Quelle responsabilité une entreprise assume-t-elle lorsqu’elle divulgue des informations sur ses clients ?

Des informations sur des millions de clients ont été divulguées

Le ministère de la Sécurité publique a pointé du doigt une série d'entreprises technologiques ayant divulgué des informations clients, ou des sociétés de courtage de taxis ayant utilisé des informations passagers divulguées pour solliciter des services par SMS. Le ministère de la Sécurité publique a également déclaré que la situation actuelle de fuite, d'achat et de vente de données personnelles est courante, publique et de plus en plus complexe. Plus grave encore, de nombreuses données sont vendues publiquement depuis longtemps et en grande quantité sur le cyberespace. Cet achat et cette vente ne se limitent pas aux individus, mais impliquent également des entreprises, des organisations et des sociétés.

En 2018, des informations concernant la fuite de Thegioididong.com et l'obtention par des pirates d'informations importantes telles que des adresses e-mail, l'historique des transactions et même des numéros de carte ont été rapportées sur des forums technologiques, provoquant l'inquiétude de millions de clients. The Gioi Di Dong a immédiatement publié un communiqué de presse confirmant qu'il s'agissait d'une fausse information, que le système était toujours sécurisé, fonctionnait normalement et n'était pas affecté. Par la suite, la situation s'est progressivement calmée.

En avril 2018, VNG a constaté que 160 millions de comptes Zing ID risquaient d'être divulgués, ce qui pourrait affecter une partie de ses fichiers clients de jeux vidéo. L'entreprise a déclaré avoir rapidement pris des mesures pour gérer l'incident, prévenir les intrusions et limiter le nombre d'utilisateurs concernés par l'incident par des mesures techniques. VNG a toutefois admis que les informations de plusieurs utilisateurs avaient été divulguées, mais que « le nombre d'utilisateurs réellement touchés par cet incident est limité, se concentrant sur les clients de jeux vidéo et n'affectant pas les autres produits VNG ». Elle s'est engagée à toujours garantir les droits et la sécurité de ses clients et à résoudre avec rigueur tout problème qui pourrait survenir.

Selon M. Vo Do Thang, du Centre de cybersécurité d'Athena, dans les cas spécifiques mentionnés par le ministère de la Sécurité publique, une enquête doit être menée pour déterminer si le système de l'entreprise a été attaqué ou si ses employés ont volé les données et les ont divulguées. Quelle que soit la raison, une fuite de données signifie que le système de l'entreprise présente une vulnérabilité. Cette vulnérabilité peut être technique ou humaine. Par conséquent, la sécurité du réseau et la protection des données personnelles des clients doivent être surveillées et mises en œuvre régulièrement, 24h/24 et 365 jours par an, sans négligence. Car personne ne peut affirmer que son système est toujours sécurisé, car les pirates informatiques peuvent attaquer à tout moment. Sans parler des situations où ce sont les employés de l'entreprise qui volent les données clients pour les revendre à l'extérieur…

Le monde a de lourdes sanctions, mais le Vietnam en a peu.

Récemment, plusieurs cas de divulgation d'informations clients ont été signalés, mais quasiment aucune unité n'a été sanctionnée. Parallèlement, des pays du monde entier ont imposé de très lourdes sanctions pour ce type de comportement. Par exemple, en juillet 2019, la Commission fédérale du commerce des États-Unis a décidé d'infliger une amende de 5 milliards de dollars à Facebook après que Cambridge Analytica a consulté et utilisé illégalement les données personnelles de 87 millions d'utilisateurs de ce réseau social. Selon l'enquête, Facebook a permis à Cambridge Analytica d'accéder illégalement aux données de 50 millions d'utilisateurs américains pendant la campagne présidentielle de 2016 et le référendum sur le Brexit au Royaume-Uni… Il s'agit de la plus lourde amende jamais infligée au monde pour un scandale de fuite de données utilisateur.

Au Vietnam, de nombreuses réglementations prévoient des sanctions en cas de fuite et de divulgation d'informations. Actuellement, le projet de décret relatif aux sanctions pour infractions administratives en matière de cybersécurité (en cours de consultation et en attente de promulgation par le gouvernement) prévoit que la sanction maximale pour les organisations contrevenant à la réglementation sur la protection des données personnelles est une amende pouvant atteindre 5 % du chiffre d'affaires total de l'exercice précédent au Vietnam pour la deuxième infraction ou plus. Par ailleurs, une sanction supplémentaire peut être appliquée, à savoir le retrait de la licence d'exploitation pour les activités nécessitant la collecte de données personnelles pendant un à trois mois.

M. Vu Ngoc Son, directeur technique de Vietnam Cyber ​​Security Technology Company, a déclaré qu'à ce jour, faute de réglementation détaillée sur la protection des données personnelles, les entreprises et organisations qui enfreignent la loi ne sont soumises qu'à des sanctions administratives. Par conséquent, la sanction maximale proposée, pouvant atteindre 5 % du chiffre d'affaires total, dans le prochain projet de loi, est adaptée au Vietnam et dissuade les unités de prendre davantage de responsabilités en matière de protection des données clients. Cependant, selon M. Son, cette amende reste modeste par rapport à la situation internationale. En effet, dans de nombreux pays, la plupart des amendes sont calculées en fonction de l'ampleur de l'impact de chaque violation. Par exemple, si une violation émane d'une petite entreprise mais affecte gravement un grand nombre d'utilisateurs, l'amende restera très élevée. « Au Vietnam, il n'existe toujours pas de barème permettant d'évaluer l'impact de chaque fuite d'informations personnelles ; il est donc raisonnable de proposer une amende basée sur le chiffre d'affaires. Je pense que cela constituera une nouvelle avancée dans le contrôle et la protection des données personnelles », a déclaré M. Vu Ngoc Son.

M. Vo Do Thang a abondé dans le même sens. La mise en place d'une réglementation plus détaillée sur les sanctions administratives spécifiques, accessible au public pour les actes de protection des données personnelles des clients, obligera les entreprises à revoir leurs systèmes de sécurité réseau. Un processus d'évaluation et de suivi régulier des ressources techniques et humaines est en place pour garantir la confidentialité des informations clients. Ce processus est similaire à celui de la réglementation sur la sécurité incendie dans les immeubles de bureaux et les lieux fréquentés. Les organismes de gestion de l'État doivent également renforcer l'inspection, la supervision et la répression des entreprises contrevenantes. La première infraction pourra être rendue publique dans les médias ; la deuxième infraction sera passible de sanctions administratives correspondantes, puis le service pourra être suspendu pendant un certain temps afin que l'entreprise puisse renforcer son système de sécurité réseau.