Zurich (awp/ats) - Des pirates informatiques ont eu accès aux données de la clientèle de Comparis lors de leur attaque contre le site de comparaison en ligne le 7 juillet, selon la police. Elle n'exclut pas un vol de données et appelle les utilisateurs à faire preuve de prudence. La Fédération romande des consommateurs (FRC) insiste sur la responsabilité de Comparis et appelle les entreprises à ne collecter que les données nécessaires.
Des analyses détaillées ont montré que les auteurs de l'attaque ont eu accès à certaines données internes de Comparis relatives aux clients, a indiqué mercredi soir la police cantonale zurichoise. Les enquêteurs partent du principe que certains fichiers ont été volés. Il s'agit notamment des données des clients de Credatis, une filiale de Comparis. La société dit dans un communiqué avoir informé directement les personnes potentiellement concernées.
"Leur devoir de diligence ne s'arrête pas au simple signalement des consommateurs lésés. Comparis doit informer activement les assurés sur les droits des individus face aux risques d'utilisations de ces données par des tiers", rappelle Jean Busché, responsable politique économique et des nouvelles technologies de l'information et de la communication à la FRC.
Le vol de données est d'autant plus problématique que la société a basé son modèle économique sur les données personnelles, "si elle échoue à garantir leur sécurité, elle échoue dans ses responsabilités face aux consommateurs", remarque le spécialiste.
"Les personnes concernées peuvent intenter une plainte devant les tribunaux civils cantonaux pour obtenir un dédommagement. Ils doivent prouver le dommage et également qu'il a été causé de manière illicite, c'est-à-dire par une violation des obligations découlant de la loi sur la protection des données (LPD)", relève Silvia Böhlen Chiofalo, porte-parole du préposé fédéral à la protection des données et à la transparence.
Selon la nouvelle LPD, qui devrait entrer en vigueur en 2023, "les responsables peuvent être condamnés par les tribunaux pénaux cantonaux à une amende allant jusqu'à 250'000 francs suisses pour violation intentionnelle de ces obligations", précise-t-elle.
Faille de sécurité problématique
Comment expliquer qu'une société comme Comparis, dont le fond de commerce est basé sur les données, n'ait pas les garde-fous adéquats? "Une telle faille de sécurité est extrêmement problématique", confirme M. Busché. "Il est sûr que ces entreprises devraient avoir une responsabilité étendue: les données sont leur fond de commerce, elles devraient donc être irréprochables quant à leur sécurité. Ce qui au vu de la situation, n'est pas le cas".
La FRC estime qu'un cadre légal obligeant les entreprises qui utilisent les données personnelles à se prémunir efficacement contre les cyberattaques permettrait d'améliorer la sécurité des systèmes informatiques. Et celles qui s'y refusent devraient être sanctionnées par "des amendes salées", juge le spécialiste.
Plus généralement, il faudrait aussi "questionner l'impact, pour les consommateurs, des modèles économiques qui se basent sur la collecte et l'utilisation des données personnelles", remarque M. Busché. "De plus, les entreprises doivent garantir la sécurité des données et éviter d'en collecter plus que ce dont elles ont besoin".
Le comparateur en ligne a été victime d'une cyberattaque au "rançongiciel" le 7 juillet au matin. Des pirates informatiques ont bloqué différents systèmes informatiques, dont le site Comparis.ch. Ils exigeaient de l'argent en échange du décryptage des données. Comparis a déposé une plainte pénale contre inconnu. La société a également averti le préposé fédéral à la protection des données et à la transparence.
Les systèmes de l'entreprise ont été remis progressivement en marche dans la soirée du jour de l'attaque. Elle a utilisé les sauvegardes de ses données, qu'elle actualise régulièrement. Comparis affirme n'avoir pas payé de rançon.
ats/vj/ol/al
