“Un mélange de colère, d’inquiétude, de méfiance”, sont les premiers ressentis partagés par un DGS sur Linkedin, après l’annonce de la cyberattaque dont a été victime le CNFPT le 4 juillet dernier.
Comme lui, 34 000 intervenants sont concernés par cette fuite de données personnelles, incluant la carte d’identité, le RIB, la carte vitale, l’arrêté de situation administrative, l’attestation sur l’honneur, le CV.
Si certains internautes ont salué la communication mise en place par le CNFPT et la transparence vis-à-vis des intervenants concernés, plusieurs inquiétudes ont aussi émergé et la grogne s’est rapidement faite entendre.
Crainte autour de l’usurpation d’identité
“Je suis très inquiet”, souligne un autre DGS, tandis qu’une agente et consultante RH souligne que “ce ne sont pas n’importe quels documents qui sont piratés tout de même !”
“Déposez tous plainte à la gendarmerie et à la CNIL dès maintenant pour avoir une trace en cas de préjudice”, conseille ainsi une spécialiste en acculturation numérique et formatrice informatique.
Et c’est la crainte majeure qui ressort ici : le risque d’usurpation d’identité. “Cette crainte est complètement légitime. Avec un numéro de sécurité sociale et une copie de titre d’identité, il est facile d’usurper l’identité pour ouvrir des comptes bancaires, souscrire à des microprêts auprès de banque en ligne, etc”, confirme auprès de la Gazette David Conerardy, avocat directeur au cabinet Seban et associés.
“Le CNFPT est une victime mais c’est nous qui courrons les plus gros risques”, estime en ligne un directeur cybersécurité, qui s’interroge sur le stockage de ces données, le délai de leur conservation, et la sécurisation de leur accès.
Défaillance
“En première intention, le fait pour le CNFPT de détenir les cartes vitales peut paraître disproportionné. Mais c’est plus compliqué que cela. En matière de rémunération, le CNFPT doit pouvoir vérifier l’identité des intervenants, et que celle-ci est corrélée à un numéro d’identification unique”, décrypte David Conerardy.
Néanmoins, parmi les mesures techniques et organisationnelles fixées par le RGPD qui doivent être prises pour protéger les données personnelles, figure le chiffrement. “Si on perd l’accès en cas d’attaque, cela permet que l’assaillant n’ait pas accès à tout en clair. Ici, les données ont été soient mal chiffrées, soit ne l’ont pas été. Ce qui est sûr, c’est qu’il y a eu une défaillance”, relève David Conerardy.
Durée de conservation
Concernant la durée de conservation, il rappelle que le RGPD impose à chaque structure de définir elle-même la durée des données qu’elle va collecter dans son registre des activités de traitement : “en première intention, c’est le CNFPT qui définit la durée et la responsabilité du choix qu’il porte”.
Généralement, les employeurs conservent ce type de données durant 5 ans après la fin de la collaboration, soit la durée permettant de fournir les informations nécessaires en cas de contrôle de l’Etat et permettant qu’il y ait prescription en cas de recours au tribunal administratif ou prud’homal.
Dans le cas de cette cyberattaque, le CNFPT a indiqué que “les documents déposés avant mai 2022 n’étaient pas concernés par cette fuite, car ils ne sont pas accessibles depuis la plateforme, à l’exception des CV”.
“Dans tous les cas, le RGPD prohibe la conservation infinie des données à caractère personnel”, conclut David Conerardy.
Cet article est en relation avec le dossier
Domaines juridiques
