En 2014, Orange, société spécialisée dans les télécommunications, a été la cible de cybercrimels qui ont volés les données personnelles de 1,3 millions de clients. Cette perte de données serait dû à un problème technique mettant en danger la sécurité des données sensibles de l’opérateur. Cette fuite a été sanctionné par la CNIL qui estime un manque de sécurité au sein de la société et un non-respect concernant la confidentialité des données personnelles. Dans ce cas, il s’agissait de doxing.
Quelle est la définition du doxing ?
Le mot « doxing » vient de l’anglais qui signifie la divulgation, malveillante, des données personnelles d’une personne. Comme informations divulguées, il est possible de voir les nom, prénom, adresse postale, numéro de téléphone mais aussi des informations très sensibles comme les numéros de cartes bancaires. Ces dernières sont aussi divulguées sur les réseaux sociaux sans autorisation ou encore vendues à d’autres cybercriminels via le darknet.
La genèse du doxing vient des années 90, avec l’apparition d’internet. Les cybercrimels avaient recours au doxing dans le but de révéler des informations sur des cybercriminels anonymes. Mais depuis, la définition s’est développée, elle fait maintenant référence à la divulgation des données personnelles de « monsieur tout le monde ». Le doxing est limite devenu une « arme » de notre société actuelle où les réseaux sociaux, l’internet prennent une grande place. Le fait de faire du tord en ligne à des répercussions dans la vie réelle. Il peut avoir des conséquences dangereuses comme la divulgation d’un lieu de travail peut amener des personnes mal intentionnées à harceler cette victime ou son employeur par exemple. Des photos personnelles peuvent aboutir à du cyberharcèlement. Ces actions, parfois anodines pour certaines personnes car il ne s’agit que de propos sur internet, peut amener les victimes à commettre des actes irréparables comme le suicide afin de ne plus être confronter à ce cyberharcèlement. Le viol de la vie privée est puni par la loi.
Quelles sont les sanctions ?
En France, il existe un délit spécifique pour ce type d’infraction. En son article 36 de la loi no 2021-1109 du 24 août 2021 confortant le respect des principes de la République, il est appliqué l’article 223-1-1 du Code Pénal. Cet article dispose que :
« Le fait de révéler, de diffuser ou de transmettre, par quelque moyen que ce soit, des informations relatives à la vie privée, familiale ou professionnelle d’une personne permettant de l’identifier ou de la localiser aux fins de l’exposer ou d’exposer les membres de sa famille à un risque direct d’atteinte à la personne ou aux biens que l’auteur ne pouvait ignorer est puni de trois ans d’emprisonnement et de 45 000 euros d’amende.
« Lorsque les faits sont commis au préjudice d’une personne dépositaire de l’autorité publique, chargée d’une mission de service public ou titulaire d’un mandat électif public ou d’un journaliste, au sens du deuxième alinéa de l’article 2 de la loi du 29 juillet 1881 sur la liberté de la presse, les peines sont portées à cinq ans d’emprisonnement et à 75 000 euros d’amende.
« Lorsque les faits sont commis au préjudice d’une personne mineure, les peines sont portées à cinq ans d’emprisonnement et à 75 000 euros d’amende.
« Lorsque les faits sont commis au préjudice d’une personne dont la particulière vulnérabilité, due à son âge, à une maladie, à une infirmité, à une déficience physique ou psychique ou à un état de grossesse, est apparente ou connue de leur auteur, les peines sont portées à cinq ans d’emprisonnement et à 75 000 euros d’amende.
« Lorsque les faits sont commis par voie de presse écrite ou audiovisuelle ou de communication au public en ligne, les dispositions particulières des lois qui régissent ces matières sont applicables en ce qui concerne la détermination des personnes responsables. »
Cet article fait suite à l’évènement tragique, qui a eu lieu au collège Conflans-Sainte-Honorine, où le professeur Samuel Paty a été sauvagement assassiné. Cet assassinat a eu lieu à la suite de la divulgation de ses données à caractère personnel sur les réseaux sociaux, dont son nom, prénom et son lieu de travail. Mais le fait de divulguer des informations sensibles peut relever du cadre pénal sur les atteintes à la personnalité : comme l’atteinte à la vie privée codifiée aux articles 226-1 à 226-7 du Code pénal, ou encore l’atteinte aux droits de la personne résultant des fichiers ou des traitements informatiques codifiée aux articles 226-16 à 226-24 du Code Pénal.
Comment éviter le doxing ?
Avec le développement des réseaux sociaux, tout le monde peut être victime de divulgation de ses données personnelles. Nos informations sont partout. Mais il est possible de les protéger afin d’éviter d’être la cible de cybercriminels. Par exemple, l’utilisation de mot de passe a changé tous les 6 mois et donc la sécurité est forte c’est-à-dire pas de date de naissance, de nom ou prénom de soi-même ou de la famille, alterner minuscule et majuscule.
Il convient, par ailleurs, de se protéger au niveau matériel. C’est-à-dire avoir des programmes antivirus et des pare-feux contre les logiciels malveillants ou gérer la collecte des données sur internet. La cybersécurité est souvent négligée mais pourtant primordiale afin de prévenir des attaques de doxing. Il faut avoir le contrôle sur les informations mises sur internet ou au niveau d’une société. Au niveau des particuliers, il est plus simple d’avoir une emprise sur les partages des données, mais au niveau d’une société quand on instaure un contrat de confiance comme Orange, c’est aux sociétés de mettre en place une sécurité maximale. Il ne faut pas donner l’opportunité aux cybercriminels de nous prendre pour cible.
Yasmine BABA
Master 2 Cyberjustice – promotion 2021-2022
