Entre fin août 2017 et octobre 2017, les noms, numéros de téléphone, adresses et dates de naissance de 812'000 clients privés et 75'000 clients d'affaires ont été dérobés.
Un premier réflexe de ne rien dire
Dans le procès-verbal d'une rencontre du 10 janvier 2018 entre le préposé fédéral à la protection des données Adrian Lobsiger et deux représentants de Swisscom, l'équipe d'On en parle a découvert que le Conseil d’administration de l'opérateur avait d'abord décidé de ne pas communiquer publiquement l'incident ni d'informer les personnes concernées, par crainte de porter préjudice à sa réputation. En raison de la nature non sensible des données volées, l’entreprise s’estimait exemptée du devoir d’informer en vertu de l’article 4 de la loi sur la protection des données.
Mais le préposé fédéral, que Swisscom avait consulté, l'a rappelé à son devoir légal d’information. Swisscom s'est donc exécuté avec une conférence de presse en février 2018, mais en insistant toujours sur le caractère non sensible des données volées et sur les risques minimes pour les clients concernés par cette fuite de données.
Dans les documents obtenus grâce à la loi sur la transparence, on apprend qu'un accès aux données clients a été transmis par Swisscom à une société de marketing genevoise, dont le nom a été anonymisé. Cette société genevoise a elle-même transmis l'accès à un sous-traitant en Tunisie. C'est là-bas que les données des clients de Swisscom ont été soit piratées, soit transmises à des tiers par les salariés du sous-traitant tunisien.
Un sous-traitant tunisien dans l'équation
Si Swisscom n'a jamais communiqué sur la Tunisie, c'est "pour des raisons liées à l'enquête, parce que nous avions déposé une plainte contre cette société, plainte qui est d'ailleurs toujours en cours aujourd'hui", a expliqué Christian Neuhaus, porte-parole de Swisscom, à On en parle. "Cette société genevoise a sous-traité ses affaires en Tunisie à notre insu. Ils auraient dû nous demander l'autorisation de travailler avec un partenaire ailleurs, ce qui aurait été évidemment refusé".
Les documents consultés évoquent pourtant cette sous-traitance: selon les échanges, l'opérateur savait que l'entreprise genevoise, partenaire commercial de longue date, travaillait avec un sous-traitant en Tunisie et savait donc aussi que les données seraient transmises dans ce pays. Selon les dires de Christian Neuhaus, Swisscom ne collabore qu'avec des centres d'appels suisses, pas étrangers, et les données doivent toujours être traitées en Suisse.
Des données jugées "non sensibles"
Christian Neuhaus a rappelé que la notion de données sensibles "est un concept qui est défini dans la loi". Dans cette classification, les données personnelles comme le nom, le prénom, le numéro de téléphone et l'année de naissance sont considérées comme "non sensibles", à l'inverse de données concernant la religion et la santé.
"C'est sûr que la formulation de "données non sensibles" ou qui ne méritent pas une protection particulière était certainement mal choisie à l'époque", a reconnu le porte-parole.
De potentiels autres risques pour la clientèle de Swisscom
Après la conférence de presse de Swisscom en 2018, nos confrères du 20 minutes ont eu accès à d'autres documents contenant une identification plus poussée des risques du vol de données pour les clients, selon Swisscom. Ils sont au nombre de onze, notamment la revente de données volées sur le darkweb, les appels publicitaires indésirables ou encore les arnaques et escroqueries via SMS.
Du côté de Swisscom, "à ce jour, nous n'avons identifié aucun acte préjudiciable pour les clients concernés, tel qu'une augmentation de démarches de télémarketing ou autre activité malveillante". Cela démontre toutefois que ces données "non sensibles" peuvent tout de même avoir de la valeur et un pouvoir de nuisance important si elles sont mal utilisées.
Sujet radio: Jérôme Zimmermann, Philippe Girard, Bastien von Wyss et Delphine Sage
Adaptation web: Sylvie Ravussin
Trois ans pour accéder à ces documents
Il aura fallu attendre trois ans pour parcourir ces documents de la période entre décembre 2017 et février 2018, demandés à être consultés en vertu de la Loi fédérale sur le principe de la transparence dans l’administration. Swisscom s’était opposé à leur divulgation en soutenant que le préposé lui avait garanti la confidentialité des échanges.
Le Tribunal fédéral a décidé il y a quelques semaines d’autoriser la transmission de ces documents à On en parle estimant au contraire que le préposé n'a donné aucune assurance de confidentialité à Swisscom, qui aurait pu empêcher l'accès aux documents comme le prévoit la loi. Certains noms ont été toutefois anonymisés, notamment le nom d’une entreprise partenaire de Swisscom concernée par le vol de données.