Quantcast

Europol très critique envers la loi sur la protection des données personnelles

27 sept. 2018, PAR Acteurs Publics
  • 02
    MIN
  • 0

© Sébastien Salom-Gomis/SIPA

Dans son cinquième rapport sur l’évaluation de la menace que représente la criminalité organisée sur Internet, l’agence européenne de police criminelle indique que la loi RGPD risque d’entraîner une hausse de la cyberextorsion. Plus grave, elle accuse le nouveau règlement d’entraver le travail des polices européennes.


Lorsque les entreprises sont victimes du piratage informatique des données personnelles de leurs utilisateurs, elles doivent, selon le nouveau Règlement général sur la protection des données (RGPD) appliqué depuis mai dernier, en informer les autorités compétentes dans un délai de 72 heures.

Mais il semblerait que les sociétés piratées préfèrent payer une rançon moins importante à un pirate informatique que de faire face aux lourdes amendes qui pourraient leur être infligées et qui peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires. Autrement dit, choisir de payer des cybercriminels qui promettent de dissimuler le piratage dont elles ont été victimes plutôt que de le déclarer, comme c’est la loi : c’est l’une des conclusions du cinquième rapport de l’agence européenne de police criminelle Europol sur la cybercriminalité.

Enquête auprès de partenaires privés

“Mais elles ne font que financer d’autres attaques et d’autres activités criminelles”, avertit Europol, qui ajoute que l’organisation menacée “n’a aucune garantie que le pirate ne divulguera pas ou n’exploitera pas l’information”.

Selon le site Euractiv, l’agence est parvenue à ces conclusions grâce aux réponses à une enquête qu’Europol avait envoyée à des partenaires privés. Mais cette enquête et les noms des partenaires privés n’ont pas été rendus public et Europol n’a pas consulté la Commission européenne avant de rédiger son rapport.

Autre conclusion, les rançongiciels et les logiciels malveillants constituent l’une des plus grandes menaces. Europol note que le cryptojacking est une tendance émergente en matière de cybercriminalité, qui profiterait d’une forte exploitation de la bande passante des internautes et de la puissance de traitement nécessaire pour exploiter les cryptomonnaies.

Données effacées

L’agence indique, par ailleurs, que “les intrusions dans les réseaux sont généralement motivées par la nécessité d’acquérir illégalement des données à diverses fins, notamment la fraude et le phishing (hameçonnage)”.

Au-delà de ce constat, Europol souligne les implications techniques que le RGPD a eues sur le contrôle de la cybersécurité en Europe. L’agence cite en exemple la base de données en ligne associée aux noms de domaine enregistrés, appelée WHOIS. Europol indique qu’après l’entrée en vigueur du RGPD, le conseil d’administration de l’Icann, qui gère internationalement les noms de domaines, a exigé que les données personnelles soient effacées des bases de données WHOIS accessibles au public. Rapport de cause à conséquence ? Dans son rapport, Europol affirme que cette suppression des fichiers de données lisibles par tous “entrave considérablement la capacité du monde entier d’identifier et d’enquêter sur la criminalité en ligne”. La Commission européenne n’a, pour l’instant, pas réagi à cette affirmation.

Jean-Bernard Gallois