Forum général.hors-sujets Que faire en cas de vol de données personnelles en ligne ?

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
7
21
jan.
2021

Bonjour tout le monde,

Il y a quelque temps j'étais tombé sur un sujet similaire sur ce forum dans lequel l'auteur évoqué ses différentes démarches ainsi que les différents problèmes qui lui sont arrivés suite à un vol de ses données en ligne (carte d'identité, rib, carte vitale, etc.)
Fort heureusement, il ne m'est pas arrivé exactement la même chose ; en tous cas, même si des données me concernant ont surement été volées, on ne m'a pas (en tous cas pas encore) usurpé mon identité.

Pour être plus précis, j'ai travaillé chez Econocom il y a plus de trois ans et j'ai récemment reçu un courriel de leur part indiquant que les données que je leur avais transmises lors de mon embauche étaient divulgués.
Je passerais sur le fait qu'ils indiquent dans l'introduction de leur courriel qu'ils ont "naturellement pris l’engagement de la transparence" et "dès la survenance de l’incident, pris des mesures pour renforcer la sécurité de ses systèmes d’information" alors que cet incident remonte à Septembre dernier et qu'ils semblent avoir voulu cacher l'incident.
Non, ce qui m'inquiète ici, ce sont les différents risques, et le cas échéant, les différents recours possibles.
Là encore, heureusement pour moi, mais en trois ans j'ai changé de banque, mais aussi de carte d'identité… mais ce n'est pas forcément le cas de tous les documents, certains restants encore valables telle la carte vitale, la carte grise, les diplômes ou la fiche de renseignement qui leur a été envoyé (contenant adresse, mél et numéro de téléphone).

Mais si je ne pense pas craindre grand-chose (en tous cas moins que ceux leur qui ont transmis leur carte d'identité l'année dernière par exemple), y a-t-il un possible risque lié à un vol de carte vitale, de diplômes ou de carte grise ? Si oui, quelles démarches puis-je entreprendre ?

Je me pose aussi des questions concernant la conservation de ce type de données.
Est-il normal qu'une entreprise conserve ce type de données plus de trois ans après mon départ ? Si oui, est-il possible de demander la suppression de ce type de données ? Et dans quelles conditions ?

Je sais que ça fait beaucoup de questions, mais je trouve qu'aujourd'hui, les réponses sont assez vagues et les risques pas assez mis en avant concernant ce type de sujet.
Ça m'a tout l'air d'être un sujet encore bien trop récent et qui, pourtant, pourrait avoir de graves répercussions.

Sur ce, je vous remercie d'avance et vous souhaite une bonne soirée :)
(ou une bonne journée si vous lisez ce sujet demain matin)

  • # Loi et RGPD

    Posté par  (site Web personnel) . Évalué à 5 (+3/-0).

    Alors, il y a des délais légaux, et des délais liés au RGPD.

    Légalement, l'entreprise est tenu de conserver pendant au moins 5 ans des informations sur ses salariés (fiche de paie notamment), qu'ils soient encore dans l'entreprise ou non. Cela inclus donc des informations sur l'identité de la personne, ainsi que son numéro de sécurité sociale.

    De plus, le RGPD autorise la conservation d'information si celles-ci peuvent être nécessaire à la constatation, à l'exercice ou à la défense de droits en justice.

    Aussi, pour les différents éléments :
    - carte vitale : est un justificatif du numéro de sécurité social. S'il y a un souci avec, ton ex-employeur peut justifier de sa bonne foi en montrant ce justificatif
    - carte grise : en cas de contrôle de l'URSSAF, peut servir pour justifier le calcul de frais de déplacement (qui dépend du type de voiture)
    - les diplômes : sauf cas particulier (par ex. désignation d'un tuteur dans le cadre d'un apprentissage), l'entreprise devrait effectivement les supprimer une fois l'employé parti. Mais il y a peut être des domaines où cela peut servir de preuve ?

    Tu peux demander la suppression des données. Ton ex-employeur aura alors l'obligation de répondre à ta requête dans un délai de 1 mois (prolongeable de 2 mois). Il peut y donner suite ou pas, mais devra se justifier dans ce cas. A défaut de réponse, tu pourras saisir la CNIL.

    A défaut de suppression tu peux demander à avoir une copie de l'ensemble des données te concernant, adjoint d'informations supplémentaires, notamment :
    - la finalité du traitement (pourquoi la donnée a été recueillie) ;
    - la durée de conservation

    En fait, dans la logique, il faudrait d'abord demander un droit d'accès aux données avant de demander leur suppression.

    • [^] # Re: Loi et RGPD

      Posté par  . Évalué à 2 (+1/-0).

      les diplômes : sauf cas particulier (par ex. désignation d'un tuteur dans le cadre d'un apprentissage), l'entreprise devrait effectivement les supprimer une fois l'employé parti. Mais il y a peut être des domaines où cela peut servir de preuve ?

      Dans le cas du crédit impôt recherche (niche fiscale en France), on m'a toujours demandé une copie de mon diplôme. Ce qui est logique dans la mesure où le dossier doit mentionner les intervenants, leur poste et leur diplôme.

      Donc en cas de contrôle fiscale l'entreprise doit garder une copie du diplôme des salariés concernés jusqu'à la prescription (ne me demandez pas combien de temps)

      • [^] # Re: Loi et RGPD

        Posté par  . Évalué à 1 (+0/-0).

        Merci pour vos réponses :)
        Effectivement, je n'avais pas pensé à ces différents justificatifs qui pourraient être demandés à l'entreprise.
        Cependant, ce genre de données devrait être archivé et sécurisé du mieux possible, ce n'est pas normal qu'une boite dans l'informatique puisse subir ce genre d'attaque !

        … par contre y a-t-il un risque d'usurpation d'identité ?

        • [^] # Re: Loi et RGPD

          Posté par  (site Web personnel) . Évalué à 2 (+0/-0).

          Cependant, ce genre de données devrait être archivé et sécurisé du mieux possible

          Effectivement. Ce n'est pas parce qu'on a le droit de conserver des données que nous n'avons pas d'obligation de les conserver de manière sécurisée.

          ce n'est pas normal qu'une boite dans l'informatique puisse subir ce genre d'attaque !

          Je me fais un peu l'avocat du diable, mais tu peux mettre toutes les protections du monde, il y a toujours un vecteur d'attaque. L'objectif de la sécurisation, c'est de rendre les attaques très compliquées au point de rendre leur réussite peu probable.

          Surtout qu'il ne faut pas oublier une chose : une grande partie de ce genre d'attaque, le maillon faible n'est pas la partie logicielle, mais la partie humaine ! Tu peux avoir toutes les sécurités que tu veux, si le mec qui a les droits les a transmis (volontairement ou non, le social engineering sert à ça) l'attaque est possible.

          par contre y a-t-il un risque d'usurpation d'identité ?

          Malheureusement oui. Je t'invite donc à conserver la lettre que tu as reçu. En cas de souci, elle pourra t'être utile pour prouver ta bonne foi. Conserve aussi une trace de ce post sur LinuxFR (ça montre que tu es conscient des dangers et que tu fais un minimum attention).

          Eventuellement, tu peux prévenir peut être ta banque (les attaquants ont potentiellement un RIB et une carte d'identité) en joignant une copie de la lettre de ton ancien employeur. Je ne sais pas si c'est utile, mais en cas de problème ultérieur, tu pourras leur opposer qu'ils avaient été prévenu d'un risque potentiel d'usurpation d'identité (par ex. en cas de virement frauduleux). Si un banquier passe par là pour donner son avis :)

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.