Information Commissioner’s Office, Tuckers Solicitors LLP Monetary penalty notice, 10 mars 2022

Le 24 août 2020, l’Étude d’avocats anglaise Tuckers Solicitors LLP découvre être la cible d’une cybe­rat­taque par ransom­ware. Les hackers réus­sissent à cryp­ter 972’191 fichiers infor­ma­tiques archi­vés, dont 24’712 se rapportent à des dossiers de procé­dures judi­ciaires ; parmi les dossiers cryp­tés, 60 sont exfil­trés par les hackers et publiés sur le dark­web.

Ces données pira­tées comprennent notam­ment des dossiers médi­caux, des décla­ra­tions de témoins, le nom et l’adresse des témoins et des victimes, ainsi que les infrac­tions présu­mées des prévenus.

Le 25 août 2020, Tuckers informe l’Information Commissioner’s Office (ICO, l’autorité anglaise de protec­tion des données) de cette fuite des données.

Le 27 août 2020, Tuckers mandate un expert externe afin de rece­voir un Cyber Security Incident Response Report. Ce rapport ne permet néan­moins pas de décou­vrir comment les pirates ont accédé au réseau infor­ma­tique de Tuckers. Cela étant, le rapport indique qu’une vulné­ra­bi­lité connue n’avait pas été corri­gée immé­dia­te­ment en janvier 2020, mais unique­ment en juin 2020.

Tuckers noti­fie ensuite les personnes concer­nées de la fuite des données et commu­nique égale­ment à ce sujet via son site web.

Bien que l’ICO admette que la fuite des données est attri­buable aux hackers, elle consi­dère que Tuckers n’a pas suffi­sam­ment protégé ses données. Le 10 mai 2022, l’autorité anglaise prononce ainsi une amende contre l’Étude d’avocats en raison d’une viola­tion de la confi­den­tia­lité des données (art. 5 par. 1 let. f RGPD).

Premièrement, l’ICO souligne que Tuckers n’utilisait pas l’authen­ti­fi­ca­tion multi-facteurs pour accé­der à distance à son réseau infor­ma­tique. Or ce système est recom­mandé depuis plusieurs années par le National Cyber Security Centre (NCSC) et permet de réduire dras­ti­que­ment les risques de cyberattaques.

Deuxièmement, Tuckers n’a mis en place un correc­tif de sécu­rité (patch) qu’en juin 2020, alors que celui-ci était connu depuis janvier 2020. Or la NCSC avait préci­sé­ment publié un commu­ni­qué en janvier 2020 infor­mant de cette faille de sécu­rité et que celle-ci était exploi­tée par des acteurs malveillants. Ce correc­tif était en plus gratuit.

En raison de la nature très sensible des données trai­tées par l’étude d’avocats et du faible coût de la mise en place du correc­tif de sécu­rité, l’ICO consi­dère que Tuckers n’a pas traité ses données « de façon à garan­tir une sécu­rité appro­priée » (art. 5 par. 1 let. f RGPD).

L’ICO en profite pour souli­gner que la Privacy Policy de l’Etude prévoyait préci­sé­ment que « all soft­ware, opera­ting system and firm­ware shall be upda­ted on a regu­lar basis to reduce the risk presen­ted by secu­rity vulne­ra­bi­li­ties ».

Enfin, l’ICO reproche égale­ment à Tuckers de ne pas avoir crypté ses données. Or il existe des logi­ciels gratuits en open-source qui permettent un tel cryp­tage. L’ICO relève que le cryp­tage des données consti­tue même la norme pour les études d’avocats.

En raison de ce triple manque­ment à l’obligation de garan­tir une sécu­rité appro­priée des données, l’ICO décide de sanc­tion­ner Tuckers d’une amende (art. 83 RGPD). Afin de déter­mi­ner son montant, l’ICO prend notam­ment en consi­dé­ra­tion que les données ont été publiées sur le dark­web, qu’elles étaient proté­gées par le secret profes­sion­nel et qu’elles étaient parti­cu­liè­re­ment sensibles (des dossiers compre­nant les données de victimes et de préve­nus). L’autorité anglaise arrive à la conclu­sion que le montant de £ 98’000.- consti­tue une amende appropriée.

Quid si une étude d’avocats suisse devait être victime d’une telle cyberattaque ?

Tant l’actuel LPD que la nLPD imposent aux respon­sables du trai­te­ment de proté­ger leurs données de manière appro­priée au risque (art. 7 LPD et art. 8 nLPD). Selon nous, cette norme légale impose égale­ment aux études d’avocats d’installer rapi­de­ment les correc­tifs de sécu­ri­tés (patch) lorsqu’ils sont connus et exploi­tés par des acteurs malveillants.

En parti­cu­lier, la Computer Emergency Response Team de la Confédération aurait même informé direc­te­ment des études d’avocats en mars 2021 d’une vulné­ra­bi­lité de Microsoft Exchange. La faille de sécu­rité Log4j a égale­ment attiré l’attention média­tique en fin d’année 2021. À notre avis, une étude d’avocats qui n’a pas corrigé ces failles de sécu­rité viole l’art. 7 LPD, notam­ment en raison des données sensibles qu’elle traite.

Le droit actuel ne prévoit néan­moins pas d’amende admi­nis­tra­tive pour une telle viola­tion. Au contraire, l’art. 61 let. c nLPD prévoit une amende pénale pour la viola­tion inten­tion­nelle des exigences mini­males en matière de sécu­rité des données édic­tées par le Conseil fédé­ral selon l’art. 8 al. 3 LPD. Il faut cepen­dant encore patien­ter avant de décou­vrir la version défi­ni­tive de ces « exigences mini­males en matière de sécu­rité des données » dans la future ordon­nance (cf. P‑OLPD). Il ne nous semble pas exclu de rete­nir qu’une personne direc­te­ment infor­mée d’une faille impor­tante de sécu­rité et qui ne met pas en place son correc­tif puisse tomber sous le coup de cette dispo­si­tion pénale.