La protection des données à caractère personnel face à la cyber attaque
Par Amoin Ghislaine Marie Judith KOUADIO
Posté le: 06/01/2025 12:59
En 2024, l’augmentation des fuites de données des français a connu une augmentation
remarquable, une quantité énorme de données ont été volées. En effet, une répétition successive
de cyber attaque s’est produite et a suscité une inquiétude générale. Ainsi, pour mieux
comprendre ce phénomène il faut savoir concrètement ce que renferment les notions de
protection des données à caractère personnel et la cyber attaque. La première se définit comme
toute information se rapportant à une personne physique identifiée ou identifiable. Tandis que,
l’autre constitue toute attaque informatique menée contre un système informatique dans un but
malveillant. En clair, des personnes pénètrent dans les systèmes informatiques pour posséder
illégalement des données personnelles. Au regard de la menace que représente cette situation
on est amené à se demander si l’encadrement juridique des données à caractère personnel
protège suffisamment les personnes. Même si, les données ne sont pas totalement protégées
(I), néanmoins, le législateur essaie de trouver des solutions pour assurer la protection des
données à caractère personnel (II).
I- L’inefficacité du système de cyber sécurité
A- L’intelligence artificielle, obstacle à la cyber sécurité
- Le piratage se définit comme l’intrusion dans un système informatique permettant à un
cybercriminel de voler des informations personnelles illicitement. Force est de remarquer que
le progrès des techniques de piratage connait un essor non négligeable. Puisque ceux-ci
réussissent à contourner les systèmes de sécurité informatique malgré les mesures de cyber
sécurité mises en place et cela en raison de l’intelligence artificielle. D’ailleurs, la puissance de
cet outil informatique ne cesse de s’accroitre. Il sert d’appui aux attaquants parce qu’il possède
des logiciels ultra performant qui permettent de copier plus rapidement les données et de les
stocker sans aucune trace. C’est ce qui justifie la floraison de la fraude bancaire.
- Le phishing est une technique frauduleuse destinée à tromper l’internaute en l’incitant
à communiquer ses données personnelles et bancaires en se faisant passer pour un tiers. En fait,
de nombreuses personnes s’adonnent à cette activité qui consiste à usurper l’identité des
professionnels pour extraire de façon illégale les informations personnelles aux clients des
entreprises. Vraisemblablement, les personnes doutent du traitement de leurs données par les
entreprises. Récemment, une affaire a été portée devant le prétoire. Dans les faits, un couple de
retraité a été victime de phishing de la part de certains individus se faisant passer pour des
professionnels de la banque, en leur extorquant toute leur économie.
- L’attaque par empoisonnement vise à modifier le comportement du système de
l’intelligence artificielle en introduisant des données erronées en phase d’entrainement pour
créer des modèles d’intelligence artificielle. Effectivement, cette méthode favorise l’insertion
des pirates dans le système des réseaux informatiques. Quoique les entreprises fassent les
criminels ont toujours des techniques adaptées pour atteindre leur objectif. C’est ainsi que
pendant le mois d’octobre la compagnie de téléphonie free a été victime d’une attaque ce qui a
occasionné de grave dégâts. Des données personnelles de plusieurs millions de clients de free
se sont retrouvées sur les réseaux sociaux. En bref, on serait tenté alors de se demander
comment une telle attaque a bien pu être possible. La réponse à cette interrogation est difficile
cependant une chose est certaine c’est que les cybercriminels sont astucieux et rusés.
B- L’inadaptation de la gestion des risques numériques à la cyber attaque
- Les actions malveillantes des cybercriminels révèlent les faiblesses, limites des systèmes
informatiques. L’inadaptation des mesures de sécurité à la menace cybercriminelle explique
tous ces vols, escroqueries et usurpation d’identité. L’avancée technologique devrait être un
moyen de renforcer davantage le traitement et la confidentialité des données collectées. Au
contraire on assiste à un control externe des systèmes informatiques par des personnes aux
intentions douteuses. Cela pour ainsi dire que les entreprises devraient tout mettre en œuvre
afin de se conformer aux exigences du règlement sur la protection des données à caractère
personnelles. Le respect de ces obligations passe par une prise de conscience des entreprises
sur les risques de violation des données des personnes qu’elles sont censées protégées.
- La négligence de la cyber sécurité est un tueur silencieux qui peut avoir de véritable
conséquences sur les entreprises. La principale cause de l’impuissance des systèmes de lutte
contre la cyber attaque c’est la négligence. Dans la mesure où la culture de la prévention des
risques n’est pas totalement développée. De plus, la formation du personnel des entreprises sur
les questions de la gestion de la sécurité doit demeurer prioritaire pour lutter efficacement contre
la criminalité numérique. On se souvient encore des autocollants avec de faux QR codes sur les
services PayByphone à Nice. Le service permettait à l’automobiliste de régler leur
stationnement en ligne. Par ce moyen, les cybercriminels ont réussi à s’introduire dans le
système et mettre un faux code QR qui leur permettait de collecter les données bancaires des
innocents automobilistes.
II- Les efforts considérables du législateur
A- La régulation de l’intelligence artificielle
Le législateur soucieux du bien-être des personnes et de la quiétude sociale a mis en place un
certain nombre de règles pour réduire la violation des données à caractère personnelles. D’où,
le règlement européen sur l’intelligence artificielle du 13 juin 2024 paru au Journal officiel de
l’Union européenne du 12 juillet. A cet effet, l’article 15 de ce règlement souligne que des
solutions appropriées seront appliquées pour garantir la cyber sécurité des systèmes
d’intelligence artificielle et lutter contre les risques. Tout simplement ce règlement est un
complément au règlement sur la protection des données personnelles. Non seulement les textes
serviront à prévenir mais encore à détecter toutes actions malveillantes. Après l’identification
des infiltrations illégales, les attaques pourraient être contrées et résolues efficacement. En un
mot, la plupart des solutions sont destinées à remédier aux vulnérabilités spécifiques à
l’intelligence artificielle.
B- Les sanctions applicables en cas de cyber attaque
Les données personnelles sont fondamentales et leur protection est impérative. C’est pourquoi
quiconque tente de soustraire frauduleusement les données personnelles d’autrui est sanctionné
par la loi. En particulier, le code pénal a prévu des dispositions à la suite du règlement pour
sanctionner cette infraction. Conformément à l’article 323-1 et suivants de ce code les
cybercriminels sont passibles d’emprisonnement et une amende allant de 100 000€ à 300 000€.
Le but recherché consiste à réduire au maximum les soustractions frauduleuses de données en
par l’édiction de règles strictes. Ces sanctions vont extrêmement diminuer le nombre de
fraudeur et d’usurpateur d’identité.
Bibliographie
- Dictionnaire Larousse
- Le règlement européen sur l’intelligence artificielle du 13 juin 2024 paru au Journal
officiel de l’Union européenne du 12 juillet
- Code Pénal français