L'abonnement à l'Informé est à usage individuel
Un autre appareil utilise actuellement votre compte
Continuer la lectureCryptomonnaies : le secret de la sanction de la CNIL au cœur du procès de Ledger
Offre professionnellePoursuivie par plusieurs dizaines de clients victimes de fuites de données en 2020, la société ne veut pas que leur soit transmis le document.
Une sanction non publique prononcée par le gendarme des données personnelles est-elle communicable aux victimes d’une fuite de données qui la réclament ? C’est tout l’enjeu d’une procédure en cours au tribunal judiciaire de Paris. Tout a démarré le 10 octobre 2024. Ce jour-là, la Commission nationale de l’informatique et des libertés (CNIL) avait infligé une amende de 750 000 euros à l’encontre de Ledger, la célèbre société cofondée par Éric Larchevêque spécialisée dans la sécurité des cryptomonnaies grâce à son portefeuille physique ayant l’apparence d’une clef USB.
Cette délibération sanctionnait une fuite massive de données au printemps 2020, consécutive à une double cyberattaque visant la licorne française. La première avait concerné Shopify, l’un de ses sous-traitants, victime du vol d’un fichier concernant les transactions de 200 sites marchands (dont Ledger). La seconde avait frappé directement sa base de données e-commerce et marketing. Dans un premier communiqué de juillet 2020, la société évoquait la fuite de 9 500 données clients. Des données comprenant le nom, le prénom, l’adresse postale, le numéro de téléphone ou encore la liste des produits commandés (mais pas les codes secrets des cartes bancaires). La publication de la base complète fin 2020 sur un forum spécialisé avait conduit Ledger à réévaluer ce volume dès janvier 2021 à un total de 272 000 fichiers clients, sans compter plus d’un million d’adresses email.
Saisie par plusieurs plaignants, la Cnil a finalement constaté des manquements au principe de sécurité et à la « politique de conservation des données ». Pour ces manquements, Ledger a donc écopé d’une d’amende de 750 000 euros dans le cadre d’une sanction non publique.
Là où le dossier se complique, c’est que cette sanction est venue s’intercaler dans la procédure engagée par les victimes de fuites contre Ledger. Après les deux grosses brèches ayant entraîné la divulgation des données, plusieurs clients ont en effet subi des campagnes d’hameçonnage (phishing, en anglais), parfois très sophistiquées, conduisant parfois à la perte de leurs cryptomonnaies. A partir de juin 2021, des dizaines d’entre eux ont décidé d’assigner la société devant le tribunal judiciaire de Paris pour obtenir réparation. Les montants en jeu pourraient avoisiner les 10 millions d’euros, selon les estimations fournies par plusieurs sources. Après une audience majeure le 1er octobre 2024, le tribunal devait rendre son jugement le 4 mars 2025.
Oui mais voilà, la décision de la Cnil, intervenue dans l’intervalle, c’est-à-dire le 10 octobre 2024, a relancé la machine judiciaire. En mars dernier les victimes ont obtenu la réouverture des débats pour que leur soit transmise l’intégralité de ce document, dont seul un résumé de quelques lignes était jusqu’à présent connu. Lors d’une nouvelle audience organisée ce mardi 16 septembre devant la même juridiction, les avocats des plaignants ont souligné l’intérêt d’une telle information : matérialiser, sans l’ombre d’un doute, l’existence de plusieurs fautes de la part de Ledger. « La communication de cette décision pourrait permettre à la juridiction d’asseoir son argumentaire sur des points de droit que le juge judiciaire n’a quasiment jamais traité à ma connaissance », témoigne Me Romain Chilly, avocat d’une vingtaine de parties. Pour autant, celui-ci considère que ce document ne va « pas chambouler ce contentieux dès lors que nous savons désormais qu’une sanction a été prise et les fondements sur lesquelles celle-ci repose ».
Un autre avocat de victimes, Me Guillaume de Fréminville, embraye : « L’amende de la Cnil nous semble faible car, de ce que l’on a entendu lors des premières plaidoiries, Ledger aurait négocié avec la Cnil en reconnaissant sa faute ». Tous ont plaidé la nécessité d’un débat contradictoire pour disposer de cette décision, considérée comme indispensable à la manifestation de la vérité. Et, selon Me Arnaud Delomel, « vu toute l’énergie que Ledger met pour ne pas avoir à communiquer la décision de la Cnil, j’ai encore plus envie de l’avoir ! ».
Sur son banc, Ledger s’oppose par tous les moyens à cette procédure incidente. « Nous ne souhaitons pas et n’avons pas à communiquer cette pièce », a martelé Me Georgie Courtois, son avocat. Celui-ci invoque le caractère non public de la sanction de la Cnil ainsi que le Code des relations entre le public et l’administration (CRPA). Ce dernier interdit en effet à des tiers d’obtenir copie d’un document administratif « faisant apparaître le comportement d’une personne, dès lors que la divulgation de ce comportement pourrait lui porter préjudice ». De tels verrous devraient être respectés scrupuleusement par tous, même par les tribunaux. « On essaye devant le magistrat judiciaire de contourner des règles impératives ou administratives pour obtenir cette décision », précise Me Georgie Courtois. Selon le juriste, les autres parties se sont finalement trompées de chemin, et auraient dû contester le caractère secret de la sanction de la Cnil devant son juge naturel, le Conseil d’État. Contactée, Ledger n’a pas répondu à nos questions au moment de la publication de cet article. La décision n’est pas attendue avant plusieurs mois.
Une faute, un dommage et un lien de causalité
Juridiquement, les avocats des victimes ont plaidé une série de fautes de la part de Ledger (violation des principes de sécurité, de minimisation et de limitation de durée de conservation des données), l’existence de dommages (le vol de cryptomonnaie, la perte de contrôle et l’anxiété, une atteinte aux données et à la vie privée) et un lien de causalité entre ces deux éléments. Certains juristes se sont appuyés sur la responsabilité contractuelle de l’entreprise, d’autres ont préféré retenir sa responsabilité sur le terrain du règlement général sur la protection des données (RGPD). Ce texte « organise un régime autonome et peut donc servir de fondement à une condamnation indemnitaire, avec une voilure bien plus vaste que le socle contractuel », considère Me Guillaume de Fréminville, avocat d’une des parties. En clair, le règlement européen offrirait plus de latitude pour la réparation des victimes. « Sur le terrain de l’analyse de causalité, le RGPD est plus exigeant car il pose une sorte de responsabilité de plein droit du responsable de traitement, précise l’avocat. Ce dernier doit en effet démontrer que le “dommage ne lui est nullement imputable”. C’est par la faute de Ledger que les clients ont perdu des fonds ». Les clefs cryptographiques Ledger sont protégées par un support physique, lui-même cadenassé par un code de 4 à 8 chiffres ou, en cas de perte de ce matériel, par une phrase de 24 mots. Durant l’audience de fond du 1er octobre 2024, indiquait Dalloz Actualité, Ledger a rappelé que des clients avaient fait « preuve de négligence et de naïveté en communiquant leur phrase de sauvegarde ».
Cet article est réservé aux abonnés bénéficiant de l'Offre Pro
Vous n’êtes pas abonné(e) à l’Informé ou êtes abonné(e) à l’offre particuliers ? Découvrez nos offres professionnelles dédiées aux entreprises, collectivités ou tout autre type d'organisations.
Je m'abonnePourquoi l’Informé lance une “Offre Pro” ?
Depuis notre création en octobre 2022, de nombreux abonné(e)s nous ont demandé d’aller encore plus loin sur leur univers professionnel, de leur apporter des informations encore plus pointues sur leur marché. C’est pour répondre à ce besoin que l’Informé enrichit son offre avec des “articles pro”. La vie de votre secteur n’aura plus le moindre secret pour vous.