Communication aux victimes d’une violation de données : aller plus loin que le RGPD ?
Par Bruno RASLE • 23 mai 2025 • LinkedIn
Lorsqu’une violation de données personnelles est susceptible de présenter un risque élevé pour les personnes concernées, le responsable de traitement doit informer ces dernières. Il faut lire le considérant 86 du RGPD pour comprendre que la disposition vise à permettre aux victimes « de prendre les précautions qui s’imposent », pour qu’elles puissent se protéger. Dans son article 34, le règlement précise le contenu et les caractéristiques de cette communication, mais, pour autant, les objectifs visés sont-ils atteints ? Les personnes concernées reçoivent-elles les communications ? Les comprennent-elles ? Appliquent-elles les actions qui leur sont recommandées (comme le fait de changer son mot de passe) ? Plusieurs études montrent que les communications ont en fait peu d’impact, ce qui donne l’impression qu’on se contente du minimum, ce qui permet de se donner bonne conscience et d’éviter une sanction de la CNIL. Que faire pour aller au-delà de la forme du RGPD et tenter d’atteindre le fond – c’est-à-dire une réelle protection des personnes ? Impliqué dans la gestion d’un nombre important de violations de données et formateur de DPO sur cette thématique, je tente dans cet article d’identifier les erreurs à éviter et les pratiques inefficaces (bien que conformes au RGPD) et propose des pistes pragmatiques d’amélioration. Cet article accompagne une intervention réalisée ce jour dans le cadre de l’Université AFCDP des DPO.
Where a data breach is likely to present a high risk to data subjects, the controller must inform them. You have to read GDPR Recital 86 to understand that the provision is intended to enable victims “to take appropriate precautions”, so that they can protect themselves. In Article 34, the GDPR specifies the content and characteristics of this communication, but, for all that, are the intended objectives being achieved? Do the data subjects receive the communications? Do they understand them? Do they apply the actions recommended to them (such as changing their password)? A number of studies have shown that communications actually have little impact, giving the impression that we're content with the minimum, which allows data controllers to clear their consciences and avoid sanctions from the CNIL. What can be done to go beyond the form of the GDPR and try to reach the substance - i.e. real protection for individuals? Involved in the management of a significant number of data breaches and a DPO trainer on this topic, in this article I attempt to identify the errors to avoid and ineffective practices (despite being GDPR-compliant) and propose pragmatic ideas for improvement.
Une invention californienne
Comme je l’ai indiqué dans mon article « La sécurité des données personnelles enfin prise au sérieux ? » publié il y a seize ans, c’est l’État de Californie qui s’est doté le premier d’une loi obligeant à informer les personnes concernées d’une violation de leurs données personnelles. Votée en février 2002, cette mesure est devenue applicable en juillet 2003. Et c’est en 2009 que j’ai proposé, au sein de l’AFCDP, de créer un groupe de travail dédié à cette thématique1, dans le contexte d’une proposition de loi qu’avait déposé deux sénateurs et qui visait à modifier la loi Informatique et Libertés pour y ajouter une disposition similaire. Votée à l’unanimité par la chambre haute, cette proposition n’a pas été plus loin et il a fallu attendre 2018, c’est-à-dire l’entrée en application du RGPD, pour voir les responsables de traitement être obligés de notifier à l’autorité de contrôle (la CNIL en l’occurrence pour la France) certaines violations de données, et de la communiquer en sus aux personnes concernées (les «victimes») si l’incident est susceptible de déboucher sur un niveau de risque élevé pour elles2. En qualité de DPO interne mutualisé, j’ai été amené à accompagner un grand nombre d’incidents, dont certains ont donné lieu à notification et à communication, et, dans ces derniers cas, j’ai toujours été surpris du peu de réaction des personnes directement concernées: avaient-elles bien reçu nos messages? Avaient-elles bien pris conscience des risques qu’elles encourraient? Appliquaient-elles les mesures de protection que nous leur recommandions? Nos communications étaient-elles suffisamment claires? En ma qualité de formateur (j’anime une journée intitulée « Violations de données : pour ne pas subir») et au titre de ma veille permanente, j’analyse les violations de données accessibles en données ouvertes pour repérer les bonnes pratiques et celles qui interpellent et génèrent débats et réflexions. À titre d’exemple, en juin 2023, j’ai commenté la communication pour le moins perfectible de la direction de Voyageurs du Monde, société touchée par une cyberattaque.
Dans le présent article, je ne me pencherai pas sur le cheminement qui mène à la décision proprement dite de communiquer la violation aux personnes concernées, en respect de l’article 34 du RGPD3: elle appartient au responsable de traitement, sur les conseils éclairés de son DPO4 (c’est un sujet à part entière, que j’aborde naturellement lors de ma formation). Je veux ici me focaliser sur une véritable course d’obstacles qui va de cette décision jusqu’à l’objectif ultime: le fait que les victimes appliquent réellement (et rapidement) les mesures de précaution qui leur sont recommandées. Je ne doute pas que la majorité des communications diffusées par les responsables de traitement auprès des personnes concernées en cas de violation de données sont conformes aux exigences de l’article 34 du RGPD… mais le but est-il atteint, c’est-à-dire de donner une réelle chance aux victimes de se protéger ? Avons-nous réellement cet objectif en tête ? En faisons-nous assez ? Faisons-nous preuve d’assez d’empathie5 ? De plus, c’est un sujet d’actualité. En février 2025, lors de son allocution durant l’Université AFCDP des DPO, le secrétaire général de la CNIL avait laissé entendre que, parmi les thèmes du programme de contrôle de la Commission pour 2025 et à la suite des nombreux incidents qui ont émaillés 2024 et dont le public s'est ému, figurerait la vérification de la bonne gestion des violations de données. De fait, dans sa publication du 21 mars 2025, l’autorité a annoncé vouloir «contrôler les mesures mises en œuvre par les collectivités territoriales afin de protéger les données des usagers6» … mais ce serait imprudent, pour les responsables de traitement du secteur privé, de se croire à l’abri d’une telle démarche, des contrôles seront probablement initiés plus souvent à réception des notifications au titre de l’article 33 du RGPD7.
La rédaction « perfectible » du RGPD
Comme l’indique le « Guide pratique commun du Parlement européen, du Conseil et de la Commission à l’intention des personnes qui contribuent à la rédaction des textes législatifs de l’Union européenne », les articles doivent décrire les dispositions (les règles qui doivent être respectées) et les considérants les motivations. Or l’article 34 du RGPD n’oblige en rien les responsables de traitement à intégrer dans leur communication auprès des personnes concernées le moindre conseil afin que celles-ci puissent se protéger ! Cela signifie-t-il qu’une éventuelle décision de sanction prise par une autorité de contrôle sur ce fondement serait bien fragile ? De façon étonnante, il faut lire le considérant 86 pour comprendre que la communication a pour but de permettre aux personnes concernées de se protéger8: «Le responsable du traitement devrait communiquer une violation de données à caractère personnel à la personne concernée dans les meilleurs délais lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés de la personne physique afin qu'elle puisse prendre les précautions qui s'imposent. La communication devrait décrire la nature de la violation des données à caractère personnel et formuler des recommandations à la personne physique concernée pour atténuer les effets négatifs potentiels.»
Pour respecter l’esprit du texte et le but recherché, en sus de la «nature» de la violation, il convient donc de ne pas s’en tenir à la seule mention des informations visées à l'article 33, paragraphe 3, points b), c) et d) (c’est-à-dire le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; les conséquences probables de la violation de données à caractère personnel; les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives). En fait, il semble qu’il s’agit probablement d’une formulation perfectible de la fin du passage précédent, qui donne l’impression que seules les mesures qui doivent être prises par le responsable de traitement doivent être abordées9, alors qu’il aurait sans doute fallu écrire «les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, ainsi que, le cas échéant, les mesures que peuvent prendre les personnes concernées pour en atténuer les éventuelles conséquences négatives pour elles-mêmes10». Une éventuelle révision du RGPD sera peut-être l’occasion de corriger cela11 (et, par la même occasion, d’obliger les responsables de traitement d’indiquer quelles sont les données personnelles qui ont été violées… là aussi, un oubli très étonnant!). Ainsi, l'autorité néerlandaise estime que ces informations sont utiles pour que la personne concernée puisse évaluer les conséquences probables de la violation : «En ce qui concerne le contenu de la communication, l'Autorité de protection des données estime de manière générale que, bien qu'une énumération complète des catégories de données à caractère personnel ne soit en principe pas requise par le RGPD dans la communication adressée aux personnes concernées, ces catégories sont assurément utiles pour que la personne concernée puisse évaluer les conséquences probables de la violation, étant donné que le responsable du traitement est tenu de communiquer ces conséquences probables ainsi que d'autres éléments afin que les personnes concernées puissent évaluer les mesures d'atténuation qu'elles peuvent éventuellement prendre par elles-mêmes. Pour donner un exemple général, l'Autorité de protection des données estime qu'une communication pointant un risque de fraude à l'identité, sans mentionner les catégories de données à caractère personnel visées, perdrait son utilité (du moins en partie)».
Une véritable course de haies
Tout bon DPO n’a aucune difficulté pour penser en priorité aux personnes concernées, à raisonner «victim centric». La difficulté est souvent de convaincre son organisme que c’est la meilleure posture possible (la seule en fait). Mais, entre la décision prise de communiquer une violation de données et l’application concrète des mesures de protection par les personnes concernées, se dressent de multiples obstacles. Et il suffit d’échouer face à l’une de ces embûches pour que l’objectif ne soit pas atteint. Mon ambition est ici d’identifier les erreurs à éviter et les pratiques inefficaces (bien que conformes au RGPD) et de proposer des pistes pragmatiques d’amélioration.
La préparation est cruciale. Nous savons tous que la question n’est pas de savoir si nous allons subir une violation de données mais quand. Il est donc indispensable que chacun sache ce qu’il a à faire. Tout doit être prêt(les éléments de langage12, les moyens de diffusion, les supports de diffusion, etc.) car l’efficacité d’une communication auprès des victimes est déterminée par deux facteurs : sa rapidité et sa qualité. Ce n’est pas à la découverte d’une violation qu’on se demande qui doit signer la communication, ce que l’on doit y dire et s’il est opportun de s’excuser. Ce n’est pas non plus à ce moment qu’on s’aperçoit qu’on ne sait pas qui contacter en interne pour diffuser la communication ou pour poster un message sur le site Web de l’entreprise. Sous l’égide du DPO (qui saura mobiliser les bons interlocuteurs), des travaux doivent être menés en amont pour objectiver tout cela, en n’hésitant pas à procéder si besoin à des tests (par exemple pour vérifier la bonne compréhension des messages par les personnes sensées les recevoir). Au sein du réseau social qui permet aux milliers de DPO membres de l'AFCDP13 de s'entre-aider, l'un d'entre eux a posté le témoignage suivant : «Lors d'un exercice de simulation, nous avons remarqué qu'il est important d'avoir préparé des communications (contenu, forme et canaux). La cellule de crise a passé beaucoup de temps à se mettre d'accord sur le contenu du communiqué. De même, les contacts enregistrés dans les carnets d'adresses étaient inaccessibles, la DSI ayant isolé le système de l'extérieur pour éviter les fuites de données. Il est donc important de préparer les messages et d'identifier qui est autorisé à en valider la diffusion». Dans le point 44 de son Projet de recommandation relative à la sécurité des traitements critiques, la CNIL incite également à soigner la phase amont: «… la CNIL recommande que les procédures de gestion des violations soient anticipées en amont du traitement et formalisées dans une politique de réponse aux violations de données. Les procédures envisagées devraient avoir pour objectif principal de limiter, dans les plus brefs délais, les conséquences de la violation de données pour les personnes concernées». Le pire contre-exemple a probablement été révélé lors de la publication de la sanction qui a frappé la Bank of Ireland. Entre novembre 2018 et Juin 2019, l’établissement a réalisé vingt-deux notifications de violation de données personnelles qui portaient toutes sur le registre central des crédits, système centralisé stockant des informations sur les prêts des particuliers. À l'origine de ces violations, uniquement des erreurs de la banque (aucune attaque de pirates). Parmi les nombreux reproches formulés par l’autorité de contrôle irlandaise, figure le fait que la banque ne s’était pas organisée pour que chacun sache quoi faire en cas d’incident de sécurité impactant des données personnelles et pour identifier rapidement les personnes concernées par une violation (afin de faciliter la communication auprès d’elles). En avril 2022, l'établissement financier a écopé d'une amende de 463.000 € et d’un blâme public14.
Qui faut-il informer?
L’article 34.1 du RGPD est très clair: le responsable de traitement doit informer «la personne concernée». Mais s’il existe un risque élevé pour une personne, mais non pour une autre, seule la première, et non la seconde, devrait être informée de la violation de la sécurité. Sommes-nous prêts à un tel travail de dentelle? Et comme il est prudent de publier également l’information sur le site Web, tout le monde sera au final informé, même les personnes qui ne sont pas concernées par la violation, y compris un public qui n’a même aucun lien avec l’organisme. On voit donc qu’il est possible d’avoir à faire à plusieurs publics, chacun d’entre eux nécessitant éventuellement un message spécifique. Ainsi, à la suite de la violation de données dont a été victime la société Free en octobre 2023, deux communications différentes ont été émises: l’une à destination des abonnés (et anciens abonnés) à l’offre Fibre et l’autre vers les abonnés à l’offre Téléphonie mobile. La différence tenait à la description des données violées. Seul le premier message indiquait l’exfiltration des références bancaires (les IBAN - International Bank Account Number), tandis que seul le second comprenait les dates et lieux de naissance.
La violation de données dont le Ministère des affaires étrangères a été la victime en décembre 2018 a montré également le soin qu’il faut apporter à une catégorie spécifique de personnes concernées: celles qui n’avaient pas été informées initialement du traitement de leurs données! En effet, à la suite de la cyberattaque qui a ciblé le service Ariane (qui permet aux personnes se préparant à un voyage à l’étranger de laisser les coordonnées d’un proche à prévenir en cas de problème), la plupart des personnes qui ont reçu la communication de la violation ne savaient pas que leurs données étaient traitées. Malgré l’indication selon laquelle «Ces informations [vos données personnelles] ont été renseignées par un proche ou un collègue lorsqu'il s'est inscrit sur le service Ariane. Il vous a déclaré « personne à prévenir » en cas de difficultés lors d'un voyage ou d'une mission à l'étranger», combien d’entre elles ont cru qu’il s’agissait d’un message de phishing ? Le Sénat a publié un rapport très intéressant15. Parmi les recommandations faites au Ministère figure : «Informer la personne concernée qu'elle vient d'être inscrite dans la base ARIANE comme personne à prévenir en cas d'urgence» (c’est-à-dire veiller au respect de l’article 14 du RGPD, en cas de collecte indirecte). On doit donc se préparer à formuler un message légèrement différent à destination de ces personnes dont les données ont été initialement collectées de façon indirecte (et être en mesure de les distinguer dans les bases de données). Des réflexions similaires doivent être menées si la communication de la violation est destinée à des mineurs et à des personnes ne maîtrisant pas parfaitement la langue française.
Tout cela suppose que l’on dispose bien de la base de contacts de qualité. En amont, le DPO veillera donc à obtenir des assurances sur son niveau de protection (afin qu’elle ne soit pas séquestrée par un cyberattaquant16), sur sa qualité (Les coordonnées sont-elles à jour17 ? Permet-elle bien d’adresser le message aux personnes concernées?) et sur sa pertinence (Permet-elle de personnaliser chaque message pour améliorer le taux d’ouverture18 ? Permet-elle de différencier les personnes dont les données ont été collectées indirectement? etc.).
Surtout, ne pas oublier d’informer d’autres publics «internes»: d’une part toutes les personnes qui, par leur fonction, sont les interfaces habituelles des personnes concernées (service commercial, service gérant les réclamations, médiation, plate-forme téléphonique, personnel d’accueil, etc.). Il convient de leur fournir des éléments de langage: que peuvent-elles dire (et ne pas dire) ? Evitons à un ingénieur commercial parti de bon matin chez l’un de ses prospects enregistrer une commande, de revenir penaud et fort marri de n’avoir pas été préparé à un accueil peu aimable d’un ex-futur client qui ne tient pas à confier ses données à une société qui ne se montre pas capable de les protéger correctement… Naturellement, le service de communication doit se tenir prêt à recevoir des appels provenant de journalistes. Il faut penser également aux membres du Conseil d'administration, aux actionnaires ou aux franchisés, qui apprécient peu d’apprendre la violation en écoutant la radio ou sur les réseaux sociaux. Enfin il est bon de préparer avec le service des ressources humaines une communication spécifique auprès des salariés (y compris éventuellement pour leur rappeler leur devoir de confidentialité). Naturellement, si la violation concerne des données des salariés, il est sage d’en informer également les représentants du personnel.
Il est utile également de prévoir des éléments de langage destinés aux personnes… non-concernées. Ainsi, à la suite d’une violation de données dont la société britannique South Staffordshire Water a été victime en août 2022, une page intitulée «Customers who have not receive a notification» a été publiée sur le site web de l’entreprise. Dès lors que les publics à informer ont été identifiés, il faut se pencher sur la formulation de la communication.
Mais que dire aux « victimes » ?
La communication doit comprendre «des termes clairs et simples» (article 34.2. RGPD). Il convient donc d’adopter un langage adapté au public visé19 et d’éviter la langue de bois20. Mais la rédaction de la communication d’une violation de données exige des talents de contorsionniste : que faire pour que les destinataires aient envie d’ouvrir et de lire le message? Que faire pour qu’ils l’interprètent bien comme un message légitime (et non pas une tentative de phishing)? Comment informer sans créer la panique? Comment reconnaitre sa responsabilité tout en suggérant que ce genre d’incident est impossible à éviter? Comment inciter les personnes à changer leur comportement sans leur donner l’impression que l’on cherche à se défausser sur eux ? Comment les convaincre qu’ils doivent prendre les menaces au sérieux et appliquer les conseils qui leur sont formulés? Si le service Communication est forcément impliqué dans ces travaux, le DPO doit veiller à ce que tout ce qui doit y figurer y est bien présent (c’est-à-dire ce que prévoit l’article 34 du RGPD). Et, de fait, on observe ces derniers temps des messages qui sont bien plus élaborés, comme celui-ci: «Dans un contexte de menace informatique en constante augmentation, les entreprises sont exposées à un nombre croissant d’attaques informatiques de plus en plus élaborées et capables de contourner des protocoles de sécurité pourtant robustes. Nous vous informons que notre société n’a malheureusement pas été épargnée et a été victime d’une cyberattaque».
Concernant la «nature» de l’incident (qui doit obligatoirement être mentionnée), il n’est pas nécessaire de donner trop de détails concernant la violation pour éviter de rendre service à des pirates qui voudraient créer un suraccident21 ! La plupart du temps, les messages font état d’une cyberattaque ou d’une erreur humaine22.
Un point suscitera sans doute de nombreux débats: faut-il exprimer des regrets, voire s’excuser23 ou rester silencieux? En 2008, un journaliste américain avait comparé deux « disclosure letters » provenant d’entreprises du même secteur d’activité : USA Jobs et Monster.com. Il pointait des approches très différentes et mettait en lumière ce point important. On pourrait espérer des formulations qui montre davantage d’empathie comme24 «Sachez que je me suis personnellement impliqué», «Je regrette sincèrement qu’un tel incident soit survenu», «Au regard de ce qui vient de se passer, il est clair que nous devons encore nous améliorer» ou «Vous pouvez compter sur moi et l’ensemble des équipes impliquées pour que nous limitions encore davantage à l’avenir les risques qu’un tel incident se produise».
Autre question sur laquelle il est bon de se pencher durant la phase préparatoire: le message doit-il être impersonnel ou bien porter le nom et la fonction d’un responsable de l’organisme25 ? La seconde approche est préférable, mais il n’est pas toujours pertinent de faire apparaitre d’emblée l’identité du dirigeant le plus élevé (le PDG, le Maire, etc.), qui peut être gardée en réserve s’il faut «escalader» (en cas de diffusion d’un second message). En tout état de cause, la conception des messages doit impliquer toutes les parties prenantes (communication, juridique, etc.), en gardant à l’esprit la possibilité que les victimesintentent une action de groupe : le contenu de la lettre pourrait-il être utilisé et se retourner contre le responsable de traitement26 ?
Quand l’information est assurée par un tiers !
N’oubliez pas non plus que les personnes concernées peuvent également être informées par des tiers (et quelques fois à tort27). Ainsi, quand la société Adecco a été victime d’une violation de données fin 2022, ce sont les syndicats qui ont alerté les victimes, des centaines d’intérimaires étant victimes de prélèvements sur leur compte bancaire. L’une des victimes de cette arnaque, après avoir fait opposition auprès de sa banque, avait contacté son agence d’intérim, qui lui avait indiquéqu’une enquête était en cours28. Interviewé par la presse, un intérimaire faisait part de son stress: «Adecco dispose de nos RIB, de nos permis de conduire, de nos cartes d’identité... C’est très inquiétant ». Il convient donc de mettre en place une pige presse et réseaux sociaux pour être en mesure de détecter rapidement cette communication parallèle29 et d’allumer – si besoin - les contre-feux nécessaires.
Il est également des cas où un sous-traitant notifie directement la CNIL et informe les personnes concernées au lieu d’informer son client (le responsable de traitement). Si la violation concerne également un ou des traitements pour lesquels cet acteur a la qualité de responsable de traitement, il est légitime qu’il réalise ces actions. Mais le RGPD ne lui demande pas de notifier à la CNIL ni de communiquer des violations concernant des traitements pour lesquels il n’est que sous-traitant. Et si, en plus, il n’informe pas son client, ce dernier se retrouve dans une situation très délicate (C’est la CNIL qui s’étonnera de ne rien avoir reçu de sa part au titre de l’article 34 du RGPD et ce sont ses clients qui se montreront sans doute très mécontents de n’avoir pas été informés par le responsable de traitement). Dans le cadre de mes formations, je préconise d’enrichir le contrat établi en respect de l’article 28 du RGPD afin d’éviter ce genre de mésaventure.
J’ai également rencontré des cas où la victime est informée… par une autre personne concernée: du fait de collage électrostatique au niveau des machines de mise sous pli, un courrier postal avait été envoyé à un «mauvais» destinataire. Celui-ci, au lieu d’en informer le responsable de traitement, avait pris contact avec le «bon» destinataire, l’informant ainsi de la violation de données30.
Avec quelle rapidité informer les personnes ?
La communication auprès des victimes ayant pour objectif de les aider (les inciter) à se protéger, il convient que cette information soit réalisée le plus rapidement possible31. De façon assez surprenante, le RGPD ne fixe pas de délai maximal, comme il le fait pour la notification d’un responsable de traitement auprès de l’autorité (l’article 34 se contente de l’expression «dans les meilleurs délais»). Pour nous aider (?), le WP25032 précise que cela signifie «aussi vite que possible». C’est tout de suite plus clair… En fait, il s’agit d’une course entre l’épée (l’attaque que peut ou va porter le cybercriminel) et la cuirasse (la protection que va déployer la personne visée). On observe ici une analogie avec la nécessité d’appliquer le plus rapidement possible les patchs de sécurité une fois qu’ils sont mis à disposition par les éditeurs… en même temps que cette publication informe les pirates de l’existence d’une vulnérabilité exploitable. Dans cette course contre la montre, l’avantage est tout de même du côté de l’attaquant, quand on connait le délai moyen de détection d’une intrusion dans les systèmes d’information33. Comme l’indique le WP250, «Les notifications aux personnes concernées …/… sont indépendantes des notifications de violations de données à caractère personnel à l’autorité nationale compétente». En d’autres termes, même si la communication d’une violation aux personnes concernées est abordée au sein du RGPD dans un article postérieur à celui qui traite de la notification à l’autorité, rien n’empêche de mettre la priorité sur l’information faite aux victimes selon le niveau de risque qui pèse sur elles. Et, bien sûr, cette communication doit intervenir avant celle réalisée éventuellement par la presse ou dans les réseaux sociaux. En tout état de cause, le responsable de traitement doit se tenir prêt à justifier le temps qu’il a mis pour réaliser cette communication (le WP250 utilisant les termes de «sans retard injustifié»).
À part la sanction de 450.000 € qui a frappé Uniqlo en Espagne34, je n’ai pas connaissance d’autres décisions qui ait concerné un responsable de traitement qui aurait informé trop tardivement les personnes concernées35 (n’hésitez pas à m’en signaler36), mais on relève, dans la première annexe du rapport sénatorial qui a fait suite à la violation du service Ariane (évoquée supra), que huit jours se sont écoulés entre la détection de la cyberattaque (le 5 décembre 2018) et la communication en direction des titulaires des adresses électroniques compromises par le Ministère des affaires étrangères (le 13 décembre). Attention à l’inverse à ne pas communiquer trop vite quand même! C’est ce qui est arrivé à Intermarché, obligé de ramer à contre-courant: «Contrairement à ce qui a pu être annoncé à certains clients par erreur, aucun tiers non autorisé n'a pu accéder aux données personnelles des clients Intermarché». Une source interne avait indiqué à la presse37 «Nous sommes dans le cadre d'une mauvaise communication entre les équipes». On voit, là encore, la nécessité impérieuse de se préparer.
Informer certes, mais via quel media ?
Dans son WP250, le G29 «recommande que les responsables du traitement choisissent une méthode qui maximise la probabilité que les informations soient communiquées comme il se doit à toutes les personnes concernées38 ». Le document poursuit en précisant que les «méthodes de communication transparente pourraient être des messages directs (p. ex. e-mail, SMS, message direct), des notifications ou des bannières bien visibles sur le site internet, des communications postales et des annonces bien visibles dans des médias imprimés». Peuvent être ajoutés à cette liste le téléphone ou les réseaux sociaux. Tout cela doit également donner lieu à préparation (à titre d’exemple, le DPO doit savoir qui pourra très rapidement forcer l’affichage d’un message spécifique sur l’application mobile mise en œuvre par le responsable de traitement). Il est recommandé d’avoir recours à plusieurs méthodes de communication (pour les grandes entreprises, on relève fréquemment l’association email/publication sur le site Web du responsable de traitement/communication sur les réseaux sociaux/communiqué de presse39). Et je salue l’initiative de ma mairie qui, suite à la violation de données qui l’a frappée en 2023, a pris soin de faire imprimer et distribuer dans toutes les boîtes aux lettres de la commune (plus de 11.000 exemplaires) un flyer d’information40.
On constate que c’est la messagerie électronique qui est fréquemment privilégiée par les responsables de traitement afin de communiquer une violation de données auprès des personnes concernées. Encore faut-il que ce canal soit encore «de confiance», comme le rappelle le G29: «Un responsable du traitement devrait bien évidemment se montrer prudent dans l’utilisation d’un canal de contact compromis par une violation, dès lors que ce canal pourrait également être utilisé par le pirate pour se faire passer pour le responsable du traitement.». En Italie, sur ce fondement (entre autres), le Garante a sanctionné Italiaonline Spa. En février 2019, la société avait été victime d’une cyberattaque perpétrée via la messagerie électronique et en avait informé les victimes par courriel. L’autorité lui avait ordonné de notifier l’incident par un autre moyen de communication41. De plus, il faut rester conscient des limites du protocole SMTP (Simple Mail Transfer Protocol) qui font qu’il est rare que tous les courriers électroniques émis soient correctement reçus par leurs destinataires. Tout DPO, durant la phase de préparation, devrait donc s’enquérir du taux de codes erreur 5XX relevés lors de la dernière diffusion réalisée sur la base de contacts dont dispose l’organisme. Un code erreur SMTP est une réponse envoyée par le serveur de messagerie du destinataire à votre serveur expéditeur. Le premier chiffre indique la nature générale du statut (erreur temporaire ou permanente). Les codes 4XX correspondent à des problèmes temporaires pouvant être résolus automatiquement par de nouvelles tentatives (Par exemple l’erreur 450 indique que l’adresse email du destinataire est temporairement inaccessible. Cela peut être dû à une boîte de réception pleine, mais l’adresse email est valide). À l’inverse, les codes 5XX signalent des problèmes définitifs qui empêchent la livraison du message. Ainsi, le code erreur 550 indique que l’adresse email n’existe pas ou n’est pas valide. Et si les opérateurs chargés de transporter le flux d’emails relèvent un taux d’erreurs de ce type trop important, ils peuvent bloquer l’ensemble de l’émission. De même, immédiatement après la diffusion de la communication aux victimes d’une violation de données, le DPO devrait chercher à relever le taux d’erreurs définitives ainsi que d’erreurs temporaires et suggérer d’autres canaux pour que ces destinataires spécifiques soient dûment informés. L’idéal, pour disposer d’un taux de délivrabilité maximal, ne serait-il pas de s’appuyer sur un expert externe, dont l’infrastructure de messagerie répond aux derniers standards, tels que SPF (Sender Policy Framework), DKIM (Domain Keys Identified Mail), DMARC (Domain-based Message Authentication, Reporting and Conformance), BIM (Brand Indicators for Message Identification) ou VMC (Verified Mark Certificate) ? Savez-vous que, depuis le 5 mai 2025, Microsoft a durci les règles d’envoi vers Outlook ? Depuis cette date, les expéditeurs de plus de 5.000 e-mails par jour doivent impérativement appliquer SPF, DKIM et DMARC s'ils ne veulent pas voir leurs messages être considérés comme des pourriels et risquer de voir rejeter totalement leur envoi. Microsoft a précisé que cette obligation concerne uniquement les grands expéditeurs dans un premier temps mais qu'une généralisation de ces règles est prévue prochainement.
Attention également à ne pas concevoir un message cumulant des caractéristiques qui risquent de le faire assimiler par les opérateurs comme un pourriel (et bloqués en tant que tels): évitez des mots fréquents dans les spams (comme «Urgent»), n’écrivez pas votre objet en majuscules, n’utilisez pas les points d’exclamation à répétition, restez sobre dans la mise en forme de votre e-mail (Les filtres anti-spam n’apprécient pas la multitude de couleurs ou la surutilisation du gras, de l’italique, du souligné). Là encore, les conseils d’un expert de l’email marketing sera un plus. Un dernier point ferait tourner en bourrique le plus patient des DPO: certains opérateurs ont pris la mauvaise habitude de considérer comme spam un email diffusé en grand nombre s’il ne comporte pas un pied de page avec un lien de désabonnement fonctionnel et visible. Cette disposition prévue par la LCEN n’a aucun sens concernant la communication d’une violation de données. Soit vous décidez de vous en passer… et vous courrez le risque de voir votre envoi jeté aux poubelles avec le reste des spams, soit vous ajoutez une mention de désinscription, qui permettrait à certaines destinataires de signifier qu’ils ne veulent plus recevoir dans le futur de telles communications (alors que c’est la loi qui oblige à le faire). Ces quelques personnes ne pourront donc pas se protéger si une nouvelle violation survient. Vous avez dit absurde? La seule échappatoire que j’ai trouvée est, sur la page sur laquelle mène le lien de désinscription, d’expliquer cette bizarrerie aux quelques personnes concernées qui cliqueraient. Je suis preneur de toute autre bonne et pragmatique idée.
L’email est reçu : mais est-il ouvert et lu ?
Il ne suffit pas que l’email soit délivré dans la boîte aux lettres des personnes concernées. Encore faut-il qu’elles l’ouvrent pour en prendre connaissance. C’est là une nouvelle haie à franchir dans notre course d’obstacles. À ce stade, c’est l’objet du message qui est crucial. Il doit inciter le destinataire à ouvrir l’email, mais sans tomber dans l’outrance car un objet trop agressif pourrait être classé en tant que pourriel (Cf. supra). On privilégiera la personnalisation (qui augmente fortement le taux d’ouverture) en préférant «Bonjour Madame Jeanne Dupont» à l’impersonnel «Madame, Monsieur». Là aussi, les DPO devraient s’intéresser aux dispositifs qui permettent de connaitre le taux d’ouverture. À la suite des violations dont la société Ledger a été victime, elle a indiqué dans sa communication ouverte que 40 % de sa diffusion initiale d’un million d’emails (en juillet 2020) ont été ouverts… et seulement 27 % de son second envoi42 (en octobre 2020). Si ce responsable de traitement n’avait utilisé que ce canal, c’est donc au minimum 60 % des victimes qui n’auraient pas été informées des risques qu’elles encourraient. Heureusement, la société a largement communiqué par d’autres canaux (site web43 – avec création d’une page spécifique traitant des risques de phishing -, blog, réseaux sociaux, communiqué de presse, message du PDG, interview du PDG).
Afin de s’enquérir de la bonne réception de la communication par les personnes concernées, un pixel invisible peut être embarqué. Très utilisée par les acteurs de l’eMarketing, cette balise fournit des données fiables sur le comportement des utilisateurs et permettent ainsi de réaliser des campagnes publicitaires et commerciales sur mesure. Grâce à ces pixels, les entreprises obtiennent notamment des informations sur la portée du marketing en ligne et des newsletters et peuvent ainsi optimiser leurs stratégies de communication et de promotion. Comme cette approche est soumise à la doctrine «cookies et autres traceurs» de la CNIL, il convient d’en informer les destinataires par un message en pied de page44, d’avoir pour unique finalité de «permettre ou faciliter la communication par voie électronique45 », de limiter les données traitées au strict minimum (permettant de savoir si l’email a été reçu et ouvert – mais nul besoin, par exemple, de la localisation du destinataire), de ne pas partager ces informations et de les purger dès l’objectif atteint (par exemple, après avoir procédé à une nouvelle émission auprès des personnes n’ayant pas ouvert le premier message). Là encore, durant la phase de préparation, tout DPO devrait vérifier ces points pour ne pas être pris au dépourvu le jour venu. Gardons également en tête que certaines personnes concernées se protègent des pixels invisibles, notamment en les bloquant au niveau de leur client de messagerie (par exemple, grâce à des extensions dans Thunderbird ou Gmail).
Si la CNIL n’aborde pas explicitement l’encadrement de ces pixels invisibles dans sa doctrine, il serait utile qu’elle clarifie les conditions dans lesquelles cette technique pourrait être utilisée sereinement dans le cadre de la communication d’une violation de données au titre de l’article 34 du RGPD. D’ailleurs, dans sa publication «Accompagnement des professionnels : le programme de travail de la CNIL pour 2025», du 27 mars 2025, la commission a indiqué qu’elle travaillait sur ce sujet46 : «Pixels dans les courriels : Dans le prolongement de ses actions sur les cookies et autres traceurs, la CNIL publiera un projet de recommandation sur l’utilisation des pixels dans les courriels, dont l’usage est en forte croissance. L’objectif est de préciser les cas dans lesquels le consentement est nécessaire et guider les acteurs sur les modalités de son recueil.». La commission ayant un a priori négatif envers cette technique47, et si le projet de recommandation qui sera soumis à contribution n’aborde pas ce point48, je proposerai qu’il soit explicitement clarifié que les pixels invisibles peuvent être utilisés dans ce cadre, sur la base de l’intérêt légitime du responsable de traitement et avec une information des personnes réalisées après le traitement (au moment où elles ouvrent la communication, l’information est déjà parvenue à l’émetteur).
À cette étape, on peut espérer qu’une large part des personnes concernées ont reçu et pris connaissance de la communication. Mais que faire pour qu’elles se sentent concernées et suivent les conseils qui leur sont prodigués?
« Qu’est-ce qui peut m’arriver ? », « Que puis-je faire ? »
Arrivés à ce stade, nous avons déjà franchi avec succès plusieurs écueils: la communication est parvenue à chaque personne concernée, celle-ci l’a repérée parmi tous les messages qu’elle reçoit, elle l’a ouverte et elle l’a lue ! Mais va-t-elle pour autant se sentir concernée? Va-t-elle prendre la mesure des risques qui pèsent sur elle? Va-t-elle surtout appliquer les conseils qui lui sont dispensés pour se protéger? Le message doit donc répondre de façon pertinente à deux questions: «Qu’est-ce qui peut m’arriver ?» et «Que puis-je faire ?». Comme l'indique l'article 33.3.c, la notification à l'autorité doit à tout le moins décrire les conséquences probables de la violation de données à caractère personnel, et l'article 34.2 précise que cette information doit également être portée à la connaissance des personnes concernées.
Là encore, il est peu pertinent d’attendre la survenance d’une violation pour essayer d’objectiver les risques qui pèsent sur les victimes. Cela est susceptible de donner de mauvais résultats, comme le montre la communication pour le moins perfectible de Free à l’automne 2024, obligeant la CNIL et Cybermalveillance à compléter l’information concernant ce que peut faire une personne mal intentionnée par la détention d’un IBAN49 et sur les risques de fraude à la carte SIM (SIM swapping). Le moment idéal pour préparer les éléments de langage et les conseils à prodiguer aux victimes ne serait-il pas la formalisation de l’analyse d’impact, au titre de l’article 35 du RGPD? Dans le cadre de ma formation «Réaliser une Analyse d'Impact • De la théorie à la pratique», c’est ce que je recommande fortement. Comme nous savons pertinemment que l’efficacité des mesures de traitement des risques n’est pas parfaite, je conseille de profiter des réflexions menées dans le cadre d’un DPIA pour aller plus loin: «Et si, malgré les précautions prises, l’événement redouté survient? Que dirons-nous aux victimes? Comment arriverons-nous à les mobiliser et à les inciter à appliquer les conseils que nous devrons leur prodiguer?». D’où l’intérêt également, comme le prévoit l’article 35.9 du RGPD de recueillir «l’avis des personnes concernées ou de leurs représentants»et de valider la compréhension et la pertinence des projets de message.
J’ai sélectionné deux contre-exemples pour illustrer mon propos. Le premier concerne la société américaine 23andMe auprès de laquelle un pirate avait exfiltré les données génétiques de 7 millions de personnes. Cette société, leur a assuré que «Les informations qui ont été consultées ne peuvent pas être utilisées à des fins préjudiciables»… jusqu’au moment où l’on a appris de les données d’un million de ces clients ayant un héritage génétique juif ashkénaze étaient proposées sur le dark net et que le FBI craigne que les clients d’origine chinoise fassent l’objet de pressions de la part de la Chine50. N’aurait-il pas fallu y penser avant (la violation) pour être en mesure d’adresser des messages spécifiques à ces «cibles» potentielles ? Le second cas est celui de la société Voyageurs de Monde auprès de laquelle, en mai 2023, un pirate a exfiltré dix milliers de passeports et les a partagés. Quelques jours après l’incident, le dirigeant du voyagiste s’est exprimé au micro de Franceinfo51 : «Ils font les malins pour pas grand-chose», «Il ne s'agit que de copies et aucune donnée biométrique n'a été recueillie par les pirates», «Franchement, on n'est pas inquiets». Comment s’étonner ensuite que les personnes concernées n’aient pas pris la chose au sérieux? À l'inverse, à la suite de la violation dont Auchan a été la victime, figurait parmi les mesures prises par la chaine de distribution «Parmi ces mesures, nous avons renforcé les contrôles en cas de décagnottage de votre carte de fidélité».
Il est souvent intéressant de faire de la rétro fiction. Rappelons-nous la violation qui a frappé Ashley Madison en juillet 2015, quand des cybercriminels avaient les données des utilisateurs à la recherche d’aventures extraconjugales (60 Go de données tout de même). On a rapidement appris que, parmi eux, figuraient 1.200 citoyens d'Arabie saoudite, pays dans lequel l'adultère est puni de mort et que la police de Toronto a confirmé deux suicides à la suite de la violation. Si j’avais été DPO de ce responsable de traitement à l’époque (et si le RGPD avait déjà été applicable), quels conseils aurions-nous pu suggérer aux personnes concernées ? D’assurer leur épouse de leur amour indéfectible ? Un autre cas m’a particulièrement marqué (et je suis étonné qu’il n’ait pas été source de débats), celui des Editions Rotative. En janvier 2023, cette société s’est fait dérober la liste de ses abonnés (environ 200.000 personnes). Dans le message qui leur a été diffusé ne figurent que deux conseils: «Nous ne pouvons que vous inciter à la plus grande vigilance lorsque vous recevrez des mails suspects» et «Nous incitons toutefois les personnes potentiellement concernées par ce piratage à modifier rapidement leur mot de passe». On frémit quand on découvre que cette société édite Charlie Hebdo et que, quelques mois plus tard, Microsoft attribuera l’attaque à l’Iran en réponse à un concours de caricatures organisé par le magazine. Aurait-il fallu que la communication conseille aux abonnés de déménager, pour éviter de rentrer chez eux la peur au ventre ? Pour sa part, Riss, le directeur de la rédaction de Charlie Hebdo, ne se montre pas inquiet, comme il l’a indiqué sur France Inter: «On a déjà subi des attaques informatiques qui viennent du Pakistan mais ça c'est un peu classique pour Charlie. On a régulièrement des attaques informatiques donc il fallait s'y attendre. Après si c'est pas plus que ça, c'est pas trop grave». Les personnes concernées apprécieront. Lors de l’Université AFCDP des DPO 2024, j’avais fait part de ma surprise auprès du représentant de l’ANSSI: compte-tenu des attentats qui ont frappé la rédaction du magazine, n’aurait-il pas été pertinent de veiller à la bonne sécurisation du site webde cette cible spécifique ?
Enfin, l’actualité nous oblige à pousser le raisonnement encore plus loin avec les récents enlèvements, séquestrations et mutilations de personnes en lien avec la détention de cryptoactifs52. En cas de violation de données permettant à des malfaiteurs de connaitre l’identité de personnes possédant ce type de biens, ne faudrait-il pas élargir la réflexion aux proches des personnes concernées, notamment en conseillant à ces derniers de ne pas se limiter à prendre des précautions pour leur propre protection mais à avertir également leur entourage(alors que ces derniers ne figurent pas dans le traitement de données violé) ? Ainsi, à la suite de l’inquiétude exprimée par certains de ses clients d’être victime de home jacking, la société Ledger a diffusé un nouveau message en décembre 2020 : « … nous avons été consternés d'apprendre que certains d'entre vous font l'objet de menaces physiques. En être victime peut être terrible et stressant. Mais sachez que les escrocs s'efforcent de faire le moins d'efforts possible pour voler de l'argent. Les attaques de phishing leur permettent de cibler facilement un grand nombre de clients sans les risques associés à un contact directe ... Si vous stockez de grandes quantités de crypto-monnaie sur votre appareil, nous vous conseillons de le conserver en dehors de votre domicile, dans un endroit sûr et difficilement accessible. Tout comme vous ne conserveriez pas des millions en espèces chez vous. Nous vous conseillons vivement de ne jamais payer de rançon. Si vous craignez pour votre sécurité physique et pensez être en danger, n'hésitez pas à contacter immédiatement les autorités locales. Pour éviter de subir l'horreur d'un home jacking, ou si vous n'arrivez tout simplement pas à trouver un endroit suffisamment sûr pour votre sauvegarde, vous pouvez avoir la possibilité de la répartir en plusieurs endroits. » et le PDG a également abordé ce point lors de son interview du 21 décembre 2020 : « En ce qui concerne les menaces et les attaques physiques, je pense que c'est une préoccupation légitime de la part des utilisateurs et je comprends pourquoi nos clients, se sentent concernés par cette question ».
Et, de fait, les agressions visant des détenteurs de crypoactifs se sont multipliées dernièrement53. Le site Known Physical Bitcoin Attacks tente de les recenser. On y relève que cinq enlèvements ont eu lieu en France depuis 2023. Le premier cas remonte à 2017, quand quatre jeunes ont été séquestrés dans un appartement de Toulouse par deux hommes qui voulaient les forcer à leur transférer l’équivalent de 20.000 dollars en monnaie virtuelle54. Mais en 2021, le corps supplicié d’un étudiant de 19 ans a été repéché dans un étang de Haute-Saône. Quatre personnes ont été arrêtées: ils sont soupçonnés d’avoir tué pour 200.000 € de cryptomonnaie55. Sur un ton plus léger, le site signale un cas étrange: en mars 2020, en Ecosse, un homme s’en est pris à une femme qui détenait plus d’un million d’Euros en Bitcoin. Son arme ? Une barre géante de chocolat56 !
Après avoir pris une plus juste mesure des risques encourus par les personnes concernées, que pouvons-nous faire afin qu’elles prennent au sérieux la communication et appliquent les conseils qui leur sont prodigués?
Que faire pour que les personnes se sentent réellement concernées ?
J’ai pris l’habitude d’essayer d’apprécier chaque communication de violation de données portée à ma connaissance. Dans la plupart des cas, je ne suis pas certain que leurs destinataires aient réellement pris conscience des risques qui pèsent sur eux (Plusieurs études nord-américaines montrent que seule une minorité applique les conseils qui leur sont donnés – Je n’ai pas connaissance d’étude rigoureuse menée en Europe sur ce même sujet). J’ai donc recherché s’il existe des approches qui permettraient de renforcer l’efficacité de la démarche. J’en ai identifié deux, mais que je n’ai pas eu l’occasion d’expérimenter (Que les confrères DPO qui s’y tenteraient n’hésitent pas à partager leur expérience).
La première consiste à insérer dans le message un visage humain, selon une étude britannique menée en 200657. Au sein d’une université était disposé une boîte à monnaie à côté d’une cafetière, avec un message invitant à participer financièrement. Il a été constaté que les contributions étaient triplées lorsque des yeux figuraient à côté du message (là où d’autres approches, comme le fait de rédiger un message plus comminatoire, voire menaçant, n’apportait qu’un gain minime). On peut donc imaginer qu’une communication de violation comportant le visage du représentant du responsable de traitement aurait plus de chance d’être suivi d’effet (Là encore, pensez à tester votre projet d’email si vous décidez d’y intégrer une image et prenez soin d’insérer un texte alternatif). Depuis que j’ai découvert cette étude, je remarque son utilisation fréquente dans d’autres contextes, comme en témoigne l’illustration ci-jointe58.
L’autre approche consisterait à utiliser la technique du « mais vous êtes libre de… ». Selon une étude française menée en 200259, on pourrait amener des personnes à faire ce qu’elles n’auraient pas fait d’elles-mêmes en appelant explicitement au sentiment de liberté. Les chercheurs ont testé deux requêtes. La première se limitait à « Excusez-moi, auriez-vous un peu de monnaie pour prendre le bus ? ». La seconde est enrichie: « Mais vous êtes libre d'accepter ou de refuser. ». Cette dernière approche a permis aux chercheurs de multiplier par quatre leurs chances de se voir offrir de l’argent par un inconnu. Verrons-nous bientôt l’une de ces deux techniques de nudge60 au sein de communication de violation de données, voire dans des bannières cookiespour augmenter le nombre de consentements recueillis (en remplaçant «Cliquez ici pour accepter nos cookies» par «Vous êtes libre de cliquer ici pour accepter nos cookies») ?
Poursuivons notre parcours semé d’embûches. L’idéal serait à ce stade de pouvoir constater que les personnes concernées ont bel et bien suivi les conseils qui leur ont été prodigués – au moins certains d’entre eux. Si, parmi les conseils formulés figurait la modification du mot de passe utilisateur, pourquoi ne pas surveiller cela? Encore faut-il que l’application le permette (Encore une suggestion à émettre dans le cadre du Privacy by Design). Il faudrait également pouvoir identifier, parmi les personnes concernées, celles qui n’auraient pas encore procédé à la rotation de leur mot de passe pour être en mesure de leur envoyer un message de relance. Une autre approche consiste à bloquer l'accès aux comptes sélectionnés afin d'obliger les utilisateurs à modifier leur mot de passe à leur première connexion (si le pirate n’a pas déjà réalisé lui-même cette opération afin de prendre le contrôle de l’espace numérique…). J’ai malheureusement constaté que rares sont les développements qui permettent une telle action sur une sélection de comptes (et non pas sur la totalité d’entre eux). Le message insistera lourdement sur la nécessité de créer un mot de passe unique à chaque service: «Nous vous recommandons vivement de modifier vos mots de passe sur tous les services où vous utilisez un secret similaire (emails, comptes bancaires, réseaux sociaux) et d’en créer un unique à chaque fois».
Quand les personnes concernées s’impliquent
Informées, les personnes concernées peuvent réagir et s’impliquer. Ainsi, à la suite des violations de données qui ont concerné Almerys et Viamedis, les clients de Malakoff Humanis ont été invités à signaler les tentatives de phishing dont ils auraient été la cible. L’idée était de chercher à les impliquer, à les rendre actifs plutôt que de les cantonner au rôle de victimes passives. Mais comment faire le tri parmi les nombreuses tentatives d’escroquerie pour isoler celles qui seraient directement le fruit de ces violations en particulier?
On rappellera par ailleurs que l’article 34 du RGPD oblige, dans le message, à « communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues». Il convient donc de s’y préparer, de déterminer qui recevra ces sollicitations (Quelles coordonnées communiquer ? Celles du DPO ? D’un médiateur ? Du service clients?) et de sélectionner un canal (le téléphone ? la messagerie électronique ?). Mais la difficulté principale n’est pas là. Elle consiste à prévoir ce qui pourra être dit… et ce qui, au contraire, ne pourra pas être diffusé ou formulé, au risque de frustrer les personnes. Si l’essentiel a déjà été partagé dans la communication, que dire de plus aux personnes concernées, à part leur réitérer les conseils afin qu’elles les suivent? Je me souviens d’un échange téléphonique de ce type, avec une personne concernée qui exigeait notamment de savoir si un salarié avait été licencié à la suite de la violation de données (et connaître son nom) et d’être immédiatement informée des suites données à la plainte déposée. Un confrère m’indiquait également avoir été confronté à un client très mécontent qui ne comprenait pas que le DPO ne soit pas en mesure de lui faire bénéficier d’une forte remise sur sa facture. Une autre collègue a constaté lors de tels échanges que plusieurs personnes accordaient bien plus de crédit à la «communication parallèle» (parasite, voire complotiste) qu'à celle émise par son organisme. Enfin, en tant que DPO, il faut se préparer à recevoir une vague de demandes de droits RGPD – en priorité des demandes d’accès et de suppression – et de les gérer avec soin car elles sont probablement le fait de personnes qui seraient susceptibles de se plaindre à l’autorité de contrôle.
Se pose également à ce stade une question délicate: pendant combien de temps conserver disponible l’informationpour les personnes concernées ? Ainsi je remarque que le site web de la société South Staffordshire Water (qui a subi une violation de données en août 2022) comporte toujours l'intégralité des informations, conseils et F.A.Q. publiées à l'origine, soit trois ans après l’incident. Encore un nouveau sujet de réflexion à mener sous l’égide du DPO.
De l’importance de mener un Retex
Nous voici arrivés à la fin de notre course d’obstacles (J’ai profité de la rédaction du présent article pour enrichir la base documentaire qui accompagne ma journée de formation «Violations de données: pour ne pas subir» d’une check-list qui liste les précautions à prendre). Il nous reste maintenant à jeter un regard sur l’ensemble de ce parcours. Tout DPO connait l’importance de mener un retour sur expérience à la suite d’une violation de données, principalement pour ressortir l’analyse d’impact relative au traitement dont la faiblesse a été démontrée (L’événement redouté qui s’est matérialisé avait-il été identifié? Sa qualification vraisemblance/gravité était-elle la bonne? Pourquoi la mesure qui était sensée traiter ce risque n’a-t-elle pas été efficace?) et pour veiller à ce que soient prises les mesures nécessaires pour éviter une réédition de l’incident. En sus, il est utile de mener une réflexion sur la façon dont la violation de données a été gérée d’un point de vue «RGPD»: la procédure prévue a-t-elle été respectée? La CNIL a-t-elle été notifiée en moins de 72 heures? Les personnes concernées ont-elles reçu la communication qui leur a été adressée? Ont-elles compris et appliqué les conseils qui leur ont été dispensés afin qu’ils puissent se protéger? Que pouvons-nous améliorer concernant l’aide aux victimes lors d’un prochain incident similaire?
Après une violation de données, faut-il craindre une perte de clients ?
En tant que DPO, nous sommes trop souvent perçus comme un élément d’inconfort (pour ne pas dire plus): il nous est donc indispensable d’externaliser notre valeur ajoutée chaque fois que cela est possible. Les violations de données qui donnent lieu à communication auprès des personnes concernées nous en offrent l’opportunité.
Après une violation de données, faut-il redouter la fuite de certains clients? Dans le secteur concurrentiel, c’est une question que doit probablement se poser tout responsable de traitement lorsqu’il prend la décision de communiquer une violation de données aux personnes concernées (sur les conseils éclairés de son DPO). Contrairement au secteur public où les victimes sont captives ou quasi-captives (collectivité, administration, établissement de soins, etc.) et pour lequel ce qui est à craindre est une dégradation de la qualité de la relation, les clients du secteur public ont toute latitude pour passer à la concurrence. Il existe malheureusement peu d’études qui se sont penchées sur le comportement des clients après une violation de données (une idée à suggérer au LINC?). Je retiens de l’une d’entre elles61 que les clients qui ont exprimé leur colère (défoulement) restent en majorité fidèles à l’entreprise tandis que les clients qui sont restés silencieux s’en désengageraient. Si cela se confirme, on voit la nécessité d'aborder différemment les clients craintifs après une violation de données afin d'éviter une diminution de leurs interactions avec l'entreprise qui irait jusqu’au divorce, plutôt que de se contenter d’essayer d’apaiser la colère des clients les plus virulents. Selon une autre étude62, plus récente, l’effort devrait plutôt se concentrer sur les personnes ayant plus de 45 ans (encore faut-il que le responsable de traitement dispose de cette information). Si l’on en croit les résultats, «Il existe une différence notable entre les générations. Les personnes âgées de 25 à 44 ans sont plus enclines à pardonner et à envisager de faire à nouveau confiance à l'entreprise. À l'inverse, les adultes âgés de 45 à 54 ans manquent massivement de confiance dans la capacité de l'entreprise à traiter à nouveau leurs données personnelles à la suite d'une violation.». Concrètement, et pour démontrer sa valeur ajoutée, un DPO devrait se rapprocher des services Marketing, Commercial et Informatique pour proposer que soient identifiés les clients dont l’activité chute après une violation et qui ont plus de 45 ans et de les contacter directement pour apaiser leurs craintes non exprimées.
L’auteur
Bruno Rasle se définit comme un « monomaniaque » de la conformité au RGPD et pratique cet art martial sous trois formes: à titre professionnel, il a été délégué à la protection des données mutualisé pour l’une des branches de la Sécurité sociale, désigné pour plus d’une centaine de responsables de traitement; à titre bénévole, il est l’un des tous premiers membres de l’AFCDP et a été son délégué général pendant une douzaine d’années; en tant qu’enseignant enfin, en tant que chargé de cours au sein de la formation la plus ancienne et du niveau le plus élevé en Europe (il forme les professionnels de la Privacy depuis 2007). Il a également pris une part active dans la création du métier de Correspondant Informatique et Libertés (puis de Délégué à la Protection des Données). Il est coauteur des ouvrages suivants: Halte au Spam (Eyrolles, 2003); Correspondant Informatique et Libertés: bien plus qu’un métier (AFCDP, 2015); Droit à l’oubli (Larcier, 2015); Se préparer au RGPD (Éditions législatives, 2017). Il a créé l’Université AFCDP des DPO (et a été son organisateur jusqu’en 2020), l’Index AFCDP du droit d’accès et le Job board des DPO (AFCDP). Bruno Rasle est le co-auteur du code de déontologie du DPO et de la version annotée, commentée et indexée du RGPD mise à disposition par l'association. Il a participé à la création de CEDPO (Confédération européenne des associations de professionnels de la protection de la vie privée) dont il a été Board Member.
Ses publications sont nombreuses («Il faut sauver le soldat DPO!», «La sécurité des données personnelles enfin prise au sérieux?», «Rapport CEPD sur le droit d’accès RGPD : Tout ça pour ça ?», «Demandes de droits RGPD : pas de formulaire apparaissant comme obligatoire», «RGPD: Ils ont inventé la mitrailleuse à demandes de droit d’accès», «Le registre RGPD n’est pas une fin en soi», «RGPD : Cette autorité de contrôle impose-t-elle des exigences irréalistes ?», «20 ans de l'AFCDP : souvenirs, souvenirs ...», «Faut-il être parano pour faire un bon PIA ?», « La purge des données – Un effort qui en vaut la peine », « Pour une désignation idéale du DPO», « Courteline rend le sourire aux DPO », « Collègues DPO: le bilan annuel est un outil précieux; faisons-en une bonne pratique», « PSSI: contrainte ou opportunité? »), de même que ses interventions en conférence («Cookie et Widget: peut-on vraiment surfer tranquille? », Université AFCDP 2011, « Synergie entre RSSI et CIL » , Cesin 2012; « Mise en conformité des Zones de Libre Commentaire », Université AFCDP 2013; « Privacy by Design: le rôle clé des développeurs », AtoutFox 2013; « CPO & CSO: Bridging the gap», IAPP Bruxelles 2013; « Les méthodes agiles sont-elles Privacy-compatibles? », Cloud Week Paris 2015 « La Blockchain est-elle soluble dans le RGPD?», AG AFCDP 2017; « Le RGPD, évolution ou révolution? », Journées JCAS 2017; « Que sommes-nous? Responsable de traitement? Responsable conjoint? Sous-traitant? », AG AFCDP 2019; « Comment auditer sa gestion des droits d’accès?», Université AFCDP 2021; « Créer et animer un réseau de RIL », Université AFCDP 2022; «Communication d’une violation de données aux victimes : aller plus loin que le RGPD ?», Université AFCDP 2025).
Outre son enseignement au sein du Mastère Spécialisé « Management et Protection des Données Personnelles » de l’ISEP, il propose des formations courtes pour le compte d’ANAXIA CONSEIL («L’informatique appliquée au RGPD», «Réaliser une Analyse d’Impact – De la théorie à la pratique», «Violations de données: pour ne pas subir», «Contrôle de la CNIL – S’y préparer, le gérer, y survivre», «Être un DPO efficace dès les premiers jours», «Pour une gestion efficace des droits RGPD»).
[1] Les co-animateurs en étaient Eric DOYEN, à l'époque RSSI du groupe Crédit Immobilier de France et Président du Club 27001, actuellement Directeur Sécurité du SI de Malakoff Humanis), Bernard FORAY, à l'époque DSSI et CIL Casino Information Technology et Pascale GELLY, Avocate (actuellement DPO groupe de Schneider Electric).
[2] Mais, dès 2011, dans la première version de son guide Sécurité, la CNIL recommandait aux responsables de données d'adresser une «notification aux personnes concernées en cas d'accès frauduleux aux données personnelles».
[3] Certains responsables de traitement font du zèle. En début d'année 2025, la société Showroom.privé a adressé à ses clients un email pour les informer qu'elle venait subir une attaque par credential stuffing (ou bourrage d’identifiants). Dans son message, la société indiquait qu'elle avait mis en œuvre une surveillance pour détecter ce type d'attaque, évoque en conséquence des «tentatives d'intrusion» et précise «qu'aucune de vos données personnelles n'a été compromise». Pourtant, ce responsable de traitement a préféré notifier cette tentative de violation à la CNIL et communiquer auprès des personnes, sans doute pour leur rappeler de ne pas utiliser le même mot de passe pour plusieurs services.
[4] Je n’aborde pas non plus les situations de responsabilité conjointe, dans lesquelles les acteurs concernés formalisent dans l’accord imposé par l’article 26.2 du RGPD les rôles de chacun (et précisent explicitement, en cas de violation de données, qui devra réaliser la communication auprès des personnes concernées).
[5] Dans le sondage qu'elle a lancé en décembre 2024, l’autorité de contrôle du Royaume-Uni (ICO) mentionnait le besoin pour «les responsables de traitement de montrer plus d'empathie pour les personnes impactées par une violation de données».
[6] «Ces dernières années ont en effet été marquées par de nombreuses cyberattaques impliquant une grande partie de la population. La CNIL a ainsi reçu 5 629 notifications de violation en 2024, soit 20 % de plus qu’en 2023. La CNIL a donc décidé de contrôler les mesures mises en œuvre par les collectivités territoriales afin de protéger les données des usagers. En parallèle de ces contrôles, la CNIL va continuer à renforcer son action en vue de sensibiliser et d’accompagner les collectivités territoriales en matière de cybersécurité.»
[7] Ce que confirme également ce passage, en page 50 du rapport de la CNIL pour l’année 2024: «… la CNIL a fait de la cybersécurité un des axes de son plan stratégique 2025-2028. En pratique, son action se traduit par …/… des contrôles sur la mise en œuvre de mesures de sécurité par les organismes».
[8] Ce qu’indique également très clairementles lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679 - WP250 : «L’objectif principal de la notification aux personnes concernées est de fournir des informations spécifiques concernant les mesures qu’elles devraient prendre pour se protéger». Cela figurait déjà dans le WP 213 (G29) adopté le 25 mars 2014: «Le responsable du traitement des données devrait garder à l’esprit que l’un des principaux avantages de la notification … consiste à fournir à ces dernières les informations nécessaires pour limiter les conséquences négatives découlant des circonstances de la violation.»
[9] Les rédacteurs ne sont pas du tout mis «dans la peau» de la personne concernée et ont fait abstraction de toute velléité d’empathie.
[10] Ce qui rejoint l’un des conseils qui figurent dans le WP250: «Le responsable du traitement devrait également, le cas échéant, fournir des conseils spécifiques aux personnes affectées concernant la façon de se protéger des éventuelles conséquences négatives de la violation, par exemple en réinitialisant leurs mots de passe si les informations de connexion ont été compromises.»
[11] Remarquons, parmi les informations qu'un responsable de traitement doit fournir à la CNPD (autorité luxembourgeoise) dans le cadre d'une notification de violation de données, figurent les «Recommandations données aux personnes pour se protéger» (ce que ne demande pas la CNIL).
[12] Voir, par exemple, l'interview qu'un Privacy Officer américain avait donnée en 2011, à la suite d'une violation majeure dont Sony avait été victime: «Leur réaction semble montrer qu’ils ne s’étaient pas préparés à la gestion des relations publiques et à l'aspect politique de l'incident» («Privacy: "You Can't Prepare Enough" - Nationwide's Privacy Officer on How to Manage a Breach»)
[13] Association française qui regroupe les Privacy Professionals (www.afcdp.net)
[14] La DPC a également justifié sa sanction par des notifications tardives auprès d'elle (plus d'un an pour certaines violations !) et l'absence de communication aux personnes concernées avec que le niveau de risque l'exigeait.
[15] Rapport d'information n° 299 (2018-2019) de MM. Olivier CADIC et Rachel MAZUIR, fait au nom de la commission des affaires étrangères, de la défense et des forces armées, déposé le 6 février 2019.
[16] On rapprochera cela d'une sanction qui a frappé un établissement de soins en Belgique en décembre 2024. Cible d'une attaque, il avait été dans l'incapacité de comprendre ce qui lui arrivait, le pirate ayant pris soins de chiffrer également les logs…
[17] Exigez de connaitre le taux d’échec relevé lors de la dernière utilisation de la base de contact (combien d’adresses en erreur).
[18] Il parait surprenant que bien des communications légitimes ne sont pas personnalisées alors que, désormais, la majorité des tentatives de phishing le sont (indication de la civilité, du prénom et du nom)!
[19] On peut notamment s’inspirer de la méthode FALC (Facile À Lire et à Comprendre).
[20] En évitant, par exemple, des formulations telles que «… nous avons constaté une consultation de vos données pouvant mener à une perte de confidentialité…».
[21] Ainsi, si dans la quasi-totalité des états nord-américains, l’entreprise victime d'une Data Breach se doit de décrire le fait générateur de l’exposition des données dans sa lettre de notification, l’état du Massachusetts l’interdit strictement. Pourquoi rendre ainsi service aux pirates en leur délivrant des informations dont ils peuvent faire leur miel ?
[22] Il est surprenant que très peu de messages attribuent la cause de l’incident à une mauvaise qualité logicielle, alors que cela est très fréquent.
[23] On notera que de nombreuses communications ne comprennent ni l’un ni l’autre.
[24] Source Frédéric Corbel - FCconsulting
[25] Signalons la communication diffusée en avril 2025 par Indigo (gestionnaire de parking), présenté comme émanant du «Délégué à la Protection des Données» (mais sans indication de nom) ... une pratique non recommandée. Cf. «Le spécialiste du parking Indigo victime d'une fuite de données personnelles» - L'Usine nouvelle, Yoann Bourgin, 22 avril 2025
[26] Piraté en mai 2024, Christie’s (Groupe Pinault) est attaqué en justice par ses clients qui estiment que la violation est « le résultat direct de l’incapacité de Christie’s à mettre en œuvre des procédures et des protocoles de cybersécurité adéquats pour protéger les informations personnelles des clients » (Christie's Ransomware Attack Sparks Customer Class, Cassandre Coyer, Bloomberg Law, June 4, 2024). En mars 2025, la société d'enchères à transigé pour un montant total de 990.000 $ (Christie's Data Breach $990,000 Class Action Settlement, Depot March 28, 2025)
[27] Dans les tous derniers jours de 2024, Atos avait été accusé de cacher une exfiltration de données dont il aurait été victime. Après quelques jours d'investigations, le groupe avait annoncé que les allégations du groupe de ransomware Space Bears étaient infondées : «Aucune infrastructure gérée par Atos n'a été violée, aucun code source n'a été consulté et aucune propriété intellectuelle ou donnée exclusive d'Atos n'a été exposée. Le 28 décembre 2024, le groupe de ransomware a affirmé avoir compromis une base de données d'Atos. Atos comprend que l'infrastructure d'un tiers externe, sans lien avec Atos, a été compromise par le groupe Space Bears. Cette infrastructure contenait des données mentionnant le nom de la société Atos, mais n'est ni gérée ni sécurisée par Atos». On connaît l'importance d'une traçabilité efficace en cas de violation de données personnelles (pour comprendre ce qui s'est passé, prendre les décisions appropriées, respecter le délai de 72 heures pour notifier l'Autorité de protection des données, déposer une plainte sur la base d'éléments probants, juger du niveau de risque éventuel pour les personnes concernées, etc.), mais cet exemple nous montre qu'un tel système est également indispensable pour déterminer l'absence de violation de données ...
[28] «Adecco piraté : des centaines d’intérimaires nordistes prélevés sur leur compte bancaire» - La Voix du Nord, 10 novembre 2022. Extrait : «Le groupe Adecco est victime d’un piratage de ses données. De nombreux intérimaires ont été ponctionnés d’une cinquantaine d’euros sur leur compte bancaire.»
[29] Voir, par exemple, dans l'article intitulé «Fuite de données chez Intersport : ce que les clients doivent savoir» et publié le 23 mars 2025 par Zataz, ce passage:«Ce qu’Intersport a oublié de préciser...»
[30] Dans ce cas précis, malgré le fait que la personne concernée a été informée de la violation par un tiers, le responsable de traitement a tenu à lui adresser la communication prévue par l’article 34 du RGPD, ce qui donne notamment l’occasion de présenter quelques excuses. Un courrier a également été adressé au «mauvais» destinataire, pour le remercier pour son initiative, mais également pour l’inviter à détruire toute éventuelle copie du courrier reçu par erreur.
[31] En France, depuis le 24 janvier 2023 et la loi n° 2023-22 d'orientation et de programmation du ministère de l'intérieur, un élément supplémentaire vient renforcer le besoin de traiter rapidement les violations de données qui font suite à une cyberattaque : l’organisme qui en est victime a l’obligation de déposer plainte dans les 72 heures de la connaissance de l'attaque pour être indemnisée par son assureur au titre des pertes et dommages subis. Passé ce délai, aucune indemnisation n’est possible. Le responsable de traitement devrait donc être en mesure de faire état de son dépôt de plainte lors de la notification de la violation de données auprès de la CNIL (la copie de la plainte doit figurer dans la « documentation » de la violation). Les DPO doivent donc veiller à la bonne articulation entre leur procédure de gestion des violations de données et celle des dépôts de plaintes.
[32] Avis (G29) 03/2014 sur la notification des violations de données à caractère personnel, adopté le 25 mars 2014
[33] On pense ici aux APT (Advanced Persistent Threat), dans lesquelles l’investigation montre que le cyberattaquant exfiltrait des données depuis des mois… La première attaque de ce type, l'opération Titan Rain, a été découverte en 2003. Elle aurait duré environ trois ans.
[34] Un salarié qui avait demandé à recevoir ses fiches de paie avait reçu un document comportant des informations salariales sur l'ensemble du personnel. Le salarié l'a signalé à l’émetteur et à l'autorité. On apprend dans la décision qu'Uniqlo n'a notifié la violation à l’AEPD que 20 jours plus tard et n'a informé les personnes concernées que 10 jours après (soit un mois après avoir pris connaissance de la violation).
[35] Les rares cas figurant dans les bases de sanctions font surtout référence à des retards constatés dans la notification de la violation à l’autorité de contrôle ou ne sont pas assez détaillées.
[36] Ayant interrogé la CNIL sur ce point, il s’avère que la Commission n’a pas encore été amenée à précisément définir la notion de « délai acceptable»: «En effet, si l’absence de communication a pu être sanctionnée, la Commission n’a jamais fixé de seuil objectif au-delà duquel elle considérerait la communication comme trop tardive.». Il m'a été précisé que deux cas avaient été identifiés : «un rapport de sanction relève qu’une communication aux personnes concernées est utile, même après l’écoulement de plusieurs mois, en particulier dans la mesure où des coordonnées bancaires sont impliquées, ce qui entraine l’existence d’un risque accru » ; à l’inverse, la mise en demeure, Société X., n° 2023-040 du 26 juin 2023, indique que « la société aurait dû, aumoment où elle en a eu connaissance, procéder à la communication de la violation auprès des personnes concernées ce qu’elle n’a pas fait. »
[37] Cf. l’article «Pourquoi des dizaines de milliers de clients d'Intermarché ont reçu un email alarmant pour rien», Le Parisien, 7 novembre 2024
[38] Ce que, dans son site Web, l'autorité luxembourgeoise CNPD traduit par «Le moyen de communication utilisé pour contacter les personnes concernées doit être effectif, c’est-à-dire qu’il faut s’assurer que les personnes concernées reçoivent avec une forte probabilité les informations communiquées».
[39] On remarque que, dans le formulaire de notification auprès de l'autorité belge (APD), il est demandé de préciser les «moyen(s) ou canal (canaux) de communication utilisé(s) pour informer individuellement ou collectivement les personnes concernées». Le téléservice de la CNIL n’exige pas cette précision.
[40] Voir «La Ville de Chaville victime d’une cyberattaque»
[41]Il Garante per la Protezione dei dati Personali, Provvedimento su data breach – 30 aprile 2019 [9116509]
[42] Voir « Our communications about the data breach and the phishing attempts »
[43] Voir, par exemple, la page intitulée «Efforts visant à protéger vos données et à poursuivre les escrocs»
[44] Dans son document «Tracking pixels and privacy obligations » l'autorité australienne semble accepter cette forme d'information : «Organisations should adopt a data minimisation approach and ensure that pixels are configured to limit the collection of personal information to the minimum amount necessary in the circumstances. Collecting personal information covertly without the knowledge of the individual is likely to be an unfair means of collection. Organisations must ensure their privacy policies and notifications contain clear and transparent information about the use of third-party tracking pixels ». À ce sujet, voir également (et à titre d'exemple) la mention qui figure dans le site Web de l'AFCDP concernant l'inscription à sa lettre d'information : «Si vous recevez cette lettre électronique au format html, soyez informé qu’elle dispose d’indicateurs permettant de s’assurer de sa bonne réception afin de mettre à jour la liste des destinataires, et de mesurer l’intérêt global pour les sujets abordés. Merci de vous reporter à la configuration de notre navigateur pour apporter les modifications ad hoc si vous ne souhaitez pas que ces informations nous parviennent».
[45] Cf. le point 46 de la délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs»): «Pour rappel, l’exigence de consentement ne s’applique pas aux opérations qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique».
[46] Dans sa stratégie Online tracking pour 2025, l'ICO évoque également qu'elle compte clarifier (et éventuellement alléger) certaines règles, dont celles encadrant l'utilisation des tracking pixels (Cf.«Are tracking pixels covered by the electronic mail marketing rules? » et « ICO announces its online tracking strategy for 2025 »).
[47] Ainsi, la CNIL qualifie cette technique de «pixel espion» et donne des conseils pour «s’en protéger».
[48] Le projet serait présenté en plénière le 27 mai 2025 et serait ensuite proposé en consultation publique sur le site de la CNIL pendant quelques semaines.
[49] Deux journalistes de 01Net ont réussi à régler un achat sur Amazon et à souscrire un abonnement téléphonique, avec l'IBAN pour seul document via un prélèvement SEPA. La seule mesure efficace (l’inscription en liste blanche des prélèvements légitimes) a été signalée au sein de l’AFCDP par son Délégué général, Patrick Blum(disposition elle-même peu connue des correspondants clientèle au sein des banques!).
[50] Cf. « Gottheimer Calls For FBI Investigation into 23andMe Data Breach » - Jan 11, 2024
[51] Voir «Mon analyse de la cyberattaque qui a touché Voyageurs du Monde», 8 juin 2023
[52] Voir, par exemple, «Crypto : un nouvel enlèvement après l'affaire David Balland, le père d'un entrepreneur séquestré deux jours» (Capital.fr 4 mai 2025) ou, le 13 mai 2025, la tentative d'enlèvement de deux proches d'un chef d'entreprise en cryptomonnaie en pleine rue de Paris.
[53] Cf. «On sait où vous trouver et combien vous possédez : pourquoi les kidnappings crypto se multiplient» - RTL, par Benjamin Hue, le 6 mai 2025
[54] Cf. «Toulouse : Quatre jeunes séquestrés et forcés à transférer des bitcoins» - 20 Minutes, 3 décembre 2017
[55] Cf. «Assassinat à Plancher-Bas (Haute-Saône) : l’étudiant tué pour 200 000 € de cryptomonnaie» - L'Est républicain, par Willy GRAFF, 22 octobre 2021
[56] Cf. « Man was 'brains' behind £1.2m Bitcoin theft which saw woman hit with Toblerone » - STV News
[57] «Cues of being watched enhance cooperation in a real-world setting », Melissa Bateson, Daniel Nettle, Gilbert Roberts
[58] On peut aussi penser à la fameuse affiche «I want you for US Army» de la première guerre mondiale, où l’on voit l’Oncle Sam pointer son doigt vers le passant.
[59] Pascual, A., & Guéguen, N. (2002). «La technique du "vous êtes libre de...": Induction d'un sentiment de liberté et soumission à une requête ou le paradoxe d'une liberté manipulatrice». On retrouve la description de cette approche, qui fait appel au principe d’engagement, dans l’ouvrage «Petit traité de manipulation à l’usage des honnêtes gens» - R-V. Joule et J-L. Beauvois, Presses universitaires de Grenoble – 2015
[60] «La théorie du nudge (ou théorie du paternalisme libéral) est un concept des sciences du comportement, de la théorie politique et d'économie issu des pratiques de design industriel qui fait valoir que des suggestions indirectes peuvent, sans forcer, influencer les motivations et inciter à la prise de décision des groupes et des individus, de manière au moins aussi efficace que l'instruction directe, la législation ou l'exécution. De telles suggestions se trouvent dans les pratiques courantes de marketing visant à influencer un comportement d'achat jusqu'à mener à l'acte d'achat (susciter, suggérer, proposer, imposer).» - Wikipedia
[61] «Better Angry Than Afraid: The Case of Post Data Breach Emotions on Customer Engagement », John N. Angelis; Rajendran S. Murthy; Tanya Beaulieu; Joseph C. Miller, 26 July 2022
[62] «Here’s How Recent Cybersecurity Lapses Are Impacting Consumer Trust and Behavior » - May 13, 2024
Formation animée par B. Rasle en relation avec cet article :
