Données de connexion et cybercriminalité : Le cas Free vs Telegram redéfinit l'accès aux données d'identification

Contexte de l'affaire : Free victime d'une cyberattaque

Dans une affaire récente impliquant Free et Telegram, le Tribunal judiciaire de Paris a rendu une décision significative concernant l'accès aux données d'identification dans le cadre d'une enquête sur un rançongiciel. Suite à un piratage informatique ayant compromis les données personnelles et bancaires de ses abonnés, Free a été confronté à une demande de rançon via Telegram.

Enjeux juridiques et techniques de l'accès aux données

La décision du 12 novembre 2024 soulève des questions cruciales sur l'équilibre entre la protection des données personnelles et la nécessité de lutter contre la cybercriminalité. Le tribunal a dû examiner si les infractions alléguées relevaient de la 'criminalité grave', condition nécessaire pour accéder aux données de connexion selon l'article 34-1, II bis du Code des postes et des communications électroniques.

Portée de la décision et implications pour les professionnels de la compliance

Cette ordonnance établit un précédent important en matière d'accès aux données techniques de connexion. Le tribunal a considéré que les infractions en cause (accès frauduleux à un STAD, extraction frauduleuse de données, tentative d'escroquerie) justifiaient l'accès aux données d'identification, y compris les adresses IP.

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

• Mettre à jour les procédures internes de gestion des incidents de cybersécurité en intégrant les nouveaux critères jurisprudentiels d'accès aux données

• Renforcer la documentation des incidents de sécurité pour faciliter la qualification juridique des faits en cas de procédure judiciaire

• Établir un protocole de collaboration avec les autorités judiciaires et les opérateurs de communication électronique en cas de cyberattaque