La société Ledger va-t-elle devoir indemniser ses clients pour leurs pertes financières, au risque de mettre la clé sous la porte ?
Le risque pour les individus, et par ricochet pour les entreprises est l’un des fondements du Règlement Général de la Protection des Données (RGPD). C’est d’ailleurs le sujet de mon dernier webinaire de la saison, que j’anime pour la Chambre Professionnelle du Conseil.
Le RGPD prévoit spécifiquement que « Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »
Les personnes qui se sont dérober leurs cryptomonnaies (potentiellement plusieurs centaines de milliers d’euros chacun au vu des cours actuels) peuvent-elles légitimement se retourner contre Ledger pour compenser leur perte financière ?
Avant d’essayer de répondre à cette question, il faut rappeler les faits :
La société Ledger commercialise des « portefeuilles physiques pour cryptomonnaies ». Autrement dit, des appareils permettant de conserver physiquement avec soi des valeurs dématérialisées. Ces appareils ressemblent à des clés USB agrémentées d’un afficheur et de boutons pour contrôler l’accès à son contenu.
Le 25 juin 2020, un pirate a réussi à voler les informations commerciales des clients de Ledger (nom, adresse postale, email et détails de leur commande) via une faille de sécurité. Ce vol de données personnelles constitue une violation de données au sens du RGPD.
En juin 2021, des clients de Ledger ont reçu un colis semblant provenir de Ledger, avec un courrier d’accompagnement leur précisant que suite à la violation de données de juin 2020, leur « portefeuille ledger » devait être remplacé par le nouveau modèle présent dans le colis. Le produit est en apparence original, l’emballage encore scellé. En réalité, si l’emballage et la coque du « portefeuille Ledger » est d’origine, le circuit électronique est tout autre, et contient un logiciel malveillant.
En suivant les instructions de migration de l’ancien vers le nouveau « portefeuille Ledger » figurant dans le colis, le client transfert en réalité tous ses fonds à un pirate. Certains clients indiquent s’être fait ainsi dérober l’intégralité du contenu de leur « portefeuille Ledger ».
Dans la mesure où un « consommateur moyen » pouvait facilement tomber dans le panneau, et que la réception de ce colis piégé résulte indéniablement de la violation de données de juin 2020, je ne vois pas ce qui empêcherai un consommateur de demander (et obtenir) le remboursement de ses pertes…
Werner KLINGER
Consultant et DPO certifié CNIL par l’AFNOR.
