Des
associations dénoncent le semblant de concertation autour du futur
revenu universel d'activité, qui risque, selon elles, de dégrader les
droits des personnes handicapées.
Tribune. Depuis plus de six mois,
nos associations participent à la concertation institutionnelle sur le
revenu universel d’activité (RUA), qui a vocation à réformer le système
des minima sociaux en France, jugé trop complexe, et à intégrer, en son
sein, une dizaine de minima sociaux, dont l’allocation aux adultes
handicapés (AAH).
Depuis plus de six mois, nous rappelons sans cesse, arguments à
l’appui, que l’intégration de l’AAH dans le RUA va à l’encontre des
droits des personnes en situation de handicap, et que nous refusons de
voir bafouer ces droits fondamentaux. Mais dans les faits, les logiques
comptables et de rationalisation des politiques publiques, qui
prédominent dans notre pays, sont en train d’ériger une société où les
spécificités du handicap sont peu prises en compte, voire ignorées,
renforçant alors la mise à l’écart des personnes.
Depuis plus de six mois, nous expliquons que, comparée aux autres
minima sociaux, l’AAH a une vocation spécifique : ce sont les
conséquences des déficiences et incapacités de la personne qui fondent
l’accès à cette allocation et pas sa situation de vulnérabilité sociale.
Depuis plus de six mois, nous entendons beaucoup parler de
simplification, d’harmonisation, d’universalité, de solidarité, d’équité
dans le cadre de la concertation autour de la réforme.
«Pauvres», «jeunes», «handicapés», «vieux», la réforme a vocation à
s’adresser à ces millions de personnes. Pourtant, leurs parcours de vie
sont différents et spécifiques. Mais elles sont trop souvent comparées
dans une perspective de nivellement et d’opposition des catégories de
bénéficiaires de minima sociaux pour faire le jeu de statistiques
parfois orientées. Parmi elles, nous avons d’ailleurs entendu dire qu’il
y aurait inévitablement des «perdants» suite à la réforme, nos
interlocuteurs se gardent bien de les identifier.
Depuis plus de six mois, cette concertation n’est qu’un simple outil
de la communication gouvernementale ayant pour seul objectif de nous
«vendre» cette réforme.
Nos associations en ont assez. Assez de se faire enfermer dans des
salles pour entendre des approximations et des propos politiques
contradictoires. Assez de prendre la parole sans être écoutées. Assez de
participer à une soi-disant concertation alors même que nos ministres
semblent avoir déjà pris leurs arbitrages et s’engagent d’ores-et-déjà
ouvertement vers des décisions qui ne respectent pas la majorité des
voix exprimées. Rappelons que dans le cadre de la consultation
citoyenne, 61% des votes sont défavorables à l’intégration de l’AAH dans
le RUA. Les citoyens sont-ils écoutés ou bien juste embarqués dans un
semblant de démocratie participative ?
Plus que jamais à l’écoute des personnes que nous défendons, nos
associations refusent une réforme qui viendrait dégrader les droits des
personnes handicapées en imposant une logique de gagnant/perdant.
Nos valeurs, nos expertises, les milliers de personnes que nous
défendons, nous poussent à maintenir une position qui ne trouve aucun
écho dans le cadre de cette concertation. Nous sommes opposés à
l’intégration de l’allocation aux adultes handicapés dans le revenu
universel d’activité.
Nous refusons d’être les témoins silencieux de la mort d’un droit acquis de longue date.
Signataires :Jean-Louis Garcia président de la Fédération Association pour adultes et jeunes handicapés (APAJH), Alain Rochon président d’APF France handicap, Marie-Jeanne Richard présidente de l’Unafam, Luc Gateau président de l’Unapei.
Le 25 mai 2018, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
(ci-après "RGPD") est entré en vigueur. Le RGPD assure une protection
des données à caractère personnel (autre terme utilisé : données
personnelles) des personnes physiques. Il abroge la directive européenne
95/46/CE sur la protection des données à caractère personnel, qui était
en vigueur jusqu'au 24 mai 2018.
Une donnée personnelle se définit comme toute information qui se
rapporte directement ou indirectement à une personne physique (article 4
du RGPD).
Nom, prénom, date de naissance, numéro de téléphone, adresse mail, adresse postale, adresse IP ...
On parle de traitement de données personnelles lorsqu'une donnée
personnelle est manipulée informatiquement ou manuellement par le biais
d’opérations telles que la collecte, l’enregistrement, la conservation,
la modification, la consultation, la diffusion ou l’effacement (article 4
du RGPD).
Le RGPD a donc un champ d'application très large, car il s'applique
dès lors qu'une donnée personnelle, comprise dans un fichier papier ou
sur ordinateur, est manipulée.
1 - Je suis une association. Suis-je concernée ? Dois-je appliquer le RGPD ?
OUI
Le RGPD s’applique à tout organisme, quel que soit son statut (privé,
public), sa taille, sa forme juridique, ses activités, etc., du moment
qu’il traite de données personnelles de personnes résidant dans l'Union
européenne.
Une association traite des données personnelles de ses membres, ses
salariés, ses bénévoles et ses adhérents (ex. nom, prénom, adresse
mail…). Le RGPD s’applique, de ce fait, aux associations.
Le RGPD s’applique :
au responsable du traitement, c’est-à-dire
l’association, en tant que personne morale. Car elle détermine les
moyens et les finalités du traitement de données personnelles, ET
au sous-traitant, c’est-à-dire l’entreprise ou
l’organisme qui va aider l’association dans le traitement des données
personnelles (hébergeurs, intégrateurs de logiciels, agences de
communication, etc.).
L'association peut également être un sous-traitant si elle sous-traite
une activité comportant des données personnelles pour une autre
entreprise ou organisme.
2 - Le RGPD s’applique-t-il aussi aux fichiers papier ?
OUI
Le RGPD s’applique aux données personnelles contenues :
dans des fichiers informatiques (ex. liste des membres, dossiers de litige...),
dans des fichiers papier (ex. dossiers classés par ordre alphabétique, ...)
Du moment qu’une donnée personnelle est contenue dans un fichier
(annuaire, base de données, sur ordinateur ou sur papier, etc.), le
RGPD s’applique.
Une donnée personnelle est toute information qui se rapporte
directement ou indirectement à une personne physique (article 4 du
RGPD). C’est une définition large regroupant une grande quantité de
données.
Nom, prénom, date de naissance, numéro de téléphone personnel ou
professionnel, adresse mail personnelle ou professionnelle, adresse
postale personnelle ou professionnelle, cookies, adresse IP, identifiant
numérique, numéro de carte de paiement, numéro de sécurité sociale,
plaque d’immatriculation…
Le RGPD s’applique aux traitements de données personnelles concernant des personnes résidant dans l'Union européenne. En
pratique, le RGPD s’applique à chaque fois qu’un résident européen,
quelle que soit sa nationalité, est directement visé par un traitement
de données, y compris par Internet ou par le biais d’objets connectés
(ex. enceintes connectées, etc.).
Veillez à respecter le principe de minimisation des données.
Limitez au maximum la collecte des données personnelles et assurez-vous
de ne collecter que les données personnelles strictement nécessaires à
l'exercice de votre activité. Ex. il n'est pas nécessaire de demander la
date de naissance dans un bulletin de dons.
3 - Combien de temps dois-je conserver les données personnelles ?
Les données personnelles doivent être conservées pendant une durée
n’excédant pas celle nécessaire au regard des finalités (c'est-à-dire
les objectifs poursuivis) pour lesquelles elles sont traitées. Ex.
traiter un dossier de contentieux, envoyer une lettre d'information,
etc.
Pour chaque traitement de données personnelles, la question de la
durée de conservation doit être envisagée. A noter que le RGPD ne donne
pas une liste des traitements avec les durées de conservation.
Ces options peuvent être envisagées :
Suivre les recommandations de la CNIL : la CNIL avait établi des recommandations sur les durées de conservation
(anciennes normes qui sont en train d’être mises à jour pour s’adapter
au RGPD). Il est possible de se référer à ces recommandations, en
attendant qu'elles soient mises à jour.
Fixation en interne d’une règle de durée de conservation. L'association doit se poser deux questions : 1
- Combien de temps dois-je conserver un document lors du traitement de
données personnelles ? Exemple : dans le cadre de la relation
contractuelle liée à l'adhésion de la personne. Le document sera en base active. 2
- Je ne traite plus les données personnelles (ex. départ d’un adhérent,
fin d’abonnement). Toutefois, j’ai besoin des documents à titre de
preuves en cas de contentieux, pour respecter des durées de
prescriptions légales (ex. durée de prescription de 5 ans en droit
commun des contrats, 10 ans en matière comptable)… Le document sera en archive intermédiaire. C’est-à-dire qu’il sera dans un dossier verrouillé avec un accès restreint. Et ne pourra pas être utilisé pour d’autres fins.
Les données qui ne sont plus nécessaires à l'exercice de l'activité doivent être supprimées. Elles peuvent être conservées si les données sont anonymisées.
Penser à effectuer une purge régulière des données personnelles qui ne sont plus nécessaires à l'exercice de l'activité.
4 - Je traite des données sensibles (certificats médicaux…) Quelles sont les conséquences ?
Les données sensibles sont des données qui révèlent :
l’origine raciale ou ethnique,
les opinions politiques,
les convictions religieuses ou philosophiques ou l’appartenance syndicale,
le traitement des données génétiques, des données biométriques aux fins d’identifier une personne de manière unique,
des données concernant la santé,
des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne.
(article 4, considérant 35 du RGPD).
Est en principe interdit, le traitement des données sensibles, sans
le consentement explicite des personnes concernées (article 9 du RGPD, article 6 de la loi "Informatique et Libertés").
Il existe des exceptions à l’interdiction de traitement de données sensibles (ex
: droit du travail, motifs d’intérêt public important, intérêts vitaux,
etc.). Ou bien lorsque l’adhérent a donné explicitement son
consentement.
Evitez au maximum de traiter des données sensibles. Si vous êtes amenés
à le faire par nécessité (ex. traitement d’un dossier de recouvrement
avec des certificats médicaux…), pensez à demander le consentement
explicite de l’adhérent lors de son inscription (ex. case à cocher dans
un bulletin d’inscription). Sans consentement, il vous sera impossible
de traiter de données sensibles (voir la question 5 sur le consentement).
5 - Dois-je demander un consentement à l’adhérent lorsque je traite ses données personnelles ?
PAS TOUJOURS
Le consentement est un des six fondements juridiques permettant de
rendre licite un traitement de données personnelles (article 6 du RGPD).
Ce qui signifie que la demande d’un consentement n’est pas
systématique.
Les données personnelles traitées qui ne sont pas des données sensibles peuvent ne pas faire l’objet d’une demande de consentement si elles sont justifiées comme suit :
traitement nécessaire à l’exécution d’un contrat ou à
l’exécution de mesures précontractuelles (ex. adhésion à l'associaion,
abonnement au journal...),
traitement qui répond à une obligation légale,
traitement nécessaire à la sauvegarde des intérêts vitaux de la personne,
traitement nécessaire aux fins des intérêts légitimes poursuivis par le responsable de traitement.
Exemple de situation dans laquelle la demande de consentement est obligatoire : lors de l’envoi de la lettre d'information.
Conservez la preuve que le consentement a bien été donné (ex. mail de
confirmation). Le consentement doit pouvoir être retiré à tout moment.
Si vous recueillez des données sensibles (voir la question 4 pour la définition des données sensibles),
dans tous les cas, il faudra demander un consentement explicite de la
personne. Le consentement doit être donné pour chaque finalité
spécifique.
Un adhérent s’engage dans votre association. Il est susceptible de vous
fournir un certificat médical. Il s’agit d’un document contenant des
données sensibles. Pour être conforme au RGPD, pensez à demander le
consentement par le biais d’une case à cocher.
6 - Dois-je désigner un Délégué à la Protection (DPO / DPD) ?
PAS DE MANIERE AUTOMATIQUE
La désignation d’un Délégué à la Protection des Données (DPD) (aussi
appelé "DPO" - Data Protection Officer) n’est pas obligatoire pour une
association.
Toutefois, la désignation devient obligatoire lorsque l’association traite :
des données sensibles (ex. certificat médical, numéro de sécurité sociale …) à grande échelle ;
des données personnelles exigeant un suivi régulier et systématique à
grande échelle de personnes (ex. profilage …) (article 37.1 du RGPD).
Le Délégué à la Protection des Données a pour mission de :
informer et conseiller le responsable de traitement
(c’est-à-dire l’association qui met en œuvre les traitements des données
personnelles) ainsi que l’ensemble du personnel. Mais aussi les
sous-traitants (c’est-à-dire les entreprises ou organismes qui vont
aider l’association dans le traitement des données personnelles
(hébergeurs, intégrateurs de logiciels, agences de communication, etc.),
contrôler le respect du RGPD et de la législation nationale,
conseiller l’association sur tout sujet relatif à la protection des
données personnelles (ex. comment mettre en place un formulaire avec des
mentions RGPD),
coopérer avec l’autorité de contrôle (c’est-à-dire la CNIL). Il
s’agit de l’organisme chargé de conseiller les entreprises et organismes
dans la mise en place du RGPD. Il a aussi un pouvoir de contrôle et de
sanctions. Cliquez ici pour en savoir plus sur les missions de la CNIL.
Le Délégué à la Protection des Données peut être désigné en
interne (ex. salarié ayant des compétences informatiques et/ou
juridiques) ou bien un prestataire externe (ex. cabinet d’avocats…).
7 - Dois-je répertorier toutes les données personnelles que je traite dans un registre des traitements ?
PAS OBLIGATOIRE, MAIS RECOMMANDE
En principe, une association comportant moins de 250 salariés n’a pas
à répertorier toutes les données personnelles traitées, sous forme de
registres des traitements.
Toutefois, cela devient une obligation si l’association effectue des traitements :
susceptibles de comporter un risque pour les droits et les
libertés des personnes (ex. traitement d’un dossier comportant des
fichiers de nature médicale…) et de manière non occasionnelle,
portant sur des données sensibles ou des condamnations et
infractions pénales (voir la question 4 pour la définition des données
sensibles).
Néanmoins, il est recommandé de tenir un registre des
traitements. Le recensement des différents traitements de données
personnelles traitées, des durées de conservation, des modes
d’archivage, etc. vous sera utile pour mieux vous organiser en interne.
En mettant par exemple en place des process ou encore en cas de contrôle
de la CNIL.
La CNIL propose sur son site internet un modèle de registre des traitements, pouvant être téléchargé pour être complété (fichier en format Excel).
Les informations devant figurer dans le registre :
noms et coordonnées du responsable de traitement et DPO,
finalités du traitement (objectifs poursuivis),
description des catégories de personnes concernées et des catégories de données personnelles,
catégories de destinataires,
délais prévus pour l’effacement,
description générale des mesures de sécurité techniques et organisationnelles.
8 -Dois-je informer les adhérents du traitement de leurs données personnelles ?
OUI
L’adhérent doit être informé du traitement de ses données personnelles, par exemple :
au moment de son adhésion (formulaire d’inscription),
au moment de s’inscrire à la lettre d'information (par internet),
en consultant le site internet de l’association (politique de protection des données),
au moment de remplir une feuille de présence pour participer à une formation ou à une réunion (feuille de présence),
en s’abonnant / effectuant un don (bulletins de dons et d’abonnements).
Les informations devant obligatoirement figurer sont :
les coordonnées de l'association responsable de traitement,
les catégories de données personnelles traitées,
l’origine de la collecte (fichiers interne ou obtenu par une source externe),
la base légale du traitement (ex. contrat, consentement, …),
le caractère obligatoire ou non du traitement,
les finalités (ex. gérer un dossier, recevoir la newsletter, …),
les destinataires (ex. branches d’associations régionales, partenaires, …),
Si votre association dispose d'un site Internet, il est recommandé d'y
faire figurer une politique de protection des données personnelles. Ce
document reprend l'ensemble des informations ci-dessus.
9 - Comment gérer l’exercice des droits des personnes ?
Les associations doivent répondre aux personnes qui souhaitent exercer leurs droits sur leurs données personnelles.
Les personnes, dont les données personnelles sont traitées, ont un droit :
à l’information,
d’accès,
de rectification (ex. changement d'adresse),
d’opposition,
à la portabilité,
à la limitation du traitement,
d’effacement,
de définir des directives relatives au sort de leurs données personnelles après leur mort.
Lorsqu’une personne exerce ses droits (ex. réception d’une
demande de droit d’accès ou de suppression), l’association doit lui
répondre dans un délai d’un mois à compter de la réception de la demande. L’envoi des documents, pour l'exercice du droit d'accès, est en principe gratuit (sauf caractère répétitif des demandes).
Si une réponse ne peut être apportée au demandeur, l’association doit obligatoirement indiquer les motifs du refus ainsi qu’indiquer la possibilité d’introduire une réclamation auprès de la CNIL et de former un recours juridictionnel.
La gestion des demandes d’exercice des droits nécessite de mettre en place des procédures internes.
10 - Quelles mesures de sécurité dois-je mettre en place ?
Le RGPD indique qu’il faut une obligation renforcée de la sécurisation des données personnelles.
Il existe en effet des risques en matière de cybersécurité :
usurpation d’identité, escroquerie, abus de confiance, chantage, vengeance, fraude…
attaques informatiques ciblées (ex. attaques dans les pièces jointes, lien dans un mail frauduleux…),
virus, hameçonnage, cheval de troie…
La sécurisation des fichiers papier et informatique doit être organisationnelle et matérielle :
gestion des accès aux fichiers protégés, accès par personnes
habilitées, mots de passe très sécurisés, sécurisation des réseaux, etc.
(article 32 du RGPD).
L’association a également une obligation de notification à la CNIL de failles de sécurité
(ex. piratage informatique), dans les meilleurs délais, et si possible
dans les 72 h, au plus tard après en avoir pris connaissance (article 33
du RGPD). De plus, si la faille de sécurité comporte des risques pour les droits et libertés des personnes physiques
(ex. partage de numéros de sécurité sociale risquant d’entraîner des
cas d’usurpation d’identité), l’association devra également en notifier les personnes concernées, dans les meilleurs délais (article 34 du RGPD).
En outre, le RGPD encadre strictement les transferts de données hors Union européenne (UE).
L’association doit éviter, si besoin, de transférer des données
personnelles hors de l’UE. Si l’association travaille avec des
entreprises qui sous-traitent des données en dehors de l’UE, des
garanties juridiques devront être mises en place (ex. clauses
contractuelles types de protection…).
11 - J’envoie des lettres d'information. Que dois-je mettre en place pour être en conformité ?
L’association doit informer les personnes du traitement de leurs données personnelles et demander leur consentement.
Lors de l’inscription, l’adhérent doit être informé clairement de
l’utilisation qui sera faite de ses données. L’association doit faire
figurer, par exemple sur son site Internet, les informations suivantes :
les catégories de données personnelles traitées,
l’origine de la collecte (fichier interne ou obtenu par une source externe),
la base légale du traitement (ex. contrat, consentement…),
le caractère obligatoire ou non du traitement,
les finalités (ex. recevoir la newsletter…)
les destinataires (ex. branches d’associations régionales, partenaires…),
les durées de conservation,
les transferts en dehors de l’Union européenne,
l’exercice des droits (voir question 8 sur l’exercice des droits),
En outre, l’association doit demander le consentement de
l’utilisateur pour l'envoi de courriels. Cela peut se matérialiser par
une case à cocher au moment de renseigner l’adresse mail.
A noter que l’adhérent doit avoir la possibilité de se désinscrire, à
tout moment de la lettre d'information, en retirant son consentement.
Par exemple en cliquant sur un lien de désabonnement ou en envoyant un
mail.
Conservez la preuve que le consentement a bien été donné (ex. mail de
confirmation). Le consentement doit pouvoir être retiré à tout moment.
Ces
informations essentielles ne préjugent pas des règles appliquées par
vos instances nationales et fédérations. Référez-vous à ces dernières
pour toute question concernant l'application du RGPD.
TEXTES DE LOIS
> Règlement (UE) 2016/679 du 27 avril 2016
relatif à la protection des personnes physiques à l'égard du traitement
des données à caractère personnel et à la libre circulation de ces
données, et abrogeant la directive 95/46/CE (règlement général sur la
protection des données).
> Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
Campagnes d’arnaques au chantage à la webcam prétendue piratée
Vous avez reçu un message
(mail) d’un supposé pirate anonyme ou « hacker » qui prétend avoir
piraté votre ordinateur. Il vous menace de publier des images
compromettantes prises à votre insu avec votre webcam et vous demande
une rançon en monnaie virtuelle ? Pas de panique, ce ne sont que des
tentatives d’arnaques au chantage à la webcam prétendue piratée !
Depuis l’été 2018, de très nombreuses vagues de messages de
tentatives d’arnaque au chantage à la webcam prétendue piratée ont été
recensées. En janvier 2019, Cybermalveillance.gouv.fr a constaté une
forte recrudescence de ces campagnes d’arnaques. Depuis, de nouveaux
mails indiquent par exemple que votre ordinateur a été infecté par le virus/malware Varenyky. Elles ciblent les utilisateurs francophones. Voici un exemple de ce type de message ci-dessous :
Cet article revient sur ce phénomène et complète les alertes que nous avons déjà publiées sur les réseaux sociaux (voir Twitter, Facebook, LinkedIn).
1. De quoi s’agit-il ?
Les utilisateurs victimes d’arnaques au chantage à la webcam
prétendue piratée reçoivent un message d’un inconnu qui se présente
comme un pirate informatique (« hacker »). Ce prétendu « pirate »
prétend avoir pris le contrôle de l’ordinateur de sa victime suite à la
consultation d’un site pornographique. Le cybercriminel annonce alors
avoir des vidéos compromettantes de la victime faites avec sa webcam.
Il menace de les publier à ses contacts personnels, ou même
professionnels, si la victime ne lui paie pas une rançon. Cette rançon,
qui va de quelques centaines à plusieurs milliers d’euros, est réclamée
dans une monnaie virtuelle (généralement en Bitcoin).
Pour effrayer encore plus la victime, les cybercriminels vont parfois jusqu’à écrire à la victime avec sa propre adresse mail, afin de lui faire croire qu’ils en ont réellement pris le contrôle de son compte.
Dans certaines campagnes, les cybercriminels vont jusqu’à dévoiler à la victime un de ses mots de passe pour lui faire croire qu’ils ont bien pris le contrôle de son ordinateur. Ces
messages de chantage sont parfois écrits en anglais, mais ciblent
également de plus en plus souvent les victimes dans leur langue natale.
On constate une augmentation de messages écrits dans un français plus
ou moins correct.
Ces arnaques au chantage à la webcam prétendue piratée s’inspirent des chantages à la webcam ciblés, également appelés « sextorsion » pour
effrayer les victimes. Mais il s’agit ici de messages envoyés en masse
par les cybercriminels. Dans les cas réels de sextorsion ciblée, la
victime « connaît » son maître chanteur auquel elle a fourni des images
ou vidéos compromettantes de son plein gré après avoir été abusée.
2. Arnaques au chantage à la webcam prétendue piratée : Faut-il avoir peur ?
La réponse est simple : non ! Car il s’agit d’une simple arnaque qui vise à escroquer des victimes crédules en leur faisant peur.
En premier lieu et si vous y réfléchissez bien, vous n’avez sans doute rien à vous reprocher de
compromettant . Ensuite, si le « piratage » annoncé par les
cybercriminels n’est en théorie pas impossible à réaliser, en pratique,
il reste assez complexe techniquement et surtout long à mettre en œuvre.
Comme les escrocs ciblent leurs victimes par milliers, on peut donc en
déduire qu’ils n’auraient matériellement pas le temps de réaliser ce
qu’ils affirment avoir fait. On peut également noter que de nombreux
internautes qui ont reçu ce type de message n’avaient tout
simplement pas de webcam, ou que leur adresse de messagerie usurpée ou
le mot de passe dévoilé n’étaient plus utilisés depuis plusieurs années. Enfin, si de très nombreux cas de réception de ces messages de chantage sont rapportés, aucun
cas n’a jamais été signalé jusqu’à présent de victimes qui auraient vu
les cybercriminels mettre leurs menaces à exécution.
Tous ces éléments tendent à démontrer que ces messages ne sont que des tentatives d’arnaques au chantage à la webcam prétendue piratée
. Autrement dit, si vous recevez un tel message de chantage et que vous
ne payez pas, il ne se passera certainement rien de plus.
3. Comment font-ils pour avoir ces informations ?
Là aussi, même si c’est légitimement inquiétant, cela n’est pas très compliqué pour les cybercriminels. Votre adresse de messagerie circule déjà sur Internet car
vous l’utilisez régulièrement sur différents sites pour vous identifier
et communiquer. Ces sites ont parfois revendu ou échangé leurs fichiers
d’adresses avec différents partenaires plus ou moins scrupuleux dans
des objectifs marketing. Ces fichiers d’adresses de messagerie sont
parfois également récupérés par des cybercriminels pour pouvoir être
utilisés dans des campagnes publicitaires frauduleuses, pour des
attaques par hameçonnage, ou pour ce type de campagnes de chantage. Si les cybercriminels vous ont écrit avec votre propre adresse de messagerie pour
vous faire croire qu’ils en ont pris le contrôle : sachez que l’adresse
de l’émetteur dans un message n’est qu’un simple affichage qui peut
facilement être usurpé sans devoir pour autant disposer de beaucoup de
compétences techniques.
Si enfin, les cybercriminels vous dévoilent un de vos mots de passe,
cela ne veut pas forcément dire qu’ils ont piraté votre machine. Ils
ont pu avoir accès à un de vos mots de passe qui a été précédemment
compromis. Les escrocs jouent sur le fait que malheureusement les
victimes ne changent pas assez souvent leur mot de passe et qu’elles
réutilisent le même sur différents accès. Or, l’actualité montre que de
nombreux sites, parfois très réputés, se font régulièrement pirater
leurs bases de comptes utilisateurs qui contiennent des adresses de
messagerie et des mots de passe que les cybercriminels se revendent
ensuite entre-eux pour pouvoir commettre ce type de méfaits. Autrement
dit, le mot de passe qui vous a été dévoilé à certainement été compromis
dans une affaire antérieure et les cybercriminels ont donc pu
facilement le récupérer.
4. Que faut-il faire si on reçoit ce type de message ?
1. Ne paniquez pas ! En effet, vous n’avez sans doute rien de réellement compromettant à vous reprocher. 2. Ne répondez pas ! Même si les cybercriminels
seraient très probablement incapables de gérer les réponses de toutes
leurs victimes, il ne faut jamais répondre à de telles menaces de
chantage qui montrent aux cybercriminels que votre adresse de messagerie
est « valide » et que vous portez de l’intérêt au message de chantage
qu’ils vous ont envoyé. 3. Ne payez pas ! Et ce même si vous aviez un doute.
Car comme vu précédemment, aucune mise à exécution des menaces n’a été
démontrée jusqu’à présent et vous alimenteriez donc inutilement ce
système criminel. 4. Conservez les preuves ! Faites des copies
d’écran, conservez les messages qui pourront vous servir pour signaler
cette tentative d’extorsion aux autorités, voire pour déposer plainte si
vous l’estimiez nécessaire. 5. Changez votre mot de passe partout où vous l’utilisez s’il a été divulgué ou au moindre doute. 6. Déposez plainte ! Pour signaler cette tentative
d’escroquerie et contribuer aux enquêtes, n’hésitez pas à déposer
plainte. Pour cela, téléchargez, remplissez, enregistrez et renvoyez
simplement ce formulaire spécifique avec une copie du message reçu à
l’adresse cyber-chantage@interieur.gouv.fr ou
par courrier à la Sous-direction de la lutte contre cybercriminalité de
la Police judiciaire (voir adresse postale dans le formulaire).
Arnaques au chantage à la webcam prétendue piratée : Et si vous avez payé la rançon ?
Vous êtes alors victime d’une extorsion, au sens de l’article 312-1 du code pénal : délit passible de sept ans d’emprisonnement et de 100 000 € d’amende. 1. Contactez votre banque pour essayer de faire annuler la transaction. 2. Déposez plainte ! Pour signaler cette escroquerie
et contribuer aux enquêtes, n’hésitez pas à déposer plainte. Pour cela,
téléchargez, remplissez, enregistrez et renvoyez simplement
ce formulaire spécifique avec une copie du message reçu à l’adresse cyber-chantage@interieur.gouv.fr ou
par courrier à la Sous-direction de la lutte contre cybercriminalité de
la Police judiciaire (voir adresse postale dans le formulaire).
6. Que faire pour éviter qu’un piratage se produise réellement ?
Même si dans le cas évoqué dans cet article, il ne s’agit
essentiellement que d’une supercherie, vos équipements sont exposés à de
vraies attaques informatiques. Voici quelques mesures simples de
sécurité qui permettent de réduire considérablement les risques de
piratages : 1. Faites régulièrement les mises à jour de sécurité de tous vos appareils. 2. Utilisez un antivirus et tenez-le à jour. 3. Évitez les sites dangereux tels que les sites de téléchargements ou de vidéos en ligne (streaming) illégaux. 4. Utilisez des mots de passe solides, différents sur tous les sites et changez les régulièrement. 5. Ne répondez pas, ne cliquez pas sur les liens, n’ouvrez pas les pièces jointes de messages d’expéditeurs inconnus ou d’expéditeurs connus mais dont la structure du message est inhabituelle ou vide. 6. Masquer votre webcam quand vous ne vous en servez pas (un simple morceau de ruban adhésif opaque sur l’objectif peut suffire).
Besoin de conseils ?
Vous pouvez contacter les services : – Info Escroqueries au 0 805 805 817 du lundi au vendredi de 9h à 18h30. Numéro vert (appel gratuit). Service du ministère de l’Intérieur. – Net Ecoute au
0 800 200 000 du lundi au vendredi de 9h00 à 19h00. Numéro vert (appel
gratuit). Ligne d’écoute nationale anonyme et confidentielle destinée
aux internautes confrontés à des problèmes dans leurs usages numériques.
En été, nos écoutants constatent souvent une recrudescence des arnaques à la webcam. Avec l’arrivée des vacances, on peut facilement se retrouver face à des cas de chantages sexuels ou financiers. Comment les reconnaitre et comment réagir si je suis victime de “sextorsion” ?
Comment le reconnaitre ?
Vous avez l’habitude de chatter avec vos amis ou votre famille sur
des applications ou réseaux sociaux comme Skype, WhatsApp, Facebook
Messenger ou encore Instagram et un inconnu vous contacte pour discuter.
Après quelques heures ou quelques jours de discussion, vous vous
sentez en confiance et la conversation prend une tournure plus intime.
Il/elle vous demande des photos ou des vidéos sur lesquelles vous
apparaissez dénudé. Il/elle vous recontacte ensuite et menace de
diffuser les photos ou la vidéo si vous ne lui transmettez pas une somme
d’argent…
Vous êtes victime de sextorsion ou chantage à la webcam.
Comment réagir ?
Vous ne savez pas comment réagir ? Ne cédez pas à la panique, suivez nos conseils.
1. Ne cédez pas au chantage : les vidéos ou photos sont très rarement publiées.
2. Vérifiez bien ce qu’on vous envoie : vous allez
peut-être recevoir un lien visant à prouver que la vidéo est en ligne.
Cette annonce fait partie des différentes étapes de chantage visant à
vous faire peur. Ce lien peut s’afficher pour vous uniquement en mode
privé et n’est probablement pas visible par le public ou par vos amis.
3. Si vous disposez du lien URL vers la vidéo, vous pouvez signaler le chantage dont vous faites l’objet sur :
la plateforme et/ou le réseau social concerné
a plateforme officielle de la cyber-police PHAROS :
www.internet-signalement.gouv.fr. Pharos reviendra très rapidement vers
vous et pourra faire supprimer la vidéo.
4. Signalez le maitre-chanteur sur les réseaux sociaux ou applications sur lesquelles vous avez été contacté puis bloquez le contact.
5. Si ce n’est pas le cas, privatisez vos profils sur les réseaux sociaux.
6. Dans tous les cas, prenez toujours des captures d’écran.
7. Enfin, rendez-vous à la gendarmerie ou au commissariat de police en apportant tous les renseignements et toutes les captures d’écrans et preuves imprimées. Soyez responsable sur Internet et restez prudent
lorsque vous rencontrez un inconnu sur les réseaux sociaux et gardez en
tête que ce délit est réprimé en France depuis août 2014 avec la
création de l’article 222-33-2-2 du Code pénal qui punit le
cyberharcèlement et l’article 312-1 relatif à l’extorsion.
Vous êtes mineurs et vous avez besoin d’aide dans vos démarches,
contactez Net Écoute 0️⃣8️⃣0️⃣0️⃣2️⃣0️⃣0️⃣0️⃣0️⃣0️⃣ 📲 ou par 💬 sur
Messenger m.me/eenfance ou sur netecoute.fr. C’est anonyme, confidentiel et gratuit, du lundi au vendredi de 09h à 19h.
Nous avons interpellé nos députés et sénateurs du
département sur le devenir de la Mission de Vigilance
et de Lutte contre les Dérives Sectaires (MIVILUDES). Pour l'heure nous avons reçu une réponse de Madame la
Députée Bessot-Ballot. Elle nous assure en substance
que le transfert de la Mission au Ministère de
l'intérieur ne devrait pas avoir de conséquences
notoires sur son fonctionnement.
Nous prenons acte des engagements gouvernementaux
dont elle nous a fait part et serons très vigilants
quant à leur respect .