prendre, notamment pour se protéger. Cela étant, nombre de ces mesures de protection devraient déjà faire partie du quotidien: se méfier des tentatives de phishing, utiliser des mots de passe suffisamment longs et recourir à l'authentification à deux facteurs, par exemple.
Il est toujours possible de signaler un cas au PFPDT, mais il ne faut toutefois pas s'attendre à ce qu'il intervienne effectivement.
Un autre conseil?
Une cyberassurance adaptée peut également être utile, qu'il s'agisse d'une police spécifique ou d'une couverture incluse dans un autre contrat d'assurance, l'important étant ici le terme «adaptée». De nombreuses cyberassurances prévoient des plafonds de couverture beaucoup trop faibles. Un montant de 10 000 ou 20 000 francs ne permet pas de se défendre efficacement après une violation de la sécurité des données. Comme toujours, il est indispensable d'examiner en détail les prestations réellement couvertes par l'assurance.
Faut-il durcir la législation?
La loi révisée sur la protection des données (LPD) est en vigueur en septembre 2023. La culture de la sécurité des données s'est-elle sensiblement améliorée dans les PME suisses ou a-t-on surtout assisté à une prolifération de «tigres de papier» sous la forme de déclarations de confidentialité interminables?
Le niveau de sécurité des données varie fortement d'une PME à l'autre en Suisse. Pour beaucoup d'entre elles, la nouvelle loi n'a rien changé. D'autres considèrent en revanche la sécurité des données comme un processus essentiel et y consacrent les ressources nécessaires.
Par ailleurs, même une société qui investit beaucoup dans ce domaine peut être victime d'une faille de type «zero day». Quoi qu'il en soit, afficher une bannière de cookies envahissante et souvent superflue ne suffit évidemment pas à garantir la sécurité des données.
Si la loi suisse sur la protection des données pouvait être modifiée aujourd'hui, quelle modification faudrait-il apporter pour contraindre les entreprises à renforcer leur sécurité informatique?
Toute contrainte a ses limites, en particulier lorsqu'il s'agit de sécurité. Si l'on souhaite améliorer la sécurité des données au sein des entreprises suisses, plusieurs mesures seraient nécessaires du point de vue des personnes concernées, même si elles sont peu habituelles dans le contexte suisse.
- Les violations de la sécurité des données avoir des conséquences financières pour les entreprises elles-mêmes, et pas seulement pour les personnes responsables à titre individuel. Les atteintes par négligence devraient également être sanctionnées, car les violations intentionnelles restent rares dans ce domaine. Les sanctions possibles, c'est-à-dire des sanctions administratives au sens juridique, devraient être proportionnelles au risque encouru et au chiffre d'affaires de l'entreprise.
- Les obligations de notification pourraient également être élargies afin que les violations de la sécurité des données soient effectivement portées à la connaissance des autorités. Les entreprises qui omettent de signaler un incident devraient être sanctionnées, ce qui n'est pas le cas aujourd'hui. Un dispositif de protection des lanceurs d'alerte pourrait contribuer à cet objectif.
- Les droits des personnes concernées devraient également être renforcés par l'introduction d'actions collectives et d'un droit de recours des organisations. Les victimes pourraient ainsi unir leurs forces. Des ONG comme la Société numérique ou la Fédération romande des consommateurs pourraient également engager des démarches judiciaires en leur nom.
A quoi cela servirait?
Avec de telles mesures, le véritable risque pour les entreprises ne serait plus la violation de la sécurité des données elle-même, mais le fait de renoncer aux mesures de prévention. Investir dans la prévention deviendrait alors économiquement rationnel.
L'essentiel devrait être de comprendre ce qui s'est passé et de tirer collectivement les leçons des erreurs commises. Dans l'aviation, on parle de «Just Culture» (culture juste) et de «Safety Culture» (culture de la sécurité). L'idée n'est pas qu'il n'existe aucune sanction, mais que chacun tire profit d'une culture qui favorise l'apprentissage et l'amélioration continue.
Et au niveau des autorités?
En Suisse, l'Office fédéral de la cybersécurité (OFCS) pourrait jouer un rôle plus important dans ce domaine. Les associations professionnelles pourraient également s'investir davantage. Il existe déjà de nombreuses entreprises qui peuvent donner l'exemple en matière de sécurité des données.
La Suisse pourrait aussi s'inspirer des dispositifs qui ont fait leurs preuves dans l'Union européenne avec le RGPD, qu'il s'agisse de sanctions financières ou d'autres mesures. (trad.: mrs)