Votre association a identifié une fuite de données affectant sa gestion. Conformément à ses obligations légales, et dans un souci de transparence, vous devez informer l'ensemble de vos adhérents de cette situation. Voici les éléments à mettre en oeuvre : 

Détecter la nature de la fuite

La fuite de données résulte d'une utilisation frauduleuse interne ou externe des outils de gestion de l'association dont l'accès non autorisé permet, par un mécanisme complexe, l'extraction de données personnelles. Des failles techniques du système d'exploitation ou d'un élément du réseau sont souvent à l'origine des fuites accidentelles ou des intrusions malveillante.

Identifier les données concernées

Le plus souvent les données qui sont consultées et extraites sont les suivantes :

• Nom et prénom
• Date de naissance
• Genre
• Adresse postale
• Adresse email
• Numéro de téléphone
• En situation de handicap (oui / non / non renseigné)

Assurez vous que l’incident n’ait entraîné aucune compromission de données bancaires et qu'aucun mot de passe personnel n’ait été affecté.

Avertir des conséquences possibles

Bien que nous ne puissiez pas confirmer si les données ont été diffusées publiquement, les risques suivants sont possibles :

• Tentatives de phishing : vous pourriez envoyer des emails, SMS ou appels frauduleux se faisant passer pour votre association.
• Spam et sollicitations commerciales non désirées
• Hameçonnage ciblé : les pirates disposant des informations personnelles peuvent rendre leurs tentatives d'escroquerie plus crédibles.

Mesures à prendre

Immédiatement après avoir pris connaissance de la fuite, votre association doit mettre en œuvre les actions suivantes :

• Blocage immédiat du compte compromis
• Dans les 72 heures, déclaration de l'incident à la CNIL (Commission Nationale de l'Informatique et des Libertés)
• Dépôt de plainte au commissariat de police ou à la gendarmerie
• Analyse approfondie de la situation pour identifier l'étendue exacte de la fuite
• Renforcement des mesures de sécurité, notamment :
  • Révision des mécanismes d'authentification pour l'ensemble des comptes
  • Mise en place de contrôles supplémentaires sur l'accès aux données

Recommandations à faire

Vous pouvez recommander à vos adhérents d'adopter les mesures de prudence suivantes :

Vigilance face au phishing :

• Ne communiquez jamais vos mots de passe, coordonnées bancaires ou informations sensibles par email, téléphone ou SMS
• Méfiez-vous des messages suspects se faisant passer pour l'association
• Vérifiez l'expéditeur : en cas de doute sur un email, contactez directement l'organisation concernée via ses canaux officiels
• Ne cliquez pas sur des liens suspects ou des pièces jointes inattendues

Renforcez la sécurité de votre compte :

• Changez vos mots de passe si vous utilisez le même mot de passe sur plusieurs sites
• Utilisez des mots de passe uniques et robustes pour chaque service (minimum 12 caractères, avec majuscules, minuscules, chiffres et caractères spéciaux)
• Activez l'authentification à deux facteurs (MFA) partout où c'est possible, notamment sur vos comptes email, bancaires et réseaux sociaux
• Utilisez un gestionnaire de mots de passe pour gérer vos différents accès en toute sécurité

Pour aller plus loin :

> Violations de données personnelles : les règles à suivre | CNIL

> Comment réagir en cas de fuite ou violation de données personnelles ? - Assistance aux victimes de cybermalveillance